Startseite im IE ständig verändert

Hi

Gleiches Problem mit der startseite:

http://w*w.searchmyrequest.com/hp.php <- schwules ding

--------------------------------------------------------------------------------------------

Logfile of HijackThis v1.97.7
Scan saved at 14:45:46, on 31.03.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:// searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:// searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:// searchmyrequest.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http: //www.searchmyrequest.com/hp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R3 - Default URLSearchHook is missing
O1 - Hosts: 64.237.45.18 www. burstnet.com
O1 - Hosts: 64.237.45.18 oz.valueclick.com
O1 - Hosts: 64.237.45.18 a.tribalfusion.com
O1 - Hosts: 64.237.45.18 servedby.advertising.com
O1 - Hosts: 64.237.45.18 pagead2.googlesyndication.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\Winampa.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [VB_run] C:\WINDOWS\comctl_32.exe
O4 - HKLM\..\Run: [eDonkey2000] C:\Programme\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [e6i0rznerk] C:\WINDOWS\ic4bfg14gt.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\winlogon.exe
O4 - HKCU\..\Run: [aimboot] %SystemRoot%\awinrar.exe
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http: //install.global-netcom.de/ieloader.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38076.394224537
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5201767-6F62-4532-8575-425983348EEE}: NameServer = 62.225.252.244,212.185.252.73

----------------------------------------------------------------------------------------------

Habe nur das gelöscht, setzt sich aber immer wieder rein:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http: //searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http: //searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http: //searchmyrequest.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http: //www.searchmyrequest.com/hp.php


Vielleicht jemand noch ne idee ?

Vielen Dank im voraus !


Links editiert
Thema geteilt vom Thread Startseite im IE

Das habe ich auch noch gelöscht, bringt aber auch nichts:

O1 - Hosts: 64.237.45.18 www. burstnet.com
O1 - Hosts: 64.237.45.18 oz.valueclick.com
O1 - Hosts: 64.237.45.18 a.tribalfusion.com
O1 - Hosts: 64.237.45.18 servedby.advertising.com
O1 - Hosts: 64.237.45.18 pagead2.googlesyndication.com


Links editiert

OK habe das Problem fast gelöst:

Und zwar gibts in c:\windows\ einige .exe die sollten umbedingt überprüft und gefixt werden wie z.B.:

------------------------------------------------------------------------------
O4 - HKLM\..\Run: [e6i0rznerk] C:\WINDOWS\ic4bfg14gt.exe
O4 - HKCU\..\Run: [aimboot] %SystemRoot%\awinrar.exe
------------------------------------------------------------------------------

Ich empfehle, zum schnellen scannen:

http://www.kaspersky.com/de/remoteviruschk.html

Dabei kam raus:
------------------------------------------------------------------
ic4bfg14gt.exe Infiziert: Trojan.Win32.StartPage.eb

Zu überprüfende Datei: awinrar.exe
awinrar.exe Ok
------------------------------------------------------------------

Habe die ic4bfg14gt.exe mit Hijack This erfolgreich gefixt !

ABER !

Beim näheren hinschauen in c:\windows\ sind noch einige merkwürdige .exe files, die ich auch untersucht habe z.B.: (sind nicht alle in Hijack This aufgeführt! siehe log, nur comctl_32.exe)

0avrexspvu.exe Infiziert: Trojan.Win32.StartPage.eb
54t0bcs7a9.exe Infiziert: Trojan.Win32.StartPage.eb
aiwtpy3bzi.exe Infiziert: Trojan.Win32.StartPage.eb
comctl_32.exe Infiziert: Trojan.Win32.Densmail
ic4bfg14gt.exe Infiziert: Trojan.Win32.StartPage.eb
l8vrj1hifo.exe Infiziert: Trojan.Win32.StartPage.eb
msxmidi.exe Infiziert: TrojanDownloader.Win32.WinShow.p
precontrol.exe Infiziert: Trojan.Win32.StartPage.eb
update.exe Infiziert: Trojan.Win32.StartPage.eb
xra8f4z359.exe Infiziert: Trojan.Win32.StartPage.eb

Kann mir da jemand weiterhelfen, wie ich vorgehen soll, löschen .... ????

Kein Ahnung ob da ein antiviren programm hilft.....

Lies bitte mal mehr in dieser Forenabteilung - allein auf der 1.Seite von Internet sind mehrere Leute mit ähnlichen Problemen, denen man immer nur wieder dasselbe sagen kann - suche die Ursachen, warum es soweit kommen konnte und versuch sie zu beseitigen - was Du jetzt zZt machst ist Symptombeseitigung..........
Häufige mögliche Ursachen: falsches Klickverhalten, unsicherer Browser mit unsicheren Einstellungen, zu wenig Wissen/Interesse an Sicherungsmöglichkeiten bzw dem was nicht wirklich hilft usw usw

Ich habe momentan zu wenig Zeit und Ruhe, um das Log durchzuchecken - und um mehr zu schreiben - aber wie gesagt - in dieser Abteilung steht alles mehrfach - lies doch einfach auch mal bei den andren mit.........

