Supportnet / Forum / WindowsXP
Dem WAHNSINN nahe .......... HILFE
Frage
Hallo Leutz,
im Bezug auf "Startseite entführen" etc. (MS-IE)wurde ja bereits genug gepostet, habe auch versucht wertvolle Tips nachzuvollziehen, jedoch ohne Erfolg! Sämtlich hier gesagte Tools zur Bekämpfung von Spy, Adware, Troja. etc. habe ich versucht. Das Tool "HIJACKTHIS_198" ist wohl eine geile Sache, jedoch habe ich wohl ein Reloader-Prog. auf meiner HD welches immer wieder bösartige Geschichten aufs neue installiert. Hier mal das Logfile:
Logfile of HijackThis v1.98.2
Scan saved at 13:11:31, on 12.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\System32\gpvjsa.exe
C:\WINDOWS\system32\netfn.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\Plextor\PlexTool.exe
C:\Programme\Sony\VAIO Action Setup\VAServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wintw.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Spy-Hilfen\hijackthis_198\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qgpeh.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qgpeh.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\qgpeh.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qgpeh.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qgpeh.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qgpeh.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qgpeh.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {BDB5955C-9FF8-325D-8DBB-89CE2D9B30C1} - C:\WINDOWS\d3aj32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [njfkzpwez] C:\WINDOWS\System32\gpvjsa.exe
O4 - HKLM\..\Run: [netfn.exe] C:\WINDOWS\system32\netfn.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Bewerbungs Reminder.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PlexTools.lnk = C:\Programme\Plextor\PlexTool.exe
O4 - Global Startup: VAIO Action Setup (Server).lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/games/clients/y/at0_x.cab
O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/games/clients/y/grt5_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/games/clients/y/rt0_x.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096274038765
O16 - DPF: {AC120B1D-9411-4111-AF52-118052D85D45} (GINDARTS Class) - http://66.98.132.156/g_bin/darts_2_0_0_25.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GINBILLARD8 Class) - http://66.98.132.156/g_bin/billard8_2_0_0_17.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/eng/snooker_2_0_0_21.cab
Die Zeilen R** installieren sich nach dem fixen immer wieder aufs neue !!!!
Aufgefallen ist mir das ich unter Systemsteuerung , SOFTWARE das Programm "HomeSearch" nicht deinstallieren kann, denn als Antwort erhalte ich immer wieder (" http://looking-for.cc/uninstall/HomeSearchAssistant.html " konnte nicht geöffnet werden). Ich denke das Prog. könnte mit meinen Probs zu tun haben !? Als Startseite im MS-IE in der Browser Zeile steht "auch nach Abänderung unter Optionen" => about:blank und die Seite von Home Search wird angezeigt, nach weiterem Aufrufen von anderen Page's erscheinen immerwieder PopUp-Werbe-Einblendungen, und teilweise werden mehrere BrowserFenster automatisch geöffnet !!??
Ich kann leider im Moment kein "LowLevelFormat" oder ähnliches ausführen da mein Toaster im Netzwerk hängt und von anderen Netzusern mitgebraucht wird !!
Wer kann helfen ? Vorab vielen Dank für eure Unterstützung !
Gruss an alle KARSTEN
Antwort 1 von Thunderstorm
Tja.... hast gut viele Progs laufen....*fg*
Also, was ich jetzt machen würde ist mir meine XP cd nehmen und alles formatiern und neu installieren.... dann besorg dir mal ein guten vierenscanner
Scanner
und dann noch ne Firewall
Firewall
viel erfolg
Also, was ich jetzt machen würde ist mir meine XP cd nehmen und alles formatiern und neu installieren.... dann besorg dir mal ein guten vierenscanner
Scanner
und dann noch ne Firewall
Firewall
viel erfolg
Antwort 2 von Mickey
Prüf deinen Autostart auf Auffälligkeiten (unbekannte Proggies):
1.im Startmenü
2.Start-Ausführen-msconfig... [OK] (9x, XP)
3.Systemsteuerung->Software...,
4.die Run-Ordner der Registry,
leere deinen Verlauf, Cache, Cookies und (unter XP) den Prefetch-Ordner.
Alle Aktionen evtl. bei deaktivierter Systemwiederherstellung (ME & XP) und im abgesicherten Modus ausführen - hinterher jeweils neu scannen.
Dann beschäftige dich dringend damit, deine
Browser-Sicherheitseinstellungen anzupassen.
C:\WINDOWS\System32\gpvjsa.exe
C:\WINDOWS\system32\netfn.exe
C:\WINDOWS\system32\wintw.exe
Dateieigenschaften prüfen, wie oben beschrieben ggf. Löschen.
C:\WINDOWS\qgpeh.dll/sp.html#29126
SP.html Fix
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
1.im Startmenü
2.Start-Ausführen-msconfig... [OK] (9x, XP)
3.Systemsteuerung->Software...,
4.die Run-Ordner der Registry,
leere deinen Verlauf, Cache, Cookies und (unter XP) den Prefetch-Ordner.
Alle Aktionen evtl. bei deaktivierter Systemwiederherstellung (ME & XP) und im abgesicherten Modus ausführen - hinterher jeweils neu scannen.
Dann beschäftige dich dringend damit, deine
Browser-Sicherheitseinstellungen anzupassen.
C:\WINDOWS\System32\gpvjsa.exe
C:\WINDOWS\system32\netfn.exe
C:\WINDOWS\system32\wintw.exe
Dateieigenschaften prüfen, wie oben beschrieben ggf. Löschen.
C:\WINDOWS\qgpeh.dll/sp.html#29126
SP.html Fix
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Antwort 3 von Roland
Hi,
du kannst auch noch ein paar andere Tools laufen lassen:
SpHjfix.exe
SpoonWeg.exe
Spybot
AdAware
einfach vom Internet runterladen und starten.
cya
Roland
du kannst auch noch ein paar andere Tools laufen lassen:
SpHjfix.exe
SpoonWeg.exe
Spybot
AdAware
einfach vom Internet runterladen und starten.
cya
Roland
Antwort 4 von Karsten
Hallo und vielen Dank für Eure Tips, insbesondere die von Mickey.
Doch entweder mache ich noch was falsch oder das "Teil" ist hartnäckiger als Gedacht!
Scheinbar ist alles in Ordnung, jedoch nach einem System-Neustart ist wieder alles da, wie gehabt!
Die Reloadet-Datei ist wohl doch super getarnt *gg*!
Wenn noch jemand einen Vorschlag hat, immer zu, werde alles entsprechend versuchen, denn eine "Formatierung" möchte ich zur Zeit nicht durchführen!
Gruss Karsten
Doch entweder mache ich noch was falsch oder das "Teil" ist hartnäckiger als Gedacht!
Scheinbar ist alles in Ordnung, jedoch nach einem System-Neustart ist wieder alles da, wie gehabt!
Die Reloadet-Datei ist wohl doch super getarnt *gg*!
Wenn noch jemand einen Vorschlag hat, immer zu, werde alles entsprechend versuchen, denn eine "Formatierung" möchte ich zur Zeit nicht durchführen!
Gruss Karsten
Antwort 5 von 4eversr
Du könntest nochmal alles löschen,Systemwiederherstellung aus, Ad Aware usw. durchlaufen lassen und dann noch folgendes machen:
START/Ausführen/ msconfig
Dort findest du alles was automatisch mitgestartet wird.Dort kannst du dich ja mal nach Verdächtigem umschauen ;)
Ansonsten kann ich dir auch nur raten: Plattmachen und dann als erstes gut absichern :)
START/Ausführen/ msconfig
Dort findest du alles was automatisch mitgestartet wird.Dort kannst du dich ja mal nach Verdächtigem umschauen ;)
Ansonsten kann ich dir auch nur raten: Plattmachen und dann als erstes gut absichern :)
Antwort 6 von Limbius
Wie 4eversr schon sagt: Dein Problem erledigt sich wenn du die Systemwiederherstellung VORHER deaktivierst...
Antwort 7 von wento o.k.
Das mit der Systemwiederherstellung hat man dir ja schon geschrieben.
Wenn du eine Auswertung deines Logs haben willst, probier doch mal
ttp://www.hijackthis.de/index.php?langselect=german
Mehr Informationen findest du aber z.B. auch hier
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html
Gutes Gelingen
wento!
Wenn du eine Auswertung deines Logs haben willst, probier doch mal
ttp://www.hijackthis.de/index.php?langselect=german
Mehr Informationen findest du aber z.B. auch hier
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html
Gutes Gelingen
wento!