IE-Startseite + HijackThis - Hilfe!

pia · 12.06.2004

Hallo allerseits,

bin neu hier und habe das Problem, dass sich meine Startseite wie durch Wunderhand plötzlich ändert.

Bevor ich gleich darauf verwiesen werde, doch die übrigen Threads zu lesen: Das habe ich getan und auch Hijackthis und CWShredder ausgeführt. Nachdem ich alles Verdächtige gelöscht habe, dachte ich die Kiste sei geschlossen, doch weit gefehlt.

Nach dem erneuten Ausführen von HijackThis ist schon wieder eine andere Seite drin. Vielleicht habe ich auch doch nicht alles gelöscht?

Das Log folgt weiter unten.

Vielleicht ist es für euch Cracks noch hilfreich zu wissen, dass ich über LAN/Router reingehe? (<- Zeigt, dass ich keine Ahnung habe).

Bin schon langsam echt am Verzweifeln, weil ich die Verbindung geschäftlich brauche und nicht zum Spaß-Surfen :-(

Logfile of HijackThis v1.97.7
Scan saved at 01:12:58, on 12.06.04
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\MHOTKEY.EXE
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\POPUPSTOPPER\POP-UP STOPPER FREE EDITION\PSFREE.EXE
C:\PROGRAMME\CASIO\PHOTO LOADER\PLAUTO.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
A:\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F1 - win.ini: run=C:\WINDOWS\OEMCFOS\cfosoemd.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\WINDOWS\ANWENDUNGSDATEN\WINIG\WINIG32.DLL (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp3\winampa.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [KAZAA] C:\Program Files\Morpheus\Morpheus.exe /SYSTRAY
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Symantec Core LC] C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\sentstrt.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe -reg
O4 - HKLM\..\RunServices: [ccEvtMgr] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O4 - HKLM\..\RunServices: [ccSetMgr] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O4 - HKCU\..\Run: [MSMSGS] C:\PROGRA~1\MESSEN~1\msmsgs.exe /background
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] C:\PROGRAMME\POPUPSTOPPER\POP-UP STOPPER FREE EDITION\PSFREE.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Check for TWS Updates.lnk = C:\Programme\TWS\Jts\WiseUpdt.exe
O4 - Startup: Teledat Fax.lnk = C:\Programme\Teledat\TelFax32.exe
O4 - Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O9 - Extra button: Related (HKLM)
O9 - Extra->Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra->Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra->Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

Was mach ich nur falsch????

Liebe Grüße,
pia

Flöckchen · 12.06.2004

Hast du den Tipp auch bis zum letzten Satz gelesen?

Da steht: Seit dem 14.04.2004 gibt es für sp.html-Startseiten ein Entfernungstool Cleaner SpHjfix.exe. Der Cleaner ist bisher nur unter Windows 2000/XP funktionsfähig und muss mit Administratorrechten ausgeführt werden.
Ab Version 1.07 wird nun auch Windows 98 unterstützt.

So, das Tool mal ausführen und danach bitte nochmals eine Liste hier posten.

pia · 12.06.2004

Wer lesen kann, ist klar im Vorteil ;-)
Bei nur für Win XP war bei mir Schluss.

Soll ich das am Besten im abgesicherten Modus machen?

Flöckchen · 12.06.2004

Schaden kann es nicht, aber unbedingt nötig ist es wahrscheinlich auch nicht. Ich würds erstmal einfach ausführen und abwarten.

pia · 12.06.2004

Habs ausgeführt. So wie es scheint, hat's allerdings nichts geholfen :-(

Hier ist das Log:

HabLogfile of HijackThis v1.97.7
Scan saved at 02:06:47, on 12.06.04
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
A:\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F1 - win.ini: run=C:\WINDOWS\OEMCFOS\cfosoemd.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\WINDOWS\ANWENDUNGSDATEN\WINIG\WINIG32.DLL (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp3\winampa.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [KAZAA] C:\Program Files\Morpheus\Morpheus.exe /SYSTRAY
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Symantec Core LC] C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\sentstrt.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe -reg
O4 - HKLM\..\RunServices: [ccEvtMgr] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O4 - HKLM\..\RunServices: [ccSetMgr] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O4 - HKCU\..\Run: [MSMSGS] C:\PROGRA~1\MESSEN~1\msmsgs.exe /background
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] C:\PROGRAMME\POPUPSTOPPER\POP-UP STOPPER FREE EDITION\PSFREE.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Check for TWS Updates.lnk = C:\Programme\TWS\Jts\WiseUpdt.exe
O4 - Startup: Teledat Fax.lnk = C:\Programme\Teledat\TelFax32.exe
O4 - Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O9 - Extra button: Related (HKLM)
O9 - Extra->Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra->Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra->Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

pia · 12.06.2004

Hab die Datei noch mal ausgeführt, sagt, System ist nicht infiziert. Habe jetzt noch mal die Startseite auf google gesetzt und fahre gerade nochmal neu hoch.

Gleich wird's spannend (ob er nach dem erneuten hochfahren google gleich akzeptiert, oder wieder umleitet)

ER HAT ES GESCHAFFT!!!!

VIELEN DANK FÜR DEN TIPP!!! ;D ;D ;D

Vielleicht möchtest du dennoch das Log auswerten?

Flöckchen · 12.06.2004

Die Systemwiederherstellung hattest du nicht zufällig deaktiviert, oder?
Wenn nicht, das mal machen und das Tool dann nochmals laufen lassen. Nach dem Einsatz des Tools soll man CWS nochmals laufen lassen. (Steht auf der Seite von Rokop zumindest...)
Danach dann nochmal mit HijackThis schauen.

---EDIT---
Dein Log ist ja nicht mehr wirklich aktuell, also spare ich mir das mal mit dem Auswerten

Wenigstens kann ich jetzt beruhigt ins Bettchen gehen 8)
Gute Nacht

pia · 12.06.2004

Flocke schrieb:
Die Systemwiederherstellung hattest du nicht zufällig deaktiviert, oder?

Doch, die hatte ich auch deaktiviert.

Wenn nicht, das mal machen und das Tool dann nochmals laufen lassen. Nach dem Einsatz des Tools soll man CWS nochmals laufen lassen. (Steht auf der Seite von Rokop zumindest...)
Danach dann nochmal mit HijackThis schauen.

---EDIT---
Dein Log ist ja nicht mehr wirklich aktuell, also spare ich mir das mal mit dem Auswerten

Wenigstens kann ich jetzt beruhigt ins Bettchen gehen 8)
Ja, ich wünschte, ich könnte das auch - Jetzt kann ich ja arbeiten ;-)

Gute Nacht

Wünsch ich dir auch!

Zitat korrigiert

IE-Startseite + HijackThis - Hilfe!

pia

Flöckchen

pia

Flöckchen

pia

pia

Flöckchen

pia

IE-Startseite + HijackThis - Hilfe!

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums