Hilfe ! Startseite immer wieder geändert

von **dac340** am 29.06.2004, 20:55

Hallo,
ich kann unter Internetoptionen die Startseite ändern, wie ich will,
diese wird immer wieder auf: aetfj.dll... geändert.
Habe Spybot schon durchlaufen lassen und die Probleme beheben
lassen, ohne Erfolg.
Wenn ich Spybot habe laufen lassen und die Startseite einstelle,
geht es das erste mal gut.
Wenn ich den Explorer das nächste mal öffne, habe ich wieder
diese dämliche aetfj.dll... als Startseite und es öffnen sich
irgendwelche Popups mit teilweise pornografischem Inhalt.
Die aetfj.dll schreibt sich jedes mal wieder in das Winnt/system32-Verzeichnis. (Win2000)

Kann mir jemand bei der Beseitigung diese Problems helfen ?

Danke

von **Jinxy** am 30.06.2004, 07:11

Hi,

hast du dir zu deinem Problem schon die vielen Beiträge hier im Forum angesehen?

Gruß Jinxy

von **Nikita** am 30.06.2004, 10:55

http://board.protecus.de/showtopic.php?threadid=9391
Lade das HijackThis, scanne , save und kopiere das Log ins Forum.
MfG
Nikita

von **chickenman** am 30.06.2004, 14:01

nimm cwshredder (gugl). damit gehts einfach.

von **Pitter01** am 30.06.2004, 15:56

So wie es aussieht habe ich das gleiche Problem. Anbei mein Logfile.... Ich hoffe Ihr könnt mir helfen

Logfile of HijackThis v1.98.0
Scan saved at 15:51:33, on 30.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\mysql\bin\mysqld-nt.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\SCVHOST.EXE
C:\Programme\ISTsvc\istsvc.exe
C:\WINDOWS\System32\gqngykq.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\assu.exe
C:\WINDOWS\System32\NDrv.exe
C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\mysql\bin\winmysqladmin.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Peter\LOKALE~1\Temp\Rar$EX00.516\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Peter\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Peter\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Peter\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Peter\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Peter\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Peter\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1B7D753B-1981-4bd2-91F3-6D055EE113A0} - C:\WINDOWS\System32\NDrv.dll
O2 - BHO: (no name) - {A8F4426B-BD02-4C8F-BB3D-687FCFA00F7D} - C:\WINDOWS\System32\acd.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE
O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [omzvqafxobvu] C:\WINDOWS\System32\gqngykq.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKLM\..\RunServices: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE
O4 - HKLM\..\RunServices: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [warez] "C:\Programme\Warez P2P Client\Warez.exe" -h
O4 - HKCU\..\Run: [Wrhm] C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\assu.exe
O4 - HKCU\..\Run: [NDrv] C:\WINDOWS\System32\NDrv.exe
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - http://static.flingstone.com/cab/2000XP ... bridge.cab
O18 - Filter: text/html - {15113B9B-7CB1-42ED-B670-FADC9D4A929A} - C:\WINDOWS\System32\acd.dll
O18 - Filter: text/plain - {15113B9B-7CB1-42ED-B670-FADC9D4A929A} - C:\WINDOWS\System32\acd.dll

von **Nikita** am 30.06.2004, 16:47

@Pitter01

Der Computer ist voellig verseucht...du kannst aber mit ein wenig Sportsgeist versuchen....

Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924

Scanne mit dem HijackThis, dann hake an, was ich poste und dann <fix<

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Peter\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Peter\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Peter\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Peter\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Peter\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Peter\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {1B7D753B-1981-4bd2-91F3-6D055EE113A0} - C:\WINDOWS\System32\NDrv.dll
O2 - BHO: (no name) - {A8F4426B-BD02-4C8F-BB3D-687FCFA00F7D} - C:\WINDOWS\System32\acd.dll

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE
O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [omzvqafxobvu] C:\WINDOWS\System32\gqngykq.exe

O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe

O4 - HKLM\..\RunServices: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE
O4 - HKLM\..\RunServices: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE

O4 - HKCU\..\Run: [warez] "C:\Programme\Warez P2P Client\Warez.exe" -h
O4 - HKCU\..\Run: [Wrhm] C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\assu.exe
O4 - HKCU\..\Run: [NDrv] C:\WINDOWS\System32\NDrv.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

neustarten

deinstalliere den Symantec...er ist zerstoert und lade Antivir..<alle Dateien scannen <einstellen
http://www.free-av.de/

.....................................................................................................
starte neu und gehe in den abgesicherten Modus...F8 beim Booten druecken

#dort mache einen Vollscann mit dem Antivir.

#loesche

C:\WINDOWS\System32\acd.dll
C:\WINDOWS\System32\NDrv.dll
C:\WINDOWS\twaintec.dll

C:\WINDOWS\System32\NDrv.exe
C:\WINDOWS\System32\SCVHOST.EXE aufpassen, loesche genau die und keine andere !!!
C:\WINDOWS\System32\REGCPM32.EXE
C:\WINDOWS\System32\gqngykq.exe

neustarten

........................................................................................................................
#Lade mwav.exe ...30 Tage free und scanne <alle Datein<
poste, was das Tool noch fefunden hat.
http://www.mwti.net/antivirus/free_utilities.asp

#Lade Spysweeper free
http://www.spysweeper.com/

#Lade Sp
http://www.rokop-security.de/main/article.php?sid=746

#Lade Cwhredder
http://www.spywareinfo.com/~merijn/downloads.html

#lade ClearProg. ...BETA 8 und loesche die TemporayInternetFiles und die Cookies mit diesem Tool
http://www.clearprog.de/

#Lade Firefox...ist sicherer
http://www.firebird-browser.de/
..................................................................................................................

Wenn alles sauber ist, kannst du den Antivir. wieder deinstallieren und den Symantec laden.

Poste dann das Log noch einmal

MfG
Nikita

http://sarc.com/avcenter/venc/data/adware.istbar.html
http://securityresponse.symantec.com/av ... ldo.b.html

Hilfe ! Startseite immer wieder geändert

Hilfe ! Startseite immer wieder geändert

Ähnliche Themen

Wer ist online?