IE und Hijacker

  • #1
I

IchausE

Guest
Hallo Virenkenner,

hab mir wieder einen Hijacker eingefangen und zwar einen der ganz besonderen Härte !! Habe schon alles versucht mit CWSHredder und HijackThis, aber immer wieder ist die Startseite im Explorer geändert!!
Das Protokoll sieht so aus
Logfile of HijackThis v1.98.0
Scan saved at 23:43:07, on 15.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\syswg32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\anvshell.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINNT\winiz32.exe
C:\WINNT\system32\qmhgnmsd.exe
C:\Programme\Bargain Buddy\bin\bargains.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\paat.exe
C:\WINNT\system32\ribnzus.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Corel\Graphics9\Register\Remind32.exe
E:\Programme\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINNT\twaintec.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {60E45899-6847-1231-1A42-11A72846F61C} - C:\WINNT\system32\apito.dll
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINNT\Downloaded Program Files\bridge.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [winiz32.exe] C:\WINNT\winiz32.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe C:\WINNT\Downloaded Program Files\bridge.dll,Load
O4 - HKLM\..\Run: [pqtrmtw] C:\WINNT\system32\qmhgnmsd.exe
O4 - HKLM\..\Run: [Bargains] C:\Programme\Bargain Buddy\bin\bargains.exe
O4 - HKCU\..\Run: [Rctw] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\paat.exe
O4 - HKCU\..\Run: [Kgeya] C:\WINNT\system32\ribnzus.exe
O4 - Startup: Corel Registration.lnk = C:\Programme\Corel\Graphics9\Register\Remind32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) -
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http:xxstatic.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll

Hoffe mir kann jemand helfen, danke schon mal im vorraus!!

Gruß Thorsten
 
  • #2
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINNT\twaintec.dll

fixen

O2 - BHO: (no name) - {60E45899-6847-1231-1A42-11A72846F61C} - C:\WINNT\system32\apito.dll

nichts darüber gefunden, würde ich fixen

O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINNT\Downloaded Program Files\bridge.dll
O4 - HKLM\..\Run: [RunDLL] rundll32.exe C:\WINNT\Downloaded Program Files\bridge.dll,Load
O4 - HKLM\..\Run: [pqtrmtw] C:\WINNT\system32\qmhgnmsd.exe
O4 - HKLM\..\Run: [Bargains] C:\Programme\Bargain Buddy\bin\bargains.exe

fixen

über

O4 - HKLM\..\Run: [winiz32.exe] C:\WINNT\winiz32.exe
O4 - HKCU\..\Run: [Rctw] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\paat.exe
O4 - HKCU\..\Run: [Kgeya] C:\WINNT\system32\ribnzus.exe

hab ich nichts genaues rausgefunden, würde ich fixen


O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http:xxstatic.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll

fixen

dann noch cwshredder, ad-aware, spybot und ein viren/trojanerscanner über dein system laufen lassen, dann sollte wieder alles ok sein...

greetz

hugo

Link flingstone geändert
 
  • #3
IchausE schrieb:
Running processes:

C:\WINNT\system32\syswg32.exe
Zum Vergrößern anklicken....
suspekt, mal in den Eigenschaften (Version) der Datei schauen, ob du Infos bekommst.

C:\WINNT\winiz32.exe
Zum Vergrößern anklicken....
hier auch mal schauen

C:\WINNT\system32\qmhgnmsd.exe
Zum Vergrößern anklicken....
auch hier

C:\Programme\Bargain Buddy\bin\bargains.exe
Zum Vergrößern anklicken....
Bargains Spyware


C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\paat.exe
Zum Vergrößern anklicken....
suspekt

C:\WINNT\system32\ribnzus.exe
Zum Vergrößern anklicken....
suspekt

O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINNT\twaintec.dll
Zum Vergrößern anklicken....
Twain-Tech adware


O2 - BHO: (no name) - {60E45899-6847-1231-1A42-11A72846F61C} - C:\WINNT\system32\apito.dll
Zum Vergrößern anklicken....
suspekt

O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINNT\Downloaded Program Files\bridge.dll
Zum Vergrößern anklicken....
WinFavorites (Flingstone Bridge) Spyware




O4 - HKLM\..\Run: [winiz32.exe] C:\WINNT\winiz32.exe
Zum Vergrößern anklicken....
suspekt

O4 - HKLM\..\Run: [RunDLL] rundll32.exe C:\WINNT\Downloaded Program Files\bridge.dll,Load
Zum Vergrößern anklicken....
WinFavorites Spyware, siehe oben

O4 - HKLM\..\Run: [pqtrmtw] C:\WINNT\system32\qmhgnmsd.exe
Zum Vergrößern anklicken....
suspekt

O4 - HKLM\..\Run: [Bargains] C:\Programme\Bargain Buddy\bin\bargains.exe
Zum Vergrößern anklicken....
Bargains Spyware, siehe oben

O4 - HKCU\..\Run: [Rctw] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\paat.exe
O4 - HKCU\..\Run: [Kgeya] C:\WINNT\system32\ribnzus.exe
Zum Vergrößern anklicken....
suspekt


O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
Zum Vergrößern anklicken....
Sun Java Konsole


O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
Zum Vergrößern anklicken....
Sun Java Konsole

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
Zum Vergrößern anklicken....
Alexa


O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http:xxstatic.flingstone.com/cab/2000XP/CDTInc/bridge.cab
Zum Vergrößern anklicken....
Bridge Spyware, siehe oben

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) -
Zum Vergrößern anklicken....
keine Ahnung ???

O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll
Zum Vergrößern anklicken....
TrojanDownloader


es fehlen die R0 R1 R2 R3 Einträge (Startseiten)

hast du einen Dienst (Systemsteuerung/Verwaltung/Dienste), der Network Security Service heißt?

pan_fee
 
  • #4
Hallo Helfer,

habe heute leider keine Zeit mehr, aber werde morgen die Tipps ausprobieren!!
Ich hoffe es klappt, werde dann hier berichten!!
Danke für die Unterstützung!!

Gruß Thorsten
 
  • #5
hallo Helfer,

leider haben die Tipps nicht ausgereicht :-( Die Startseite blieb!!
Habe dann den Tipp befolgt und HSRemove benutzt und siehe da, der Fehler war weg, die Startseite war eine andere!!!
Aber...... in kürzester Zeit war die startseite wieder geändert und es war wieder HS oder wie er auch immer heißt drauf !!
Habe es jetzt wieder mit HSRemove gelöscht und mit HiJacker wieder kopiert, was jetzt noch aktiv ist, es muss doch irgendwas aus dieser Liste sein!!
Danke schon mal für die Hilfe !!!

Gruß Thorsten

Logfile of HijackThis v1.98.0
Scan saved at 16:07:12, on 18.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\syswg32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\anvshell.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Corel\Graphics9\Register\Remind32.exe
D:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4A6D1988-71C3-A539-5C8C-D7A0FC7D6CAC} - C:\WINNT\system32\addlh32.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [apirl32.exe] C:\WINNT\system32\apirl32.exe
O4 - HKLM\..\Run: [netrk32.exe] C:\WINNT\system32\netrk32.exe
O4 - HKLM\..\Run: [iezd.exe] C:\WINNT\system32\iezd.exe
O4 - Startup: Corel Registration.lnk = C:\Programme\Corel\Graphics9\Register\Remind32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll
 
  • #6
IchausE schrieb:
Habe dann den Tipp befolgt und HSRemove benutzt und siehe da, der Fehler war weg, die Startseite war eine andere!!!
Aber...... in kürzester Zeit war die startseite wieder geändert und es war wieder HS oder wie er auch immer heißt drauf !!
Zum Vergrößern anklicken....
PCDpan_fee schrieb:
hast du einen Dienst (Systemsteuerung/Verwaltung/Dienste), der Network Security Service heißt?
Zum Vergrößern anklicken....
hast du nun diesen Dienst? Wenn ja, deaktivieren.
Versuch es mal mit der home_search_remove.reg

(ziemlich weit unten)
-----------------------------------
Running processes:

C:\WINNT\system32\syswg32.exe
Zum Vergrößern anklicken....

O2 - BHO: (no name) - {4A6D1988-71C3-A539-5C8C-D7A0FC7D6CAC} - C:\WINNT\system32\addlh32.dll
Zum Vergrößern anklicken....

O4 - HKLM\..\Run: [apirl32.exe] C:\WINNT\system32\apirl32.exe
Zum Vergrößern anklicken....

O4 - HKLM\..\Run: [netrk32.exe] C:\WINNT\system32\netrk32.exe
Zum Vergrößern anklicken....

O4 - HKLM\..\Run: [iezd.exe] C:\WINNT\system32\iezd.exe
Zum Vergrößern anklicken....

die Dateien im abgesicherten Modus löschen
-----------------------------------

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
Zum Vergrößern anklicken....
Alexa Spyware


O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
Zum Vergrößern anklicken....
Alexa Spyware

O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll
Zum Vergrößern anklicken....
TrojanDownloader


pan_fee
 
  • #7
Hallo pan_fee !!

