IE 6.0 - veränderte Startseite

[Anonymous]

Folgendes Problem:

Meine IE 6.0 Startseite wird jedes Mal, wenn ich reboote, auf folgende Seite zurückgesetzt:

http:searchfor.net oder so ähnlich

Bei jedem Systemstart wird auch automatisch eine zufällige *.dll Datei im System32 Ordner von WinXP angelegt.
Ich kann sie nur umbennen und rauskopieren - nach dem nächsten Rebbot dann löschen, aber bis dahin gibt es wieder eine neue zufällige Datei.

Ich habe schon folgende Tools getestet - ohne Erfolg:
HiJackThis
AdAware 6.0
AntiVir Personal Edition
etliche Firewalls
Registry Cleaner jeglicher Art

-> alles ohne Erfolg :bigcry:

Als Anhang ein Log von HiJackThis:
- nur der Ausschnitt zu den betroffenen Files

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {93D6F87E-834E-4EC0-A5F4-A66940B1E93E} - C:\WINDOWS\System32\gkafc.dll

Ich hoffe, jemand hier kann mir helfen, da mein Latein langsam - nein, es ist - am Ende ist!
Das eigentliche Problem darin liegt, dass ich mir durch diesen Link knapp alle 3 Tage Sasser fange.

mfG FallenGrace

 

[virenscanner]

Als Anhang ein Log von HiJackThis:
- nur der Ausschnitt zu den betroffenen Files

Bitte vollständiges LOG posten.

Das eigentliche Problem darin liegt, dass ich mir durch diesen Link knapp alle 3 Tage Sasser fange.

:gruebel: ?

 

[Anonymous]

Ok, vollständiger Log:

Logfile of HijackThis v1.97.7
Scan saved at 22:19:23, on 07.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir Personal Edition\AVWUPSRV.EXE
C:\Programme\Norman Personal Firewall 1.40\NPFSVICE.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\drivers\svchost.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\ICQ\ICQNet.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Dokumente und Einstellungen\Büttner\Eigene Dateien\Downloads\Kazaa Lite\Tools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {93D6F87E-834E-4EC0-A5F4-A66940B1E93E} - C:\WINDOWS\System32\gkafc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)

Und das mit Sasser:
Jedes Mal, wenn ich nicht vor dem I-Net Zugang HiJack starte, um die Datei zu finden und sie suche, um sie rauszunehmen aus System32, habe ich soätestens 5 Minuten danach Sasser erneut drauf ... und es war schon nervig, den überhaupt wegzubekommen, aber das ist nur zweitrangig, da ich endlich meine Standard-Startseite (about:blank) will!

mfg Fallen

 

[virenscanner]

@FallenGrace

Du solltest Dir dringend dieses hier durchlesen, da bei Dir ein "Würmchen" aktiv ist.

Ausserdem

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {93D6F87E-834E-4EC0-A5F4-A66940B1E93E} - C:\WINDOWS\System32\gkafc.dll

fixen.

 

[technofreak]

Und das mit Sasser:
Jedes Mal, wenn ich nicht vor dem I-Net Zugang HiJack starte, um die Datei zu finden und sie suche, um sie rauszunehmen aus System32, habe ich soätestens 5 Minuten danach Sasser erneut drauf ...

Mal ne Frage: hast du das OS (W2000 oder WXP) gepatched ?

tf

 

[Anonymous]

Jupp zwei Tage danach, als ich endlich wieder mal länger als 5min arbeiten konnte, ohne dass der PC sich ausschaltet.

Aber das ist jetzt nicht mehr relevant ... mich nervt nur diese scheiss Startseite! :argue:

 

[virenscanner]

@FallenGrace

Hast Du Dich um "C:\WINDOWS\System32\drivers\svchost.exe " gekümmert?

Wenn Du das Fixen erledigt und Dich "entwurmt" hast, bitte nach einem Rechnerneustart ein neues LOG erstellen und dieses posten.

 

[Anonymous]

Ich habe mir von Symantec das FixWelch Tool gezogen und durchlaufen lassen, hier der Report:

The service "WksPatch" is viral. It is deleted.

The process "svchost.exe" is viral. It is terminated.

The tool has deleted the viral file "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4Y1FEIZ0\WksPatch[1].exe".

The tool has deleted the viral file "C:\WINDOWS\system32\drivers\svchost.exe".

W32.Welchia.Worm has been successfully removed
from your computer!

Here is the report:

The total number of the scanned files: 40159
The number of deleted files: 2
The number of repaired files: 0
The number of viral processes terminated: 1
The number of viral services deleted: 1
The number of registry entries fixed: 0

Anscheinend ist jetzt alles in Ordnung. Mal sehen, was beim nächsten Reboot passiert, aber ich sage schon mal Danke an alle :bussi:

 

[Anonymous]

Sorry für das Doppelposting, aber auch das Tool hat das Problem nicht behoben

Der scheiss ist schon wieder da ... *kotz*
Hat nich jemand noch ne andere Idee?