Hi netpi,

kann nur ani zustimmen.
Was ich bei Dir in deinem Log gelesen haben, da bleibt nicht mehr allzuviel übrig. Da ich über den von Dir geschilderten Virus bzw. Trojan Horse nicht allzuviel gefunden habe weiss ich auch nicht welche Schadroutine er hat und ob eventuell noch andere Schädlinge mit auf dein System gelandet sind.
Ich würde mir an deiner Stelle Gedanken darüber machen das System neu aufzusetzen und alle deine Passwörter zu ändern.
Was Du schlußendlich machst ist vollkommen Dir überlassen.
Viel Erfolg und mal Gedanken machen über Filesharing Vor- und Nachteile

moin,

bitte mal folgendes fixen:

netpi schrieb:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:// searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:// searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:// searchmyrequest.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http: //www.searchmyrequest.com/hp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R3 - Default URLSearchHook is missing
O1 - Hosts: 64.237.45.18 www. burstnet.com
O1 - Hosts: 64.237.45.18 oz.valueclick.com
O1 - Hosts: 64.237.45.18 a.tribalfusion.com
O1 - Hosts: 64.237.45.18 servedby.advertising.com
O1 - Hosts: 64.237.45.18 pagead2.googlesyndication.com
O4 - HKLM\..\Run: [VB_run] C:\WINDOWS\comctl_32.exe
O4 - HKLM\..\Run: [e6i0rznerk] C:\WINDOWS\ic4bfg14gt.exe
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http: //install.global-netcom.de/ieloader.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab

Zum Vergrößern anklicken....

zusätzlich bitte folgende dateien auf deinen pc suchen und in den papierkorb schieben:

• ic4bfg14gt.exe
• ieloader.dll
• ieloader.cab

O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\winlogon.exe

Zum Vergrößern anklicken....

schaue bitte mal nach, wieviele winlogon.exe es auf deinen system existieren. ich bin mir nicht sicher, ob die originale bei win2000 im windowsordner liegt! (bei xp liegt sie im system32 ordner)

ps: du hast übrigens einen teil des hijackes unterschlagen. wenn wir dir helfen sollen, dann poste bitte den kompletten mit momentanen prozessen, die hier fehlen.

winlogon.exe liegt bei xp im system32 ordner

Zum Vergrößern anklicken....

Bei 2000 auch

Und der liegt bei W2000 in C:\winnt

C:\ muss nicht zwingend sein

aber winnt

jaa, dann würde ich mal sagen, diesen bitte auch fixen! gell?

bitte vorher diese winlogon.exe im taskmanager killen. wobei ich dir den processviewer empfehlen würde. kannst du hier downloaden:

www.sysinternals.com - dann siehst du die kompletten pfade, der prozesse! wird mit dem taskmanager etwas schwierig werden.

da kann man eigentlich nur raten, welchen bösewicht du dir eingefangen hast.

bitte einen komplettscan machen lassen mit deinem virenscanner (up to date natürlich) - du kannst einen gegenscan auch noch mit einem kostenlosen onlinescanner machen.

und wie aninemo schon oben schrieb: dies sind nur die symptome, die entfernt werden, die ursachen mußt du selbst finden. vielleicht solltest du dich mit themen wie sicherheit im internet beschäftigen. infos und tipps findest du auch hier angro. einfach die boardsuche benutzen.

aninemo schrieb:

aber winnt

Zum Vergrößern anklicken....

aussere man benennt es bei der Installation um ;D
Aber in der Regel schon.
Aber das wissen wir ja nur wenn der Threadersteller sich nochmal meldet

hoffen wir doch mal. gibt noch eine menge mehr, die dort aus dem autostart kann. (nicht zwingend notwendig) ;D

Bei W2k gibt es standardmäßig kein Windowsverzeichniss.
Edit: Heisst dort winnt
Bleibe nach wie vor bei einer Neuinstallation.
Ich weiss aber auch das es hier unterschiedliche Meinungen gibt.
Könnte man sich auch mal Gedanken über ein Imageprogramm machen

Da ich bislang nix von einem laufenden Virenscanner sehe - vielleicht auch mal sowas zulegen......
Zumal der Esel wohl zu tun hatte....

Ja ja, Hauptsache der Esel läuft ;D
Wer den Schaden hat, .....

Vielen Dank für eure Hilfe !

