unerwünschte Startseite

[Zipper]

Hi nochmal !

Mein Hijack-this-login hat sich schon wieder verändert.

Also hier der aktuelle.



Logfile of HijackThis v1.97.7
Scan saved at 18:41:54, on 16.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\ipol32.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\WINDOWS\system32\ieoe32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\rainer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GTYZWXUN\HijackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xybas.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xybas.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xybas.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xybas.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xybas.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\xybas.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.t-online.de/
O2 - BHO: (no name) - {0649E404-F195-50E5-2763-BAD0093516E2} - C:\WINDOWS\system32\ntaw.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [ieoe32.exe] C:\WINDOWS\system32\ieoe32.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: axscanner - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: axscannerruntime - http://www.pestscan.com/scanner/axscannerruntime.cab
O16 - DPF: mscomctl - http://www.pestscan.com/scanner/mscomctl.cab
O16 - DPF: msvcp71 - http://download.pestpatrol.com/Download ... svcp71.cab
O16 - DPF: msvcr71 - http://download.pestpatrol.com/Download ... svcr71.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: Yahoo! Blackjack - http://download.games.yahoo.com/games/c ... /jt0_x.cab
O16 - DPF: Yahoo! Mensch - http://download.games.yahoo.com/games/c ... mat3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/c ... potd_x.cab
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... .551087963
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A921B94A-22D7-4D7A-B8C2-1EB854AB8EF7}: NameServer = 217.237.151.33 194.25.2.129


Sorry


Bis dann

Zipper

[Computerdirk]

Hallöchen,

also die R0 und R1 Einträge solltest du mal fixen und dann solltest du auch mal Adaware oder Spybot Search & Destroy über deinen Rechner laufen lassen...

Startseitenänderungen kann man ganz leicht vermeiden, in dem man sich überlegt wie man sich im Internet bewegen sollte... Nicht auf alles klicken was einem angeboten wird...

Folgender Eintrag kommt mir auch noch sehr suspekt vor:

O4 - HKLM\..\Run: [ieoe32.exe] C:\WINDOWS\system32\ieoe32.exe

Eventuell mal vorrübergehend mit msconfig deaktivieren...

[Nikita]

scanne mit dem HijackThis, dann hake an, was ich poste und fix

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xybas.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xybas.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xybas.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xybas.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xybas.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\xybas.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {0649E404-F195-50E5-2763-BAD0093516E2} - C:\WINDOWS\system32\ntaw.dll
O4 - HKLM\..\Run: [ieoe32.exe] C:\WINDOWS\system32\ieoe32.exe

neustarten

#C:\WINDOWS\system32\ntaw.dll loeschen

#Lade dieses Tool
http://www.definitivesolutions.com/bhodemon.htm
und loesche BHO: (no name) - {0649E404-F195-50E5-2763-BAD0093516E2}

#Lade
http://www.trojaner-info.de/anleitungen ... blank.html
AdAware free
CWhredder
Spybot
Sphjfix.exe

und scanne ohne Internetverbindung

Lade die mwav.exe und scanne
Poste, was das Tool gefunden hat.
http://www.mwti.net/antivirus/free_utilities.asp

Lade SpyHunter
http://www.spy-bot.net/manual.asp

Loesche unter InternetOptionen die TemporaryInternetFiles und stelle eine neue Startseite ein.
Dann poste das Log noch einmal.
Gruss
Nikita