hijackthis - startseitenklau *HELP*

[deep-ice]

also seit wochen stellt sich meine startseite immer wieder auf so eine dubiose seite um auf der ich noch garnie war. Und dazunoch jede menge pop ups
ich hab versucht das manuell bei den internetoptionen wieder umstelllen aber das bringt nix.

dann hat mir jemand geraten eine hijack this scan zu machen.

ich weiß aber nicht wie ich jetzt mit dem log weiter verfahren soll

kann wer helfen??????????

[deep-ice]

achso was da fett is is diese seite die immer als startseite erscheint

[deep-ice]

achso was da fett is is diese seite die immer als startseite erscheint

außerdem fügt das einfach mehrere ordner mit links zu meinen favouriten
hab ich auch schön gelöscht kam aber wieder

[GrayGhost]

Hallo deep-ice
geh mal auf diese Seite: http://www.hijackthis.de/ und kopiere das Logfile in das Textfenster. Dann auf Auswerten klicken

[deep-ice]

Hallo deep-ice
geh mal auf diese Seite: http://www.hijackthis.de/ und kopiere das Logfile in das Textfenster. Dann auf Auswerten klicken

die sagen das der msn plus messenger böse wäre
spyware?? is das möglich

[deep-ice]

soll ich auch alles löschen was unbekannt is

[GrayGhost]

Tja, ich würde erst mal Schrittweise vorgehen. Erst alles "Böse" entfernen. Dann den Rechner im abgesicherten Mode starten. Online scan mit z.B. Trentmicro durchführen. Dann wieder normal starten und HiJack drüberlaufen lassen.

[deep-ice]

Tja, ich würde erst mal Schrittweise vorgehen. Erst alles "Böse" entfernen. Dann den Rechner im abgesicherten Mode starten. Online scan mit z.B. Trentmicro durchführen. Dann wieder normal starten und HiJack drüberlaufen lassen.

#dange. das hab ich jetzt gemacht,
aber ich komm net in dem abgesicherten modus rein

[deep-ice]

Tja, ich würde erst mal Schrittweise vorgehen. Erst alles "Böse" entfernen. Dann den Rechner im abgesicherten Mode starten. Online scan mit z.B. Trentmicro durchführen. Dann wieder normal starten und HiJack drüberlaufen lassen.

das find ich nirgends???

[GrayGhost]

Tschuldigung war falsch geschrieben. Hier gleich der richtige Link: http://housecall.trendmicro.com/

[Nikita]

deep-ice

fixe mit dem hijackthis

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index ... =msnhomeR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchnow.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://web.kelqhxboqum.us/CTv8jLmB4wqXl ... T8bSjh.htm

O2 - BHO: (no name) - {DE3BEBDB-AEE7-4277-8B6E-4EEFFA9508AE} - C:\WINDOWS\SYSTEM\NUMUQ.DLL (file missing)
O2 - BHO: (no name) - {AB8CD76B-2581-4CA0-51BB-2DA0C97F62EC} - C:\PROGRAMME\AIM FILE PEAK\REGS CITY.EXE
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN TOOLBAR\01.01.1629.0\DE\MSNTB.DLL (file missing)

O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\SYSTEM\Kernel.dll
O4 - HKLM\..\Run: [P_28599C] C:\WINDOWS\SYSTEM\P_28599C.exe
O4 - HKLM\..\Run: [ALCHEM] C:\WINDOWS\ALCHEM.exe
O4 - HKLM\..\Run: [WhenUSave] C:\Programme\Save\Save.exe
O4 - HKLM\..\Run: [Jugs Dash Once Bait] C:\WINDOWS\All Users\Anwendungsdaten\real find jugs dash\tickstupid.exe

O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} - http://www.whenusearch.com/WUInstSEWC.cab
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL

neustarten

#deinen Virenscanner kurz deaktivieren...und installiere Antivirus
http://www.free-av.de/

Konfiguriere den Antivirus AVGCtrl
Automatischen Scan stoppen,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)


#Lade Spysweeper
http://www.spysweeper.com/
#Lade AdAware free
http://www.lavasoft.de/support/download/
#Lade mwav.exe und scanne <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp
Loesche dann manuell, was das Tool nur anzeigt, aber nicht beseitigt.