Zum Thema Windows OnlineSicherheit:

Seh schon, sollte wohl irgendwann das system neuinstallieren. Soweit es nur trojaner, dialer sind ist mir das eigentlich egal. Würde nie ein wichtiges system mit windows laufen lassen (ist nur ein client)
Mal ganz ehrlich, dass ganze Sicherheitsthema ist mir in den letzten 3 Jahren zu lässtig geworden.

Das System scheint ziemlich befallen zu sein, habe 5 winlogon.exe:

C:\WINDOWS\SYSTEM
C:\WINDOWS\SYSTEM32
C:\WINDOWS\$NtServicePackUninstall$
C:\WINDOWS\ServicePackFiles\i386
C:\WINDOWS\$NtUninstallKB824141$

Aktuelle Hijack This log:

Logfile of HijackThis v1.97.7
Scan saved at 01:54:58, on 01.04.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\MSTask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\eDonkey2000\eDonkey2000.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\internat.exe
C:\WINDOWS\System\winlogon.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\WINDOWS\system32\rundll32.exe
C:\Eigene Dateien\tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heise.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\Winampa.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [eDonkey2000] C:\Programme\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\winlogon.exe
O4 - HKCU\..\Run: [aimboot] %SystemRoot%\awinrar.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http:// connect.online-dialer.com/cax.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38076.394224537
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5201767-6F62-4532-8575-425983348EEE}: NameServer = 62.225.252.244,212.185.252.73



O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http:// connect.online-dialer.com/cax.cab

da trägt sich ständig was neues ein.


Und lasse mal ein neuen Virenscanner drüber laufen, vielleicht bringt das ja auch schon was.

Aber vielen DANK nochmal !

so was mir noch aufgefallen ist. bei win2000 gibt´s doch eigentlich keine systray.exe mehr. die gibt´s doch imho nur bei win9x.

C:\WINDOWS\SYSTEM -->korrupt
C:\WINDOWS\SYSTEM32 -->original
C:\WINDOWS\$NtServicePackUninstall$ -->servicepack (normal)
C:\WINDOWS\ServicePackFiles\i386 --> --
C:\WINDOWS\$NtUninstallKB824141$ --> --

Zum Vergrößern anklicken....

also bitte folgendes fixen, vorher aber den korrupten prozess der winlogon.exe killen. diesen nach dem fixen aus dem ordner cwindows/system löschen. mich wundert, daß dein av-scanner nicht angeschlagen hat. (ist dieser up-to-date?)

C:\WINDOWS\System\winlogon.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heise.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\winlogon.exe
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http:// connect.online-dialer.com/cax.cab

Zum Vergrößern anklicken....

schaue dir auch hier mal die eigenschaften dieser .exe an! diese kenne ich auch nicht. vielleicht könntest du uns sagen, wozu diese gehört. sollte diese suspekt sein, kannst du diese aus dem autostart ja auch mal entfernen.

O4 - HKCU\..\Run: [aimboot] %SystemRoot%\awinrar.exe

Zum Vergrößern anklicken....

------- edit -------

...Soweit es nur trojaner, dialer sind ist mir das eigentlich egal. Würde nie ein wichtiges system mit windows laufen lassen (ist nur ein client)
Mal ganz ehrlich, dass ganze Sicherheitsthema ist mir in den letzten 3 Jahren zu lässtig geworden.

Zum Vergrößern anklicken....

sage uns dann mal, warum du hier anfragst und hilfe suchst?? kann ich nicht verstehen. über sicherheitskonzepte solltest du dir wirklich mal gedanken machen, denn so schwer ist´s gar nicht, wie es zunächst den anschein hat.

sonst hat dies hier keinen sinn, in meinen augen.

Soweit es nur trojaner, dialer sind ist mir das eigentlich egal

Zum Vergrößern anklicken....

Na - dann ist es Dir offenbar egal, ob Du mit dem Rechner Malware unbemerkt verteilst und vielleicht auch unbemerkt Dein Rechner anderweitig missbraucht wird - mir wäre das nicht egal :-\

Übrigens finde ich das alles sehr merkwürdig: Im Logfile steht ja W2000 SP4 - und dann immer wieder C:\Windows\xxx und das mit der systray.........
Passt alles irgendwie nicht zusammen :
Oder hast Du evtl mal W98 dort gehabt und ein Upgrade auf W2000 gemacht? ( ich hatte sowas noch nie - deswegen weiss ich nicht, wo W2000 in solchem Fall seine Systemdateien liegen hat - normal ist doch C:\winnt\ )

Ich versteh es nicht - und blick nicht mehr durch - deswegen mach ich jetzt diesen: :-X

aninemo

Ja auf dem system war mal win98 -> upgrade auf win2000.
Die systray ist OK, kein virus schaden, liegt an dem früheren win98.