Computerhilfen.de Logo
Forum
Tipps
News

Startseite befallen

hallo zusammen
meine startseite öffnet immer mit einer seite die ich nicht weg bekomme
(win xp home,ie 6)
habe schon im forum gestöbert und die tipps befolgt aber keinen erfolgt
es macht langsam keinen spass mehr
habe xp seit 5 wochen
und bin nur damit beschäftigt irgendwelche
würmer,viren zu beseitigen
hab im abgesicherten modus mein viren programm , spybot ,hijack this ,ad-aware
laufen lassen
nun die log datei von spybot

SO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-21-514352727-451789597-4247568029-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

Common hijacker: Prefix change (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\www!=http://

Common hijacker: Prefix change (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\!=http://


--- Spybot - Search && Destroy version: 1.3  ---
2004-05-12 Includes\Cookies.sbi
2004-05-12 Includes\Dialer.sbi
2004-05-12 Includes\Hijackers.sbi
2004-05-12 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-05-12 Includes\Malware.sbi
2004-05-12 Includes\Revision.sbi
2004-05-12 Includes\Security.sbi
2004-05-12 Includes\Spybots.sbi
2004-05-12 Includes\Tracks.uti
2004-05-12 Includes\Trojans.sbi


hier die log datei von hijack this


Logfile of HijackThis v1.98.2
Scan saved at 19:26:10, on 21.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\twain_32\SiPix\SCBlink2\Srvany.exe
C:\WINDOWS\twain_32\SiPix\SCBlink2\USBPNP.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\System32\SSCFBTN.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Samsung\SmarThru\PORTCTRL.EXE
C:\Programme\NuCam\CamCheck\CamCheck.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Stefan Görög\Eigene Dateien\Meine empfangenen Dateien\HijackThis\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [SSCFBTN.EXE] SSCFBTN.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PSDrvCheck] "C:\Programme\Pinnacle\Instant PhotoAlbum\programs\PSDrvCheck.exe" -CheckReg
O4 - HKLM\..\Run: [PinnacleRemote] C:\Programme\Pinnacle\Shared Files\remoterm.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GW Port Controller] C:\Programme\Samsung\SmarThru\PORTCTRL.EXE
O4 - HKLM\..\Run: [CamCheck] C:\Programme\NuCam\CamCheck\CamCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Microsoft Update] wserv32.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {89298C52-01BE-45AE-B9CE-46B4F35985BB} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {89298C52-01BE-45AE-B9CE-46B4F35985BB} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O9 - Extra button: Corel Network monitor worker - {89298C52-01BE-45AE-B9CE-46B4F35985BB} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {89298C52-01BE-45AE-B9CE-46B4F35985BB} - (no file) (HKCU)
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=15&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=15&q=
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O17 - HKLM\System\CCS\Services\Tcpip\..\{B0A713EA-12A3-4748-A5FC-ABCFB94E75FD}: NameServer = 62.104.191.241 62.104.196.134

kann man dieses problem nicht manuel entfernen ??
hoffe mir kann jemand weiter helfen
 danke schon mal vorweg

gruss  
       huraxtax .. ... .



Antworten zu Startseite befallen:

na dann schaue dir das hier erst mal an,
http://www.hijackthis.de/

und zu DSO Exploit, schaue hier mal nach,
http://www.wintotal.de/Tipps/Eintrag.php?TID=959

ok
habe dass mal durchgelesen
hab die logfile auswerten lassen
und siehe da
zwei einträge hatte ich vorher gar nicht beachtet
 es sieht so aus als währ ich sie los

danke für deinen rat

gruss huraxtax ... ;D

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\OutLaster\shhost.exe
C:\Programme\eDonkey2000\edonkey2000.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Hoschi\LOKALE~1\Temp\Rar$EX00.172\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [shhost] C:\Programme\OutLaster\shhost.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [eDonkey2000] "C:\Programme\eDonkey2000\edonkey2000.exe" -t
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {293C1C74-F3D9-4C0E-846E-F4FF09F7B204} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {293C1C74-F3D9-4C0E-846E-F4FF09F7B204} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O9 - Extra button: Corel Network monitor worker - {293C1C74-F3D9-4C0E-846E-F4FF09F7B204} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {293C1C74-F3D9-4C0E-846E-F4FF09F7B204} - (no file) (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=20&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=20&q=
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093466432250
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4306DD5-8862-4821-AC1C-4FD4F5C129F2}: NameServer = 205.188.146.146

kann damit jemand was anfangen???

hab auch das problem mit heretofind

Systemwiederherstellung deaktivieren dann hier Escan runterladen->updaten wie beschrieben->in den abgesicherten-Modus booten->escan starten(doppelklick mwavscan.com)->zusätzlich alle Laufwerke und Services auswählen und das system damit scannen.

Danach ganz normal booten und wenns immernoch so ist nochmal ein LOG machen mit HIjackthis V1.98.2

Gruß

Halo Leute

Ihr müsst einfach den Ordner c:\spe löschen dann ist er weg.

Viel spaß noch

cu

@Nightwolf1979

Schon mal neu gebootet. Nichts für ungut. Ist dann aber immer noch da. Die Idee is n bischen zu einfach!

hilft es den ordner bei jedem boot neu zu löschen? ich meine ist ja nicht so hammer aufwendig.

Ich habe mitlerweile schon tausendmal neu gebootet und er bleibt weg.

Nachdem ihr den Ordner gelöscht habt müsst ihr die Regestrie noch reinigen ist doch klar.
Sorry hatte ich vorausgesetzt da hier ja jeder über HijackThis redet.
Also einfach nach dem löschen HijackThis laufen lassen udn Problem ist und BLEIBT weg.

CU

@Nightwolf1979

Schon mal neu gebootet. Nichts für ungut. Ist dann aber immer noch da. Die Idee is n bischen zu einfach!


Sorry für dich aber manchmal ist es einfacher einfach besser. habe aber vorher selber sechs Stunden daran gesessen und versucht ihn per hand zu löschen bis ich darauf gestoßen bin.
Bin Informatiker kannst mir ruhig glauben wenn ich hier sowas schreibe.
In den letzten jahren gab es genug Viren die zu schlau für AntiViren schutz waren aber ganz einfach zu löschen waren.
Ganz nach dem Motto "Den Wald vor lauter Bäumen nicht sehen"
 ;)

@Nightwolf1979  ;)

Ich hab dir geglaubt wenn du was schreibst und halbe Wahrheiten stimmen nun mal nicht. Das Löschen des Ordners allein hilft nicht weiter und genau das hast du behauptet. Und was ist bitte das für ein Niveau "Ich bin Informatiker". Wenn du als Informatiker 6 Stunden brauchst um darauf zu kommen die Registry zu reinigen und es in einem Thread nicht dazu schreibst??? Für eine schnelle Lösung auf jeden Fall nicht geeignet und als gründliche Lösung ebenfalls nicht.

Die schnelle Hilfe sieht so aus(Bootpartition in  NTFS): Den Ordner c:\spe\ leeren und die Berechtigungen für diesen Ordner alle löschen.
Dafür hab ich keine Informatikerausbildung und nur 1 Stunde gebraucht.

Die gründliche Lösung geht nur mit zusätzlichen Programmen (schon ausführlich beschrieben - mal googeln) RegClean reicht hier nicht aus.

Und noch 'n Tip nimm nicht immer alles so persönlich und hinterfrag dich selbst.

na dann schaue dir das hier erst mal an,
http://www.hijackthis.de/

und zu DSO Exploit, schaue hier mal nach,
http://www.wintotal.de/Tipps/Eintrag.php?TID=959

Hervorragender Tip. Nach unzähligen vergeblichen Versuchen mit http://www.hijackthis.de/ Problem gelöst.

hm .. ich habs anders hinbekommen... allerdingens fahr ich W98 - da komm ich mit Berechtigungen nich' so jut klar... *g*.
Spybot S6D 1.3 findet zwar alle Registry-Einträge, aber das reicht ja bekanntlich nicht. Auch der Ordner C:\spe erstellt sich immer wieder neu. Witzig ist aber, daß in den reg-Einträgen auf die mir schon verdächtige "C:\windows\system\remove_me.dll" verwiesen wird. Auch hier ist die Kette nicht zu Ende (wenn ich dat file lösche, is es in fünf Minuten wieder da) - aber wenn ich eine Dummydatei mit diesem Namen erstelle und sie schreibschütze, bleibt mein IE nach dem Start immer sauber auf blank. Und das ist die Hauptsache. Mir ist auch klar, daß ich damit nur Symptome bekämpft habe (irgendwo muß das Skript ja lauern, das diese ".dll" erstellt) ... aber Faulheit siegt ja bekanntlich. In drei Jahren werd ich mehr Dummyfiles als Systemdateien in meiner Büchse beherbergen...*g*


« regedit ProblemeClick.Adpower.I »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!