Hilfe
Neues Thema
Antworten
Hallo
Bei meinem Rechner verstellt sich immer die Startseite. Ich habe mit Hijackthis ein Log erstellt, wäre nett wenn sich dies jemand unter die lupe nehmen wäre.
Besten Dank im vorraus.
Logfile of HijackThis v1.97.7
Scan saved at 09:09:09, on 03.06.04
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolss.exe
C:\WINNT\system32\crypserv.exe
C:\WINNT\System32\drmon\smartagt\smartagt.exe
C:\WINNT\system32\RpcSs.exe
C:\Programme\G DATA\AVKClient\AvkClSv.exe
C:\Programme\G DATA\AVKClient\AVKWCtl.exe
c:\winnt\system32\pstores.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\comsmd.exe
C:\WINNT\System32\DACONFIG.EXE
C:\Programme\Gemeinsame Dateien\Totem Shared\Uninstall0001\upd.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINNT\runwin32.exe
C:\PROGRAMM\Palm\HOTSYNC.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\Programme\G DATA\AVKClient\AVKAgent.exe
C:\WINNT\System32\ddhelp.exe
C:\WINNT\system32\ntvdm.exe
C:\Programme\Plus!\Microsoft Internet\IEXPLORE.EXE
D:\Downlad Software\Viren-Firewall\Hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programm\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {8FB0F3E2-5193-11d7-9F88-0050FC5441CB} - C:\WINDOWS\SYSTEM32\shdocvw.dll (file missing)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [COMSMDEXE] comsmd.exe -on
O4 - HKLM\..\Run: [DACONFIGEXE] DACONFIG.EXE R
O4 - HKLM\..\Run: [mdac_runonce] C:\WINNT\System32\runonce.exe
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKCU\..\Run: [runwin32] C:\WINNT\runwin32.exe
O4 - Startup: HotSync Manager.lnk = C:\PROGRAMM\Palm\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .pdf: C:\PROGRA~1\Plus!\MICROS~1\PLUGINS\nppdf32.dll
O13 - DefaultPrefix:
O16 - DPF: {00000012-890E-4AAC-AFD9-000000000000} - http://66.230.145.20...c/x12/login.exe
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6...922/wmv9VCM.CAB
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.14...tiveXImgCtl.CAB
O16 - DPF: {6D15BD40-CCA6-11D2-A6A0-0060089A0EFF} (RWSO_IHB) - https://banking.rwso...B/srwso2001.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comne...iveSecurity.cab
O16 - DPF: {8D245D60-5705-11D3-B529-002035C21AB9} (Internet HomeBanking) - https://www3.genodir.../srbgihb200.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 192.168.100.254
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 192.168.100.254
O19 - User stylesheet: C:\WINNT\hh.htt (file missing) (HKLM)
Seite 1 von 1
Startseite Wird Immer Verstellt
#1
luki 
geschrieben 03. Juni 2004 - 08:28
Nach oben
#2
tecONE
- Gruppe: aktive Mitglieder
- Beiträge: 739
- Beigetreten: 06. Januar 02
- Reputation: 1
- Geschlecht:Männlich
- Wohnort:Freiburg
geschrieben 03. Juni 2004 - 08:37
HI, ich hab mal gegoogled und fand raus, das die Datei
C:\WINNT\runwin32.exe
zu so ner lustigen Searchbar gehört die alles mögliche (Startseite, Suchseite usw.) ändert. "http://easy-search.biz" sieht mir auch nicht nach der Standardsuche aus
lösch mal
C:\WINNT\runwin32.exe
und starte neu. Schau dann mal ob es wieder passiert.
Gruß tecONE
C:\WINNT\runwin32.exe
zu so ner lustigen Searchbar gehört die alles mögliche (Startseite, Suchseite usw.) ändert. "http://easy-search.biz" sieht mir auch nicht nach der Standardsuche aus
lösch mal
C:\WINNT\runwin32.exe
und starte neu. Schau dann mal ob es wieder passiert.
Gruß tecONE
#3
born2flame
geschrieben 03. Juni 2004 - 09:15
Es besteht theoretisch die Möglichkeit das auch die upd.exe ein Backdoor ist(es gibt einen mit diesem Namen), darum würde ich Search&Destroy, AAW und ähnliches einfach mal saugen und laufen lassen.
Die runwin32.exe ist laut Symantec eher ein Trojaner mit dem man an deine Passwörter(ICQ, RAS, Netzwe...) kommt.
Was auch immer das nun genau ist -> RUNTER DAMIT.
Die runwin32.exe ist laut Symantec eher ein Trojaner mit dem man an deine Passwörter(ICQ, RAS, Netzwe...) kommt.
Was auch immer das nun genau ist -> RUNTER DAMIT.
#4
luki
geschrieben 03. Juni 2004 - 09:28
Hallo,
hab die runwin32 gelöscht und neu gestarte. Bis jetzt hat sich die Startseite nicht wieder verstellt.
Hab aber jetzt das Problem, dass ein Dienst nicht gestarte werden kann. Folgende Meldung ist in der Ereignisanzeige:
Der Start vom Crypkey License ist mit folgendem Fehler fehlgeschlagen:
Das System kann die angegebene Datei nicht finden.
In der Regedit habe ich dazu mehrere Einträge gefunden.
Kann ich die löschen ?
mfg
luki
hab die runwin32 gelöscht und neu gestarte. Bis jetzt hat sich die Startseite nicht wieder verstellt.
Hab aber jetzt das Problem, dass ein Dienst nicht gestarte werden kann. Folgende Meldung ist in der Ereignisanzeige:
Der Start vom Crypkey License ist mit folgendem Fehler fehlgeschlagen:
Das System kann die angegebene Datei nicht finden.
In der Regedit habe ich dazu mehrere Einträge gefunden.
Kann ich die löschen ?
mfg
luki
#5
xman2002
geschrieben 04. Juni 2004 - 13:18
Hab jetzt nicht alles durchgelsen, sorry.
Aber wenn es wirklich nur um die Startseite geht, kannste bei "XP-Clean" (FReeware)unter "optimieren" -> "Betriebssystem" einstellen, dass die Startseite nicht mehr verändert werden kann, bis man die Option halt wieder deaktiviert.
Tillo
Aber wenn es wirklich nur um die Startseite geht, kannste bei "XP-Clean" (FReeware)unter "optimieren" -> "Betriebssystem" einstellen, dass die Startseite nicht mehr verändert werden kann, bis man die Option halt wieder deaktiviert.
Tillo
#6
Patrick
- Gruppe: aktive Mitglieder
- Beiträge: 100
- Beigetreten: 02. Juni 04
- Reputation: 0
- Wohnort:Cuxhaven
geschrieben 04. Juni 2004 - 14:11
Bei mir kann man die Startseite überhaupt nicht mehr ändern.
Das Feld wo man reinschreiben kann und die Buttons sind Deaktiviert!
Das Feld wo man reinschreiben kann und die Buttons sind Deaktiviert!
#7
xman2002
geschrieben 04. Juni 2004 - 17:54
Zitat
Das Feld wo man reinschreiben kann und die Buttons sind Deaktiviert!
Das, nachdem du die Option bei XP-Clean angewendet hast?
Ja, mit der Option wird das Feld deaktiviert. Das verhindert allerdings auch, dass die Startseite automatisch geändert wird.
Also geh nochmal hier hin
"optimieren" -> "Betriebssystem"
deaktivier die Option wieder, stell deine bevorzugte Startseite ein,
und aktiviere die Funktion wieder.
Thema verteilen:
Seite 1 von 1