Supportnet Computer
Planet of Tech

Supportnet / Forum / WindowsXP

Dem WAHNSINN nahe .......... HILFE





Frage

Hallo Leutz, im Bezug auf "Startseite entführen" etc. (MS-IE)wurde ja bereits genug gepostet, habe auch versucht wertvolle Tips nachzuvollziehen, jedoch ohne Erfolg! Sämtlich hier gesagte Tools zur Bekämpfung von Spy, Adware, Troja. etc. habe ich versucht. Das Tool "HIJACKTHIS_198" ist wohl eine geile Sache, jedoch habe ich wohl ein Reloader-Prog. auf meiner HD welches immer wieder bösartige Geschichten aufs neue installiert. Hier mal das Logfile: Logfile of HijackThis v1.98.2 Scan saved at 13:11:31, on 12.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\LTSMMSG.exe C:\WINDOWS\System32\ezSP_Px.exe C:\WINDOWS\System32\gpvjsa.exe C:\WINDOWS\system32\netfn.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe C:\Programme\Plextor\PlexTool.exe C:\Programme\Sony\VAIO Action Setup\VAServ.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\wintw.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\ctfmon.exe C:\Spy-Hilfen\hijackthis_198\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qgpeh.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qgpeh.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\qgpeh.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qgpeh.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qgpeh.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qgpeh.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qgpeh.dll/sp.html#29126 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {BDB5955C-9FF8-325D-8DBB-89CE2D9B30C1} - C:\WINDOWS\d3aj32.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [njfkzpwez] C:\WINDOWS\System32\gpvjsa.exe O4 - HKLM\..\Run: [netfn.exe] C:\WINDOWS\system32\netfn.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Bewerbungs Reminder.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PlexTools.lnk = C:\Programme\Plextor\PlexTool.exe O4 - Global Startup: VAIO Action Setup (Server).lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/games/clients/y/at0_x.cab O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/games/clients/y/grt5_x.cab O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/games/clients/y/rt0_x.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096274038765 O16 - DPF: {AC120B1D-9411-4111-AF52-118052D85D45} (GINDARTS Class) - http://66.98.132.156/g_bin/darts_2_0_0_25.cab O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GINBILLARD8 Class) - http://66.98.132.156/g_bin/billard8_2_0_0_17.cab O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/eng/snooker_2_0_0_21.cab Die Zeilen R** installieren sich nach dem fixen immer wieder aufs neue !!!! Aufgefallen ist mir das ich unter Systemsteuerung , SOFTWARE das Programm "HomeSearch" nicht deinstallieren kann, denn als Antwort erhalte ich immer wieder (" http://looking-for.cc/uninstall/HomeSearchAssistant.html " konnte nicht geöffnet werden). Ich denke das Prog. könnte mit meinen Probs zu tun haben !? Als Startseite im MS-IE in der Browser Zeile steht "auch nach Abänderung unter Optionen" => about:blank und die Seite von Home Search wird angezeigt, nach weiterem Aufrufen von anderen Page's erscheinen immerwieder PopUp-Werbe-Einblendungen, und teilweise werden mehrere BrowserFenster automatisch geöffnet !!?? Ich kann leider im Moment kein "LowLevelFormat" oder ähnliches ausführen da mein Toaster im Netzwerk hängt und von anderen Netzusern mitgebraucht wird !! Wer kann helfen ? Vorab vielen Dank für eure Unterstützung ! Gruss an alle KARSTEN

Antwort 1 von Thunderstorm

Tja.... hast gut viele Progs laufen....*fg*
Also, was ich jetzt machen würde ist mir meine XP cd nehmen und alles formatiern und neu installieren.... dann besorg dir mal ein guten vierenscanner

Scanner


und dann noch ne Firewall


Firewall


viel erfolg

Antwort 2 von Mickey

Prüf deinen Autostart auf Auffälligkeiten (unbekannte Proggies):
1.im Startmenü
2.Start-Ausführen-msconfig... [OK] (9x, XP)
3.Systemsteuerung->Software...,
4.die Run-Ordner der Registry,
leere deinen Verlauf, Cache, Cookies und (unter XP) den Prefetch-Ordner.

Alle Aktionen evtl. bei deaktivierter Systemwiederherstellung (ME & XP) und im abgesicherten Modus ausführen - hinterher jeweils neu scannen.

Dann beschäftige dich dringend damit, deine
Browser-Sicherheitseinstellungen anzupassen.

C:\WINDOWS\System32\gpvjsa.exe
C:\WINDOWS\system32\netfn.exe
C:\WINDOWS\system32\wintw.exe

Dateieigenschaften prüfen, wie oben beschrieben ggf. Löschen.

C:\WINDOWS\qgpeh.dll/sp.html#29126

SP.html Fix

Gruss,
Mic

Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©

Antwort 3 von Roland

Hi,

du kannst auch noch ein paar andere Tools laufen lassen:

SpHjfix.exe
SpoonWeg.exe
Spybot
AdAware

einfach vom Internet runterladen und starten.

cya
Roland

Antwort 4 von Karsten

Hallo und vielen Dank für Eure Tips, insbesondere die von Mickey.

Doch entweder mache ich noch was falsch oder das "Teil" ist hartnäckiger als Gedacht!

Scheinbar ist alles in Ordnung, jedoch nach einem System-Neustart ist wieder alles da, wie gehabt!

Die Reloadet-Datei ist wohl doch super getarnt *gg*!

Wenn noch jemand einen Vorschlag hat, immer zu, werde alles entsprechend versuchen, denn eine "Formatierung" möchte ich zur Zeit nicht durchführen!

Gruss Karsten

Antwort 5 von 4eversr

Du könntest nochmal alles löschen,Systemwiederherstellung aus, Ad Aware usw. durchlaufen lassen und dann noch folgendes machen:

START/Ausführen/ msconfig

Dort findest du alles was automatisch mitgestartet wird.Dort kannst du dich ja mal nach Verdächtigem umschauen ;)

Ansonsten kann ich dir auch nur raten: Plattmachen und dann als erstes gut absichern :)

Antwort 6 von Limbius

Wie 4eversr schon sagt: Dein Problem erledigt sich wenn du die Systemwiederherstellung VORHER deaktivierst...

Antwort 7 von wento o.k.

Das mit der Systemwiederherstellung hat man dir ja schon geschrieben.
Wenn du eine Auswertung deines Logs haben willst, probier doch mal
ttp://www.hijackthis.de/index.php?langselect=german
Mehr Informationen findest du aber z.B. auch hier
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html
Gutes Gelingen
wento!

Ich möchte kostenlos eine Frage an die Mitglieder stellen:


Ähnliche Themen:


Suche in allen vorhandenen Beiträgen: