mal wieder eine geänderte Startseite

Dieses Thema mal wieder eine geänderte Startseite im Forum "Sonstiges rund ums Internet" wurde erstellt von vtrmanni, 7. Apr. 2004.

Thema: mal wieder eine geänderte Startseite Servus Leute !! Auch ich habe das Problem mit der geänderten Startseite. Habe den CWShredder laufen lassen aber des...

  1. Servus Leute !!
    Auch ich habe das Problem mit der geänderten Startseite. Habe den CWShredder laufen lassen aber des funst ned. Mit Hijack This weiß ich ned was ich fixen kann und was ned. Vielleicht kann mir einer von euch helfen. Danke !!

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\pigh.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\pigh.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\pigh.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\pigh.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\pigh.dll/sp.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\pigh.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {E0AA16E9-889E-4F22-A871-7A45ED9E811E} - C:\WINDOWS\System32\pigh.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [Alice] C:\Programme\Wireless 11Mbps Network\XPFix.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\Winampa.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [MSZTCE] C:\WINDOWS\System32\MSZTCE.EXE
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [System Update2] c:\dokume~1\bm\anwend~1\wininet.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
     
  2. Vorneweg: Bitte immer das gesamte Log inkl. der Daten über das Betriebssystem und der Running Processes posten. Sonst kann man nicht ordentlich damit arbeiten.


    Wie auch immer, folgendes mal fixen:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\pigh.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\pigh.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\pigh.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\pigh.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\pigh.dll/sp.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\pigh.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: (no name) - {E0AA16E9-889E-4F22-A871-7A45ED9E811E} - C:\WINDOWS\System32\pigh.dll




    Über die folgenden Einträge habe ich wiedersprüchliche Informationen gefunden, mach mal einen Virenscan und untersuch dein System mal mit Adaware und Spybot. Bekommst du alles hier im Downloadbereich auf der Hauptseite.
    O4 - HKLM\..\Run: [MSZTCE] C:\WINDOWS\System32\MSZTCE.EXE
    O4 - HKCU\..\Run: [System Update2] c:\dokume~1\bm\anwend~1\wininet.exe
     
  3. Hallo !

    Danke für die schnelle Hilfe, wusst ned das ich alles posten muß. Hat auch nicht funktioniert das was ich gefxt habe.

    Hier nochmal die ganze Logfile. Achja, Pc ist Vierenfrei !

    Logfile of HijackThis v1.97.7
    Scan saved at 23:29:24, on 12.04.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\slserv.exe
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Programme\Wireless 11Mbps Network\XPFix.exe
    C:\Programme\Winamp\Winampa.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\QuickTime\qttask.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\dokume~1\bm\anwend~1\wininet.exe
    C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\Dokumente und Einstellungen\BM\Desktop\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: (no name) - {128E8D63-17A4-45AC-9EA3-8ED4EBC2E35F} - C:\WINDOWS\System32\fpk.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [Alice] C:\Programme\Wireless 11Mbps Network\XPFix.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\Winampa.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [MSZTCE] C:\WINDOWS\System32\MSZTCE.EXE
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [System Update2] c:\dokume~1\bm\anwend~1\wininet.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
     
  4. Macht doch nix, dafür habe ich dir das ja gesagt. ;-)

    Aus den Prozessen killen.

    Mal folgendes fixen:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: (no name) - {128E8D63-17A4-45AC-9EA3-8ED4EBC2E35F} - C:\WINDOWS\System32\fpk.dll
    O4 - HKCU\..\Run: [System Update2] c:\dokume~1\bm\anwend~1\wininet.exe
     
  5. Das ist zu bezweifeln.
    Kennst du den Ursprung dieses Programms?
    Stinkt. Fliegt.
     
  6. Nach antivir guard ist mein pc vierenfrei, warum meinst du nicht ??

    Nein kenne ich nicht, könnte vom Notebook zubehör sein das hat irgendwas wireless eingebaut aber frag mich ned.

    ist geflogen, bringt leider nix.

    Zitat korrigiert
     
  7. Wie sieht denn jetzt dein aktuelles Log aus?
     
  8. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: (no name) - {128E8D63-17A4-45AC-9EA3-8ED4EBC2E35F} - C:\WINDOWS\System32\fpk.dll

    das kann unbesehen raus.

    Wichtig bei all dem Löschen ist: Du darfst während du löschst nicht mehr online sein, denn sonst wird eine fiese DLL nicht gelöscht. Habe ich erst durch eigene schmerzliche Erfahrung festgestellt.

    Dann geh in den Ordner C:\WINDOWS\System32\ und vergewissere dich, daß dort die fpk.dll weg ist, die ist nämlich u.a. für den Mist verantwortlich.

    Zum Schluß habe ich in der Registry nach fpk-Dateien gesucht und diese (zwei bleiben nämlich noch in der Registry) per Hand gelöscht. Danach ging alles wieder normal.

    Viel Vergüngen ;)

    Gerhard
     
  9. Hallo !
    Nochmal danke für Eure Hilfe !

    Habe jetzt nochmal besagte Dateien gefixt, Internetexplorer war diesmal zu und ich war nimmer online ! die fpk.dll datei hab ich gefunden und entfernt.
    Scheint so als ob die Startseite wirklich weg währe. Meine Logfiles schauen jetzt so aus.

    Mein Vierenscanner hat noch ein Trojanhorse gefunden obwohl ich ihn erst upgedatet habe und einen kompletten check gemacht habe. Wie gibts denn sowas? Wie gefährlich ist eigentlich ein Trojanisches Pferd oder was macht das in meinem Rechner, sollte ich jetzt alle Passwörter ändern ??


    Logfile of HijackThis v1.97.7
    Scan saved at 15:58:33, on 13.04.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\userinit.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\slserv.exe
    C:\Dokumente und Einstellungen\BM\Desktop\HijackThis.exe
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Programme\Wireless 11Mbps Network\XPFix.exe
    C:\Programme\Winamp\Winampa.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\fpk.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: (no name) - {353E49E1-71C0-4B2C-A0B3-0F59670F0D0A} - C:\WINDOWS\System32\fpk.dll (file missing)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [Alice] C:\Programme\Wireless 11Mbps Network\XPFix.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\Winampa.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
     
  10. Deine Startseite mag zwar weg sein, dein Log ist aber immer noch nicht schön. Du solltest die Einträge nochmals fixen und danach auch mal einen Neustart machen.
    Zu dem Trojaner, Passwörter sollte man so oder so nach einiger Zeit ändern und ein Name wäre auch ganz nett gewesen, weil man sich dann mal über die Funktionsweise hätte informieren können...
    Es hat den Anschein, als ob du generell im Internet auch relativ klickfreudig wärest, ziemlich viel mal einfach so auf die Schnelle herunterlädst usw. Denn solche Software kommt nicht von alleine...
     
Die Seite wird geladen...

mal wieder eine geänderte Startseite - Ähnliche Themen

Forum Datum
Wiederherstellung eines Festplatteninhaltes mit Betriebssystem Software: Empfehlungen, Gesuche & Problemlösungen 18. Jan. 2016
Nach öffnen eines Programfensters springt der PC automatisch wieder auf den Desktop Windows 7 Forum 26. Nov. 2015
Wie bekomme ich eine Windows 7 - Fälschung wieder weg? Windows 7 Forum 23. Sep. 2014
Gelöschter Teil einer bestehenden docx-Datei wieder herstellen Datenwiederherstellung 10. Aug. 2013
Zeitpunkt, an der eine Wiederherstellung veranlasst wurde Windows 7 Forum 5. Apr. 2013