Startseitenvirus

[knatri]

Hallo zusammen...

auf meinem computer hat sich ein Startseitenvirus eingeschlichen, also d.h. es wird immer automatisch eine Suchseite aufgestartet...man kann dann auch versuchen eine andere Startseite einzugeben, das nützt jedoch nichts, da sich die andere Seite immer wieder automatisch als Startseite installiert.

Cookies und Temporäre Internetfiles habe ich alle gelöscht, das hat auch nichts gebracht...wo könnte die Datei noch abgelegt sein? Und vorallem wie kann ich sie entfernen?

es handelt sich hierbei um folgende Internetadresse: http://kita-search.com/enter.htm?id=9

Über eure Hilfe würde ich mich sehr freuen...

Greez knatri

 

[hal9000]

systemwiederherstellung deaktivieren, hijack this downloaden und bei ausgeschalteten browser drüberlaufen lassen. das logfile hier http://hijackthis.de/ auswerten und danach handeln. weiterhin die übleichen programme verwenden und aktuell halten: ad-aware, spybot, ein antivir-programm und den neuesten stinger bei der hand haben.

 

[knatri]

hmmm...wo mach ich das mit der systemwiederherstellung...sorry...kenne mich nicht so aus...weiss auch nicht wie man den hijack drüber laufen lässt...


sorry...

 

[hal9000]

rechtsklick auf arbeitsplatz, eigenschaften, systemwiederherstellung (wenn win xp) und dort deaktivieren. da macht sich die frage nach deinem betriebssystem bei mir breit.

 

[PuppetMaster]

Evtl. noch den CWShredder drüberlaufen lassen und auch mal an nen besseren Browser denken.

 

[knatri]

hmmm...hab hijack drüber laufen lassen...weiss jetzt aber nicht wie ich die dateien lösche? ausserdem kann ich sie nicht genau identifzieren, d.h. dieser startseite zuordnen...übrigens...wird jetzt eine andere seite automatisch aufgestartet...nämlich: http://t.swapx.cc/h.php?aid=20009

 

[hal9000]

schick mir doch mal den text aus dem log als PN. mal sehen, was da drin steht.

 

[PuppetMaster]

hal9000 hat eigentlich schon korrekt beschrieben.
Lass in HijackThis ne Log-Datei erstellen, geh auf www.hijackthis.de, kopiere die rein und lass sie auswerten.

 

[knatri]

ok...hier di log datei..

Logfile of HijackThis v1.98.2
Scan saved at 19:00:13, on 06.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\programme\180solutions\sais.exe
C:\WINDOWS\system32\e63tow49lngthd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\pewr.exe
C:\WINDOWS\System32\basfwvg.exe
C:\Dokumente und Einstellungen\Marco\Eigene Dateien\downloads\hijackthis_198\HijackThis.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = [url]http://win-eto.com/sp.htm?id=9[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [url]http://win-eto.com/sp.htm?id=9[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://win-eto.com/hp.htm?id=9[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://win-eto.com/hp.htm?id=9[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://win-eto.com/hp.htm?id=9[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = [url]http://win-eto.com/sp.htm?id=9[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = [url]http://www.my-mail.ch/[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\J9CX9X~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar15.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [htkzrnljo] C:\WINDOWS\System32\xqneyyzp.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [mfqzwjcf] C:\WINDOWS\mfqzwjcf.exe
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\system32\e63tow49lngthd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Esat] C:\Dokumente und Einstellungen\Marco\Anwendungsdaten\pewr.exe
O4 - HKCU\..\Run: [Ouwk] C:\WINDOWS\System32\basfwvg.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - [url]http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab[/url]
O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} - [url]http://www.whenusearch.com/WUInstSECS.cab[/url]
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - [url]http://66.230.146.53/EPlugin_AT.cab[/url]
O20 - AppInit_DLLs: kg7ic9pvp2mdx1ll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll
O21 - SSODL: System - {A06D92D5-40B1-4294-A29C-FE72FE0CC695} - C:\WINDOWS\system32\system32.dll

 

[PuppetMaster]

Und hier die Auswertung:

http://www.hijackthis.de/logfiles/8f78ecee98931c1d3ea10cc82dd336b8.html

 

[knatri]

herzlichen dank...ich werde das jetzt mal machen die sites fixen und dann wie beschrieben eben löschen oder nicht...und dann mal sehen was passiert....

danke..für alles...

greez mb

 

[hal9000]

alle achtung, ein haufen zeugs da drauf. das wichtigste sind die einträge, die in der auswertung rot markiert werden: http://hijackthis.de/logfiles/c4828a604720e19416e8294aedb93a4c.html, diese zeile für zeile markieren und mit dem programm fixen. also beheben, löschen, ausradieren, egal, was man sagt. steht aber immer dabei "sollte gefixt werden" . ganz unten die webseiten in der trustet zone, da mußt du selber entscheiden, was damit wird. ich kann einige davon gar nicht aufrufen. liegt aber eventuell an meiner host-datei, die diese seiten sperrt.

ps, die seiten raus aus der trustet zone. das ist nur müll und wer weiß, womit die seiten präpariert sind und dir alles mögliche unterschieben.

 

[PuppetMaster]

Schau mal, ob die rot markierten Programme nicht eventuell im Hintergrund laufen. Wenn, dann beende sie über den Taskmanager und lösche die Dateien auch manuell, nachdem die Systemwiederherstellung deaktiviert ist.

 

[knatri]

hmmm hab jetzt alles gefixt was risikobehaftet war und einige prozesse und programme gelöscht und immer die startseite wird immer noch automatisch installiert...also wenn man sie ändert..

???

also was jetzt mitlerweile funktioniert ist, dass wenn man die seite aufmacht und dann in den internetoptionen eine neue startseite eingibt, dann kann man auf home klicken und die neue seite wird angezeigt, allerdings startet wieder die gleiche blöde seite auf, wenn man ein neues browserfenster öffnet...an was kann das liegen?

 

[Brigitta]

Hattest du den Browser auch geschlossen beim Fixen?

 

[knatri]

jep...ich kann auch...einige andere dateien nicht fixen...also d.h. auch wenn ich sie fixe, erscheinen sie bei einem weiteren scan wieder...

irgendwo muss sich das verstecken...

 

[PuppetMaster]

Alle verdächtigen Prozesse im Taskmanager beendet? Alle aufgezeigten Dateien gelöscht?

 

[knatri]

ja...ausser folgende dateien kann ich nicht löschen...oder fixen...

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9

win-eto.com...wird auch manchmal angezeigt, als startseite...manchmal aber auch eine andere....

und auch noch diese datei:

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\W8C6S4~1.DLL

diese datei ist auf meinem pc überhaupt nicht vorhanden...nur eine ähnliche und wenn ich diese versuche zu löschen, geht das nicht...ich finde aber auch keinen verdächtigen prozess mehr, der noch läuft...

komisch oder?

 

[hal9000]

die systemwiederherstellung ist aus? starte mal im abgesicherten modus (F8) und probier es dort wieder.
mehr infos hier: http://www.trojaner-board.de/archive/index.php/t-9861.html, http://www.windowspower.de/beitrag2674.html, http://www.trojaner-board.com/showthread.php?t=9987&highlight=win-eto

dazu alle temp-ordner und temporary-internetfiles löschen.

 

[knatri]

ich konnte das problem auch im abgesicherten modus nicht lösen...

weiss nicht mehr was ich machen soll....so ne scheisse....