MfG
Nikita

[eknoes]

Hallo, seiddem ich MSN Plus installiert hab, hab ich auch das prob !
Mein Log :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Down\neu\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index ... fham.de/tw
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.dcsbejudbiatcyspmcckt.com/cl ... kS6/K.html
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {82D23811-C5C3-1301-6B1A-CF12299042C7} - C:\PROGRA~1\CAKEBO~1\Amen Atom.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [list default] C:\PROGRA~1\USERAN~1\Fragcreative.exe
O4 - HKLM\..\Run: [Date Hole Bait Cake] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mfcdgramdatehole\trans meet.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Symantec Network Driver Update Warning] C:\PROGRA~1\Symantec\LIVEUP~1\SNDWarn.EXE
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: Trillian.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F6} -
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} -
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{35C4641C-064A-4868-8F6B-33AF1D42A714}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{35C4641C-064A-4868-8F6B-33AF1D42A714}: NameServer = 192.168.0.1


thx4 help!

[Nikita]

eknoes

fixe mit dem HijackThis

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchweb2.com/passthrough/index ... fham.de/tw
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.dcsbejudbiatcyspmcckt.com/cl ... MmkS6/K.ht
O2 - BHO: (no name) - {82D23811-C5C3-1301-6B1A-CF12299042C7} - C:\PROGRA~1\CAKEBO~1\Amen Atom.exe

die 04-Anwendungen werden durch das Fixen nicht geloescht...sie kommen nur aus dem Autostart.
O4 - HKLM\..\Run: [list default] C:\PROGRA~1\USERAN~1\Fragcreative.exe
O4 - HKLM\..\Run: [Date Hole Bait Cake] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mfcdgramdatehole\trans meet.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F6} -
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} -

neustarten

#deinen Virenscanner kurz deaktivieren...und installiere Antivirus
http://www.free-av.de/

Konfiguriere den Antivirus AVGCtrl
Automatischen Scan stoppen,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)

gehe in den abgesicherten Modus und mache einen Vollscann.

normal neustarten

#Lade mwav.exe
http://www.mwti.net/antivirus/free_utilities.asp
und scanne <alle Dateien<


#Lade Spywarblaster
http://www.javacoolsoftware.com/spywareblaster.html

Dann loesche mit ClearProg
http://www.clearprog.de/
die TemporaryInternetFiles und stelle unter Internetoptionen eine neue Startseite ein.


#Lade Firefox als Alternativbrowser..ist sicherer !
http://www.firebird-browser.de/

mfg
Nikita

[eknoes]

okay viel dank!

Ich glaube ich habs aber mit einem andern programm geschafft, trotzdem vielen dank!

Ich hoffe es ist morgen auch noch weg

hm hier nochmal mein log :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Down\neu\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.efham.de/tw
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.efham.de/tw
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://brlxpukvir.net/clEvn91ECL0Fn9BSE ... kS6/K.html
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [list default] C:\PROGRA~1\user ante ooze\Fragcreative.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Symantec Network Driver Update Warning] C:\PROGRA~1\Symantec\LIVEUP~1\SNDWarn.EXE
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Trillian.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F6} -
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} -
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{35C4641C-064A-4868-8F6B-33AF1D42A714}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{35C4641C-064A-4868-8F6B-33AF1D42A714}: NameServer = 192.168.0.1

Meine startseite ist jetzt wieder okay, und es funktioniert!
Aber der eintrag : R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://brlxpukvir.net/clEvn91ECL0Fn9BSE ... kS6/K.html

alle paar minuten ändert sich die url und spy bot fragt immer ob ich das erlaube oder nicht .. selbst wenn ichs nicht erlaube, kommts trotzdem!
Mit Hijackthis kann ichs nicht entfernen kommt immer diese Fehlermeldung :

[Nikita]

Mit welchem Programm denn ????
WUERD ICH GERNE WISSEN

Gruss
Nikita