Änderung der Startseite win 2k

scherge · 30.04.2004

hi leute

ich hab irgendwas auf dem pc ???.
hab schon alles was ich kann probiert.

ständig wird die startseite im explorer geändert (fast sekündlich)
hab ein dutzend progs von win total versucht --nichts.

kann mir bitte jemand helfen ? :-[((win 2k ))

sonst klatsch ich das ding dann an die wand.

grüße scherge

verschoben von Windows NT/2000

PCDpan_fee · 30.04.2004

scherge schrieb:
hab ein dutzend progs von win total versucht --nichts.

welche Programme? ???

Das hier schon gelesen? ???
http://www.wintotal.de/Tipps/Eintrag.php?TID=873

pan_fee

WanTan · 30.04.2004

(Möchte nicht das sich jemand belästigt fühlt und ändere meinen namen)

Ja schon einige male

:-X

habe cw shredder/trojancheck/spybot/bazooka/spywareguard/pestpatrol/highjackthis usw.
gruß WanTan

WanTan · 30.04.2004

ich glaube das hier könnte euch helfen

Logfile of HijackThis v1.97.7
Scan saved at 20:45:13, on 30.04.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\WINNT\htpatch.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Nikon\NkView5\NkvMon.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Marco.Setups\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ecckf.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ecckf.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ecckf.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ecckf.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ecckf.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ecckf.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 212.217.91.70:80
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {6F07B5C3-DC1B-4AE4-B947-70A691F9EDA9} - C:\WINNT\system32\ecckf.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [PUK] C:\Programme\SVSS\PUK\PopKill.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: FlashGet (HKLM)
O9 - Extra->Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37869.1869907407
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CD3C712-1BBB-481C-9BA1-05D7F4160864}: NameServer = 217.5.99.105 194.25.2.129

Gruß WanTan

mav1976 · 30.04.2004

hi wantan,

und was sagen die? benutzen mußt du diese aber auch noch.

eine anleitung zum hijacker gibt´s hier: >>> klick mich <<<

fixen würde ich dieses erstx - wenn der proxyserver gewollt ist, dann lasse diesen stehen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ecckf.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ecckf.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ecckf.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ecckf.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ecckf.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ecckf.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 212.217.91.70:80
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {6F07B5C3-DC1B-4AE4-B947-70A691F9EDA9} - C:\WINNT\system32\ecckf.dll

die exxkf.dll bitte dann einmal in den papierkorb verschieben, aber noch nicht löschen!

ändert sich dann was?

Al Bundy · 30.04.2004

Schon mal an einen Browserwechsel gedacht?
Das löst zwar nicht dein momentanes Problem mit dem IE, verhindert aber das wiederholte auftreten solcher Manipulationen.

WanTan · 30.04.2004

Das bringt nichts
die startseite about:blanc erscheint immer wieder
ich kann manchmal gar nicht so schnell klicken wie der wieder da ist !

Browserwechsel ? ja gerne ! kannst du was empfehlen ?

WanTan

Al Bundy · 30.04.2004

WanTan schrieb:
Browserwechsel ? ja gerne ! kannst du was empfehlen ?

WanTan

Ich Persönlich bevorzuge Firefox, schlank und schnell.
Nützliche Infos zum Browserwechsel findest du hier:
http://www.wintotal-forum.de/?board=35;action=display;threadid=36533

Athene · 30.04.2004

Was mir auffällt: die Sammlung der installierten und laufenden Programme lässt fast auf eine Paranoia schliessen - nur - nach dem Motto viel hilft viel - das bringt nix - wie Du ja bemerkt hast.........
Du machst nur Dein System so langsam zur lahmen Ente.....
Übrigens: Du solltest den IE geschlossen haben, wenn HijackThis läuft!
Wiederhole also mal das mit geschlossenem IE.....

WanTan · 30.04.2004

cool. kanns da probs geben ?ich hab t-dsl und das war echt beschissen einzurichten

gruß wantan

mav1976 · 30.04.2004

hast du die exxkf.dll gelöscht?

das fixen alleine bringt nicht viel, wenn du die .dll nicht auch noch killst.

und bitte deaktiviere mal die activeXcontrols des internetexplorers. kann dich vor einigen (nicht vor alle) bösen überraschungen retten.

wantan · 30.04.2004

hab jetzt firefox laufen

wie kann ich den ie deinstallieren ?

die exxkf.dll hab ich nicht gefunden ?
wie bekomme ich die spyware runter ?

gruß WanTan

mav1976 · 30.04.2004

den ie kannst du nicht deinstallieren, der ist bestandteil von win und sehr tief im system eingebunden.
außerdem sind einige sachen imho auf den msie aufgebaut (z.b. automatische windowsupdates), die diesen ab und zu wieder erforderlich machen.

mach mal ein neues hijack.log. eventuell mußt du in den ordneroptionen die ansichten wechseln, sodaß alle dateien angezeigt werden. und gegebenenfalls auch das häkchen von systemdateien ausblenden entfernen.

wantan · 30.04.2004

Logfile of HijackThis v1.97.7
Scan saved at 22:04:49, on 30.04.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\WINNT\htpatch.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\SVSS\PUK\PopKill.exe
C:\Programme\Nikon\NkView5\NkvMon.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\WINNT\system32\notepad.exe
D:\Marco.Setups\HijackThis.exe
D:\Marco.Setups\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ecckf.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ecckf.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ecckf.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ecckf.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ecckf.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ecckf.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 212.217.91.70:80
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {A03ECB62-B99A-4E38-9938-6D7DF966E3D2} - C:\WINNT\system32\ecckf.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [PUK] C:\Programme\SVSS\PUK\PopKill.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: FlashGet (HKLM)
O9 - Extra->Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37869.1869907407
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CD3C712-1BBB-481C-9BA1-05D7F4160864}: NameServer = 217.5.99.105 194.25.2.129

mav1976 · 30.04.2004

OH SORRY, hab mich verschrieben!!

ecckf.dll <--- diese datei bitte auf deinem system suchen, und in den papierkorb schieben.

falls dies nicht klappen sollte, bitte erledige dies im abgesicherten modus.

die einträge R1 und diesen hier O2 - BHO: (no name) - {A03ECB62-B99A-4E38-9938-6D7DF966E3D2} - C:\WINNT\system32\ecckf.dll vorher anhaken und mittels dem hijacker fixen (fix checked drücken). danach diese .dll löschen.

sorry nochmals für meinen schreibfehler.

wantan · 01.05.2004

danke euch echt für eure mühe aber ich kann auch diese datei nicht löschen.

Bin gestern geschlagene 6 h vorm pc gesessen und hab nix gemacht als
diesen .... zu suchen ! ist eine neuinstallation nicht einfacher ? wer weiß was da noch übrigbleibt wenn ich die Synthome ( ??? stimmt das so ?) wegbekomme ?

gruß WanTan

Al Bundy · 01.05.2004

Du hast schon recht, eine Neuinstall ist der saubere weg.
Wenn du danach weiterhin Firefox benutzt und die Finger vom IE lässt, sollten solche Probleme auch nie wieder auftauchen.

wantan · 01.05.2004

Hab die datei jetzt doch im abgesicherten modus in der papierkorb verschieben können.

werd aber dann trotzdem eine ni machen , wenn du mir das auch rätst.

ich beobachte und melde mich dann wieder , morgen.
vielen dank für die hilfe bisher.

WÜNSCHE ALLEN EINEN SCHÖNEN 1.MAI
NICHT LANG SCHNACKEN...

gruß WanTan

mav1976 · 01.05.2004

hi wantan,

danke für die grüße, wenn du eine ni machen möchtsest, dann nur zu.
aber vorher würde ich gern wissen, ob dies der übeltäter war, der dich geärgert hat?

nach der neuinstall, vergiß nicht die updates aufzuziehen, wenn möglich offline. und vor dem ersten besuch ins i-net, solltest du die svchost.exe für´s i-net sperren. dann ziehe dir die blasterpatches auf, sodaß du dann in aller ruhe auch die anderen fehlenden patches installieren kannst.

stelle den ie, auch wenn du ihn nicht mehr benutzen solltest, auf eine hohe sicherheitsstufe. activeXcontrols komplett deaktivieren etc. - infos findest du hier überall im board.

und dann richte dir den firefox nach belieben ein. solltest du fragen oder probleme mit diesem haben, dann helfen wir dir gerne bei der bedienung, obwohl dieser selbsterklärend ist.

viel spaß mit diesem dann.

Athene · 01.05.2004

Mit IE ohne ActiveX kann man keine WindowsUpdates auf üblichem Weg machen ( zB für weitere Sicherheitsupdates) - man kann das dann umgehen, indem man die Updateseite in die vertrauenswürdigen Seiten aufnimmt......

Änderung der Startseite win 2k

scherge

PCDpan_fee

WanTan

WanTan

mav1976

Al Bundy

WanTan

Al Bundy

Athene

WanTan

mav1976

wantan

mav1976

wantan

mav1976

wantan

Al Bundy

wantan

mav1976

Athene

Änderung der Startseite win 2k

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums