geänderte Startseite, Software will sich ungefragt installieren

Dieses Thema geänderte Startseite, Software will sich ungefragt installieren im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Nicooler, 16. März 2005.

Thema: geänderte Startseite, Software will sich ungefragt installieren HI ich habe nun schon seit zwei tagen versucht meinen mit anti-viren progammen zu reinigen, aber es hilft nichts....

  1. HI ich habe nun schon seit zwei tagen versucht meinen mit anti-viren progammen zu reinigen,
    aber es hilft nichts. Norton erkennts nicht, spybot kann nichts dagegen tun und ich steh dumm da!

    Mein Hintergrund flimmert zwischen weiß und grau.

    Ständig kommt eine Fehlermeldung Windows security warning 317.......

    Ausserdem installiert sich ständig securityiguard, und will das ich was zahle.

    Ach und meine Startseite von IE ändersich ständig zu http://www.hotoffers.info/250/



    ...mein Hijackthis zeigt das hier:

    Logfile of HijackThis v1.99.1
    Scan saved at 17:30:12, on 16.03.2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Programme\Norton AntiVirus\SAVScan.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\WINDOWS\Anvshell.exe
    C:\Programme\Creative\ShareDLL\CtNotify.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\WINDOWS\System32\RunDll32.exe
    C:\Programme\ICQ\NDetect.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Dokumente und Einstellungen\Nicolas Balß\Desktop\HijackThis.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\Creative\ShareDLL\Mediadet.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Norton AntiVirus\OPScan.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/250/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {88CC91DE-5930-45AD-9E04-6B1233609FEA} - (no file)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
    O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
    O4 - HKLM\..\Run: [IntelliType] C:\Programme\Microsoft Hardware\Keyboard\type32.exe
    O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\Nicolas \Desktop\HijackThis.exe /startupscan
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - Startup: winupdate72112267[1].exe
    O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
    O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra->Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O9 - Extra->Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
    O12 - Plugin for ôå: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
    O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab
    O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} -
    O16 - DPF: {60261C06-81B0-4DE0-9313-E5BA203A64E9} -
    O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15010/CTPID.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{15A8EAD4-DC4E-4F9D-8F2A-E0917D0C6092}: NameServer = 192.168.1.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{36F48043-92B7-47A8-B721-CE85A48E8265}: NameServer = 192.168.120.252,192.168.120.253
    O17 - HKLM\System\CS1\Services\Tcpip\..\{15A8EAD4-DC4E-4F9D-8F2A-E0917D0C6092}: NameServer = 192.168.1.1
    O17 - HKLM\System\CS2\Services\Tcpip\..\{15A8EAD4-DC4E-4F9D-8F2A-E0917D0C6092}: NameServer = 192.168.1.1
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe


    Ich würde mich freuen wenn mir jemand hilft, denn sonst müsste ich meinen daten goodbye sagen und formatieren.


    Danke.
    Nico

    [blue]Betreff angepasst[/blue]
     
  2. Für weitere Analysen kann ich Dir http://www.hijackthis.de empfehlen. Dort bekommst Du Deine Logs automatisch ausgewertet.

    Zu Deinem Log:
    Löschen, da Spyware.
    Lade Dir mal Startup Control Panel und deaktiviere diesen Eintrag.

    Eddie
     
  3. das habe ich schon probiert das hilft leider auch nicht, denn die viren, spoolsrv32.exe und systre.dll kommen wieder wenn ich sie mit hijackthis lösche. ich habe auch schon probiert sie über delete a file on reboot zu löschen, das geht aber beim nächsten mal sind sie wieder da.

    ....ich habe keine ahnung was ich da tun soll!
     
  4. Das Programm nutzen, das ich verlinkt habe und den Autostart der Programme verhindern.

    Eddie
     
  5. aaa - ja mit hijackthis beendest du nur laufende prozesse & kannst was löschen - nicht aber die ursache an sich entfernen.

    Ich sag ma - wenn du eine diät machst & das ohne zugleich mit sport zu beginnen wirst du ma kurz pfunde purzeln lassen - die kommen aber wieder :D

    also brauchst du das korrekte entsorgungsprogramm:
    1. Erstma - frisch upgedateten virenscanner drüberlaufen lassen (root directory sollte genügen wennst das eilig hast - wenn du keinen hast nimm einen kostenlosen zB: AVG von Grisoft)

    2. ACHTUNG - listen(!) schreib dir auf was der scanner ausscpuckt - alles was er nicht löschen kann - die genauen bezeichnungen - wie zB spoolsrv32

    3. Suche entsprechende removal tools - via zB Norton site oder einfach danach googeln (aber aufpassen das du dir beim googlen nicht einen anderen virus einfängst der sich den berühmten namen des ersten zunutze macht - also ich meine sieh dir an wie die webseiten tatsächlich heissen auf die man dich verlinkt)

    für spoolsrv32 gibts meines wissens ein removal tool - wenns das nicht gibt denn zumindest anleitungen was du schritt für schritt machen mußt

    TiP: sollte einer der *.32er würmer versuchen deinen PC runterzufahren mach:
    windows_taste + R
    eingeben: shutdown -a

    denn kannste weiterarbeiten

    grüsse

    AAAACH ja nochwas - bitte schreib einen eindeutigeren Titel - hätt fast nicht reingekuckt - etwas wie
    virus: spoolsrv32 was nun?
    oder
    PC spielt verrückt - hab ich einen virus?
    ich denk je besser man aus dem titel erkennen kann worums geht desto besser die antworten :)
     
  6. Installier Dir bitte keinen weiteren AV-Scanner.

    Nimm bitte eScan
    http://www.trojaner-info.de/hijacker/escan.shtml
    Mache die updates wie auf der Seite beschrieben und lasse ihn im abgesicherten Modus laufen.
    Die schädlichen Einträge musst Du dann von Hand entfernen.

    Und/Oder das Tool von Trend Micro
    http://www.trendmicro.com/download/dcs.asp
    mit den Patternfiles
    http://www.trendmicro.com/download/pattern.asp

    Alle von Hijackthis.de rot und gelb dargestellten Sachen sind zu entfernen.

    Ausserdem solltest Du dein System updaten und nicht mit Administratorrechten im Internet unterwegs sein.

    Viel Glück
     
  7. Hola,

    Also die gelben sachen von hijackthis würd ich vorsichtig löschen

    da können dinge darunter sein die dein system (oder besser gesagt einzelne programme) benötigen.

    Bsp: Hijackthis will bei mir aphex löschen (also ich glaub der prozess heisst aphex) - was zu gamespy (spielprogramm) gehört... und ja ein paar andere kleinigkeiten... die als vielleicht gefährlich eingestuft werden.
     
  8. Hast Du das Logfile geprüft?
    Ich schon, deswegen schrieb ich
    Dies bezog sich auf das von Nicooler gepostete Logfile
     
  9. Als erstes würde ich mal Windows XP updaten, den Internet Explorer vergessen und Firefox oder Opera verwenden. Dann verwende mal folgende Programme, aber vorher updaten: a2, Ad-Aware SE Personal und Spybot Search & Destroy und zum Schluss lässt du dein Anti-Viren-Programm noch mal laufen.
     
Die Seite wird geladen...

geänderte Startseite, Software will sich ungefragt installieren - Ähnliche Themen

Forum Datum
Geänderte Laufwerkbuchstaben Windows 7 Forum 16. Aug. 2015
Backup mit XCOPY (nur geänderte, neuere Dateien) Windows XP Forum 8. Mai 2015
Picasa 3.9.0 - Kopieren von geänderten Fotos auf die Festplatte Windows XP Forum 14. März 2013
geänderte Wendor ID bei NIC ??? Windows XP Forum 28. Aug. 2009
Schattenkopie unter 2003 - Alle oder nur geänderte? Windows XP Forum 3. Apr. 2006