Network security service wird bei den Diensten nicht aufgeführt.
syswg32 lässt keinen Prozessabschluss zu, Datei ist im Explorer auch nicht löschbar !!
Die anderen Hiweise hab ich ausgeführt, aber leider .... ohne Erfolg.
Hab noch einmal mit HijackThis das Protokoll gemacht und man sieht das die Links schon wieder hinterlegt sind!!!
Wenn euch noch was einfällt, sag ich wieder danke !!


Logfile of HijackThis v1.98.0
Scan saved at 18:51:47, on 18.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\syswg32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\anvshell.exe
C:\WINNT\system32\apirt.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Corel\Graphics9\Register\Remind32.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\HijackThis.exe
C:\WINNT\system32\rundll32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res:xxostvd.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res:xxC:\WINNT\ostvd.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res:xxC:\WINNT\ostvd.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res:xxostvd.dll/index.html#96676
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4A6D1988-71C3-A539-5C8C-D7A0FC7D6CAC} - C:\WINNT\system32\addlh32.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [apirt.exe] C:\WINNT\system32\apirt.exe
O4 - HKLM\..\RunOnce: [atluv32.exe] C:\WINNT\system32\atluv32.exe
O4 - HKLM\..\RunOnce: [syswg32.exe] C:\WINNT\system32\syswg32.exe
O4 - HKLM\..\RunOnce: [sdkxz32.exe] C:\WINNT\sdkxz32.exe
O4 - Startup: Corel Registration.lnk = C:\Programme\Corel\Graphics9\Register\Remind32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll


ein paar Links unkenntlich gemacht
 
  • #8
IchausE schrieb:
syswg32 lässt keinen Prozessabschluss zu, Datei ist im Explorer auch nicht löschbar !!
Zum Vergrößern anklicken....
PCDpan_fee schrieb:
die Dateien im abgesicherten Modus löschen
Zum Vergrößern anklicken....
funzt nicht? (F8 beim Starten drücken) ???

IchausE schrieb:
Running processes:

C:\WINNT\system32\syswg32.exe
Zum Vergrößern anklicken....

C:\WINNT\system32\apirt.exe
Zum Vergrößern anklicken....

C:\Programme\Internet Explorer\iexplore.exe
Zum Vergrößern anklicken....
??? :-\

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res:xxostvd.dll/index.html#96676
Zum Vergrößern anklicken....
das Entfernungstool »Cleaner SpHjfix.exe« hilft auch nicht?

hast du mal die reg-Datei home_search_remove.reg gestartet?

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\ostvd.dll/sp.html#96676
Zum Vergrößern anklicken....

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\ostvd.dll/sp.html#96676
Zum Vergrößern anklicken....

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res:xxostvd.dll/index.html#96676
Zum Vergrößern anklicken....

O2 - BHO: (no name) - {4A6D1988-71C3-A539-5C8C-D7A0FC7D6CAC} - C:\WINNT\system32\addlh32.dll
Zum Vergrößern anklicken....

O4 - HKLM\..\Run: [apirt.exe] C:\WINNT\system32\apirt.exe
Zum Vergrößern anklicken....

O4 - HKLM\..\RunOnce: [atluv32.exe] C:\WINNT\system32\atluv32.exe
O4 - HKLM\..\RunOnce: [syswg32.exe] C:\WINNT\system32\syswg32.exe
O4 - HKLM\..\RunOnce: [sdkxz32.exe] C:\WINNT\sdkxz32.exe
Zum Vergrößern anklicken....

O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll
Zum Vergrößern anklicken....

pan_fee
 
  • #9
Hallo pan_fee !!

Es könnte nun endgültig geklappt haben!! Nachdem ich dank deines Tipps die C:\WINNT\system32\syswg32.exe im gesicherten Modus löschen konnte (man lernt dazu, danke dafür ;-) und dann noch alle Anwendung wie hijack, CoolWebShredder und home_search_remove.reg durchgezogen hab, war es bis jetzt Ruhe im Schacht !! Allerdings will ich auch erst mal abwarten, denn ich misstraue dem Sch....... noch !! ;-)
Aber trotzdem Danke für die Unterstützung, es war genial, wie schnell einem geholfen wird, macht weiter so !!

Gruß Thorsten
:-*
 
  • #10
Ich habe das gleiche Problem. Ich hab schon einiges probiert. Die Startseite wird nach einiger Zeit immer wieder zurückgesetzt. Weiß jemand welche Datei dafür verantwortlich ist?

Gruß
 
  • #11
@alexus

mach einen thread auf und poste auch ein hijackthis log rein, dann kann man dir helfen ...

greetz

hugo
 
Thema:

IE und Hijacker

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.839
Beiträge
707.962
Mitglieder
51.492
Neuestes Mitglied
Janus36
Oben