Bitte Helft mir!

D

Dominik920

Frisch registriert
Hallo Leute.
Ich habe da ein riesen Problem.

Also.
Ich benutze als Browser den Avant Browser, also quasi den Internet Explorer. Und meine Startseite hat sich verändert und lässt sich von mir nicht mehr dauerhaft ändern.

Ich habe heute mal AdAware durchlaufen lassen. Das Teil hat mir jede menge Spyware wechgeschaufelt. Danach hab ich mal Anti-Trojan 5.5 laufen lassen. Hat nichts gefunden. Und Norton AV hat auch nichts gefunden.
Ich habe dann mal den CWShredder ausprobiert.
Das Teil hat "CWS.Searchx" gelöscht und 6 IE Internet Seiten wiederhergestellt.

Aber damit war die sache nicht erledigt.

Habe dann Hijack this ausprobiert.
Hier mal das LOG:

Logfile of HijackThis v1.97.7
Scan saved at 19:54:20, on 08.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Xfire.exe
D:\Motherboard Monitor 5\MBM5.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe
D:\Norton AntiVirus\navapsvc.exe
C:\Programme\jalcds\jalcds.exe
D:\CloneCD\CloneCDTray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\GetRight\getright.exe
D:\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\ICQ 2002a\ICQ.exe
D:\CinergyTV\TerraTV App.exe
D:\Avant Browser\iexplore.exe
D:\MICROS~1\Office10\OUTLOOK.EXE
D:\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cccoa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cccoa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cccoa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cccoa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cccoa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cccoa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C27D0E94-0391-448D-B156-B0C8CBB33FDF} - C:\WINDOWS\System32\cccoa.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Xfire] Xfire.exe /minimize
O4 - HKLM\..\Run: [MBM 5] "D:\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe
O4 - HKLM\..\Run: [jaLCDs] C:\Programme\jalcds\jalcds.exe wait
O4 - HKLM\..\Run: [CloneCDTray] "d:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: GetRight - Tray Icon.lnk = D:\GetRight\getright.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Download with GetRight - D:\GetRight\GRdownload.htm
O8 - Extra context menu item: Hervorheben - D:\Avant Browser\Highlight.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\GetRight\GRbrowse.htm
O8 - Extra context menu item: Suchen - D:\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\Avant Browser\OpenAllLinks.htm
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D3B3E99-5C12-4032-918A-39AC35767AA0}: NameServer = 192.168.0.1
Zum Vergrößern anklicken....

Die Startseite ist anscheinend als die "about:blank" gespeichert.
Und manchmal werde ich auf diese Seite weitergeleitet. Die URL ist: http://index.morgen.cc/index.php?aid=20038
fals das hilft.

Ich habe hier auch was von dem Welchia Wurm gelesen. Aber diese Datei gibt es bei mir nicht - demzufolge bin ich auch nicht infiziert damit.

Ach noch was... Nachdem cih mit AdAware alles wechgeschaufelt hatte konnte ich meine Startseite umstellen, Aber nachdem ich den Browser geschlossen und wieder geöffnet hatte war wieder diese dumme Search Seite da. Das kotzt mich an.

Bitte helft mir. Ich bin am Verzweifeln!


MfG
Dom
 
Step: 1
Rechner im abgesicherten Modus starten ( F8 ) und C:\WINDOWS\System32\cccoa.dll löschen.

Step: 2
regedit ausführen und die keys
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cccoa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cccoa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cccoa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cccoa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cccoa.dll/sp.html (obfuscated)
löschen

Step 3:
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\
komplett den Inhalt löschen (außer index.dat)

Step 4:
Reboot

Step 5:
Adaware (aktuelle Updates) nochmal drüberrauschen lassen
 
Ich habe das gleiche Prob - sieher anderer Thread und ich kann jetzt schon sagen, dass das nicht funktionieren wird - das habe ich auch schon probiert ...
 
FallenGrace schrieb:
Ich habe das gleiche Prob - sieher anderer Thread und ich kann jetzt schon sagen, dass das nicht funktionieren wird - das habe ich auch schon probiert ...
Zum Vergrößern anklicken....
Was bekomme ich wenn es doch funktioniert? ;)
Denn das tut es ;)

@ Devilfrank

BIG FETT THX !!!
MfG
Dom
 
Glück gehabt ... mein Wurm ist da ein bissl hartnäckiger ... der restartet sich sogar jetzt während einer laufenden Session ...
 
Zurück
Oben