 

[Counselor]

Versuch den Wurm manuell zu entfernen:
http://support.microsoft.com/default.aspx?scid=kb;de;826234

 

[Anonymous]

Joar ich habe den Ratschlägen Respekt gezollt, nachdem ich das 3mal gelesen habe - um mich nicht zu verlesen - und alles so gemacht, aber es ist immer noch alles beim alten -> DAS PROB IST NOCH DA

 

[Devilfrank]

So Grace, jetzt stell nochmal ein aktuelles HJT-Log hier rein.
Was ist das für ein Betriebssystem?
Starten ICQ und KaZaa automatisch?

 

[Anonymous]

Der Log:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir Personal Edition\AVWUPSRV.EXE
C:\Programme\Norman Personal Firewall 1.40\NPFSVICE.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\drivers\svchost.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\ICQ\ICQNet.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Dokumente und Einstellungen\Büttner\Eigene Dateien\Downloads\Kazaa Lite\Tools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {93D6F87E-834E-4EC0-A5F4-A66940B1E93E} - C:\WINDOWS\System32\gkafc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)

OS: WinXP Home Edition
Autostart: ICQ 2003a


---> Das erstaunliche an der Sache ist nur, dass er jetzt nur noch bei manchen Systemstarts aktiv wird, d.h. es gibt keine Garantie, ob die Seite verändert wird oder nicht.

 

[Devilfrank]

Step 1:
Deaktiviere die Systemwiederherstellung von XP

Step 2:
Reboot im Safe-Modus ( F8 )

Step 3:
C:\WINDOWS\System32\gkafc.dll - löschen

Step 4:
Temporary Internet Files - Inhalte löschen

Step 5:
My Shared Folder von KaZaa - Inhalt löschen

Step 6:
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\gkafc.dll/sp.html (obfuscated)
HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
löschen

Step 7:
Reboot

Step 8:
go to www.kaspersky.com/de/remoteviruschk.html und den Online-Scan durchführen

Step 9:
www.pestscan.com/ Kontrollscan online durchführen

Step 10:
Systemwiederherstellung von XP wieder einschalten

Die Ergebnisse kannst Du dann hier posten und dann schaun wir mal...

 

[Devilfrank]

Ach ja und stell sicher, dass Du wirklich alle aktuellen Updates und Patches von M$ installiert hast.

 

[virenscanner]

C:\WINDOWS\System32\drivers\svchost.exe

Und das kennen "wir" doch schon...

 

[Counselor]

C:\WINDOWS\System32\drivers\svchost.exe

Und das kennen "wir" doch schon...

Dabei hat FallenGrace gestern innerhalb von 7 Minuten die Anleitung von MS dreimal gelesen, ihr Respekt gezollt und ein Posting geschrieben ...

http://forum.computerbetrug.de/viewtopic.php?p=53998#53998
http://forum.computerbetrug.de/viewtopic.php?p=54003#54003

Anleitungen lesen alleine hilft vielleicht doch nicht ...

 

[Anonymous]

Logfile of HijackThis v1.97.7
Scan saved at 17:47:34, on 09.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir Personal Edition\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE
C:\Programme\ICQ\ICQ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Büttner\Eigene Dateien\Downloads\Kazaa Lite\Tools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cgf.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cgf.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cgf.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cgf.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cgf.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cgf.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0C7E553F-7B28-4B34-9995-DF6F23F2E5E3} - C:\WINDOWS\System32\cgf.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{529181CD-9A54-4195-872D-0617C1E67099}: NameServer = 217.237.151.33 194.25.2.129

Erstmal n aktueller Log ...

Systemwiederherstellung ist deaktiviert
Updates sind alle aufgespielt
Datei wurde umbenannt und rauskopiert -> gelöscht
My Shared Folder wurde geleert
.../drivers enthält keine svchost.exe mehr
Temporary Internet Files ist komplett leer

Online-Scan ...

cgf.dll Infiziert: Trojan.Win32.StartPage.gv

PestScan offenbart mir:

KaZaA eben als SpyWare mit dem "Magnet" Ding
Und nen "CWS HiJacker"

Ich lade mir grade die Demo zu PestPatrol runter und lass das dann durchlaufen ...
Ich melde mich dann wieder ...

 

[Anonymous]

Hier der Log von PestPatrol:

Scan of 09.05.2004 18:46:00
Pests found: 11
Area scanned: C:\
User Name: Büttner
MAC Address: 00-0D-61-B3-6B-22
Computer Name: SN033227620185
Volume Name: HDD
File System Name: NTFS
Volume Serial No: 1747129994
Windows Version: Windows XP
Product Edition: Evaluation
PestPatrol version: 02.04.2004 4.4.2.7
PPServer.dll version: 26.01.2003
PPClean version: 26.03.2004 4.4.1.5
PPfile.dat version: 08.04.2004
PPInfo.dat version: 26.03.2004
Spyware.dat version: 08.04.2004
PPMemCheck version: 19.04.2003
PestPatrolCL version: 02.04.2004 4.4.2.11
PPUpdater version: 06.04.2004 4.4.2.35

Pest: Trojan.Java.ClassLoader.d
Pest Info: Category: Trojan Release Date: 9/24/2003 0:00:00 Background Info: Click here
File Info: In File: C:\Dokumente und Einstellungen\Büttner\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv89.jar-1906 66c0-646a28ab.zip|Parser.class PVT: -1020285389 MD5: d41d8cd98f00b204e9800998ecf8427e File Analysis: Look up with MD5 (recommended) or PVT.
Certainty: Confirmed Threatens: Confidentiality, Integrity, Availability, Productivity, Liability Risk: Low. Advice: Delete or quarantine
Action: Ignored
~~~
Pest: Trojan.Java.ClassLoader.h
Pest Info: Category: Trojan Background Info: Click here
File Info: In File: C:\Dokumente und Einstellungen\Büttner\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv89.jar-1906 66c0-646a28ab.zip|Counter.class PVT: 1716149500 MD5: d41d8cd98f00b204e9800998ecf8427e File Analysis: Look up with MD5 (recommended) or PVT.
Certainty: Confirmed Threatens: Confidentiality, Integrity, Availability, Productivity, Liability Risk: Low. Advice: Delete or quarantine
Action: Ignored
~~~
Pest: XoloX
Pest Info: Category: Adware Background Info: Click here
File Info: In Registry: HKEY_LOCAL_MACHINE\software\classes\gnutella
Certainty: Confirmed Threatens: Confidentiality, Liability Risk: Low. Advice: Delete or ignore
Action: Ignored
~~~
Pest: XoloX
Pest Info: Category: Adware Background Info: Click here
File Info: In Registry: HKEY_CLASSES_ROOT\magnet
Certainty: Confirmed Threatens: Confidentiality, Liability Risk: Low. Advice: Delete or ignore
Action: Ignored
~~~
Pest: XoloX
Pest Info: Category: Adware Background Info: Click here
File Info: In Registry: HKEY_CLASSES_ROOT\gnutella
Certainty: Confirmed Threatens: Confidentiality, Liability Risk: Low. Advice: Delete or ignore
Action: Ignored
~~~
Pest: SaveNow
Pest Info: Category: Adware Background Info: Click here
File Info: In Registry: HKEY_LOCAL_MACHINE\software\classes\magnet\shell\open\command
Certainty: Confirmed Threatens: Confidentiality, Liability Risk: Low. Advice: Delete or ignore
Action: Ignored
~~~
Pest: SaveNow
Pest Info: Category: Adware Background Info: Click here
File Info: In Registry: HKEY_LOCAL_MACHINE\software\classes\magnet\defaulticon
Certainty: Confirmed Threatens: Confidentiality, Liability Risk: Low. Advice: Delete or ignore
Action: Ignored
~~~
Pest: KaZaA
Pest Info: Category: Adware Background Info: Click here
File Info: In Registry: HKEY_LOCAL_MACHINE\software\magnet
Certainty: Confirmed Threatens: Confidentiality, Liability Risk: Low. Advice: Delete or ignore
Action: Ignored
~~~
Pest: KaZaA
Pest Info: Category: Adware Background Info: Click here
File Info: In Registry: HKEY_LOCAL_MACHINE\software\kazaa
Certainty: Confirmed Threatens: Confidentiality, Liability Risk: Low. Advice: Delete or ignore
Action: Ignored
~~~
Pest: KaZaA
Pest Info: Category: Adware Background Info: Click here
File Info: In Registry: HKEY_CURRENT_USER\software\kazaa
Certainty: Confirmed Threatens: Confidentiality, Liability Risk: Low. Advice: Delete or ignore
Action: Ignored
~~~
Pest: CWS
Pest Info: Category: Adware Background Info: Click here
File Info: In Registry: HKEY_CLASSES_ROOT\protocols\filter\text/html
Certainty: Confirmed Threatens: Confidentiality, Liability Risk: Low. Advice: Delete or ignore
Action: Ignored
~~~

 

[Anonymous]

Ich glaub, ich meld mich hier lieber mal richtig an ...

Aber ich habe alle Files, die mir PestPatrol da aufgezeigt hat gelöscht.