Hilfe
Neues Thema
Antworten
Ich habe ein Problem. Als Startseite habe ich normalerweise immer about:blank. Seit einigen Wochen öffnet sich aber immer eine "Home Search" Seite. Ich habe Ad-aware, Spybot und CWShredder drübergejagt und alles gelöscht, was die angezeigt haben. Das Problem ist aber immer noch da. Selbst wenn ich bei Hijackthis aus Fix checked klicke ist erstmal wieder meine about:blank Seite da, aber nach 2-3 IE Aufrufen ist die doofe andere Site wieder da. Und ausserdem: Wenn ich bei google auf Suche klicke, dann öffnet sich immer eine zweite Suchseite und meist auch noch ein dämliches Popup.
Hier ist mein Logfile:
Logfile of HijackThis v1.97.7
Scan saved at 20:41:44, on 25.06.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\apihd32.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\2\printray.exe
C:\WINNT\system32\syslv.exe
C:\WINNT\System32\internat.exe
C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\WINNT\System32\wuauclt.exe
C:\WINNT\explorer.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~AceTemp\hjt\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\iiwoo.dll/sp.html#10213
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://iiwoo.dll/index.html#10213
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://iiwoo.dll/index.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\iiwoo.dll/sp.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://iiwoo.dll/index.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\iiwoo.dll/sp.html#10213
O2 - BHO: (no name) - {E4327D77-BADF-2B32-DF74-A09FE2119E74} - C:\WINNT\system32\sysuk.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [syslv.exe] C:\WINNT\system32\syslv.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Run DAP (HKLM)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwa...ector/swdir.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab
Helft mir bitte. Das ist echt nervig....
Seite 1 von 1
Hijacker - Datei Lässt Sich Nicht Löschen
#1
Vani 
geschrieben 25. Juni 2004 - 19:48
Nach oben
#2
DiNozzo
- Gruppe: aktive Mitglieder
- Beiträge: 4.444
- Beigetreten: 13. Dezember 03
- Reputation: 1
- Geschlecht:Männlich
geschrieben 25. Juni 2004 - 19:52
Also bei einer Kompromitierung sollte man folgendes tun:
- nachdenken warum man infiziert wurde
- anderen browser als IE verwenden (FireFox, usw)
- das lesen
- dem Rechner sichern
- datensicherung durchführen (Sp1 und WF Updatepack 1.7)
- windows neu installieren
- surfverhalten ändern
Dieser Beitrag wurde von mastre1 bearbeitet: 25. Juni 2004 - 19:52
#3
Rika
- Gruppe: aktive Mitglieder
- Beiträge: 11.533
- Beigetreten: 11. Juni 03
- Reputation: 2
- Geschlecht:Männlich
geschrieben 25. Juni 2004 - 19:53
>Platform: Windows 2000 SP3 (WinNT 5.00.2195)
Sehr schlecht. SP4 + diverse Sicherheitspatches fehlen.
>MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)
Und diese alte Version ist so voller Fehler...
>C:\WINNT\system32\regsvc.exe
Hast du wenigstens ein nichtleeres Adminpasswort?
>C:\WINNT\apihd32.exe
Unbekannt.
>C:\WINNT\system32\syslv.exe
>O4 - HKLM\..\Run: [syslv.exe] C:\WINNT\system32\syslv.exe
Verdächtig.
>C:\WINNT\System32\internat.exe
>O4 - HKCU\..\Run: [internat.exe] internat.exe
Böse.
>R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\iiwoo.dll/sp.html#10213
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://iiwoo.dll/index.html#10213
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://iiwoo.dll/index.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\iiwoo.dll/sp.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://iiwoo.dll/index.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\iiwoo.dll/sp.html#10213
Böse.
>O2 - BHO: (no name) - {E4327D77-BADF-2B32-DF74-A09FE2119E74} - C:\WINNT\system32\sysuk.dll
Böse.
Sehr schlecht. SP4 + diverse Sicherheitspatches fehlen.
>MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)
Und diese alte Version ist so voller Fehler...
>C:\WINNT\system32\regsvc.exe
Hast du wenigstens ein nichtleeres Adminpasswort?
>C:\WINNT\apihd32.exe
Unbekannt.
>C:\WINNT\system32\syslv.exe
>O4 - HKLM\..\Run: [syslv.exe] C:\WINNT\system32\syslv.exe
Verdächtig.
>C:\WINNT\System32\internat.exe
>O4 - HKCU\..\Run: [internat.exe] internat.exe
Böse.
>R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\iiwoo.dll/sp.html#10213
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://iiwoo.dll/index.html#10213
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://iiwoo.dll/index.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\iiwoo.dll/sp.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://iiwoo.dll/index.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\iiwoo.dll/sp.html#10213
Böse.
>O2 - BHO: (no name) - {E4327D77-BADF-2B32-DF74-A09FE2119E74} - C:\WINNT\system32\sysuk.dll
Böse.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Thema verteilen:
Seite 1 von 1