Browser Hijacking bei jedem System-Start..., bitte um Hilfe...

hallo User...

hab folgendes Problem..., bei jedem System-Start bekomm ich das berüchtigte Browser Hijacking.... Anstatt meiner gewünschten bzw. eingestellten Startseite kommt so eine dubiose Suchemaschine.... "...search for..."

bei jedem IE - Start (6.0 SP1) erstellt sich eine SP.HTML Datei im Temp - Verzeichnis des Windows Ordners... die Log Datei von HJT hab ich schon über die auswertungsseite von HJT laufen gelassen... und hab die betroffenen Einträge gefixt....

Spybot hab ich drüberlaufen lassen....
Adaware drüber.....
nichts hilft...., während dem Betrieb bekomme ich es hin das Startseite wieder nach Wunsch geöffnet wird...., beim Neustart das gleiche in grün.....

irgendeine Exe Date muß das doch verursachen..... in der Registry hab ich schon veschiedene Einträge abgeändert bzw. gellöscht, kein Erfolg....

hier nochmal meine log-Datei von Hijackthis:






Logfile of HijackThis v1.98.2
Scan saved at 16:28:15, on 01.09.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\CCPXYSVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAMME\AOL 8.0\AOLTRAY.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\AOL 8.0\WAOL.EXE
C:\PROGRAMME\AOL 8.0\SHELLMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {1AE57619-1F40-4128-902F-B6AFA302CF35} - C:\WINDOWS\SYSTEM\DBK.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\\NVCpl.dll,NvStartup
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [Nisum] C:\Programme\Norton Internet Security\NISUM.EXE
O4 - HKLM\..\RunServices: [ccPxySvc] C:\PROGRA~1\NORTON~2\CCPXYSVC.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O18 - Filter: text/plain - {12A2A3C5-2E28-4318-9687-361A9F4DE7D4} - C:\WINDOWS\SYSTEM\DBK.DLL
O18 - Filter: text/html - {12A2A3C5-2E28-4318-9687-361A9F4DE7D4} - C:\WINDOWS\SYSTEM\DBK.DLL


die sp - einträge hab ich mehrmals gefixt.., beim neustart sind sie wieder da....

bitte posten....

gruß u. danke

duke

 

Hallo,

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Wechsle in den abgesicherten Modus und fixe diese Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {1AE57619-1F40-4128-902F-B6AFA302CF35} - C:\WINDOWS\SYSTEM\DBK.DLL

O18 - Filter: text/plain - {12A2A3C5-2E28-4318-9687-361A9F4DE7D4} - C:\WINDOWS\SYSTEM\DBK.DLL
O18 - Filter: text/html - {12A2A3C5-2E28-4318-9687-361A9F4DE7D4} - C:\WINDOWS\SYSTEM\DBK.DLL

Lösche danach diese Datei:
C:\WINDOWS\SYSTEM\DBK.DLL

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.)
- Neustart
- neue Startseite vergeben
- neues Log-File von HiJackThis und die Virus Log Information von eScan posten

Zur weiteren Vorbeugung gegen eine erneute Infizierung:

- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/

 

hallo cidre !

Vielen Dank für Deine Hilfe..., hoffe das es jetzt geht..., hab aber das System noch nicht neugestartet nachdem ich startseite geändert habe....
hier nun der HJT Log nach der Reparatur....

Logfile of HijackThis v1.98.2
Scan saved at 23:40:20, on 01.09.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\CCPXYSVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\AOL 8.0\AOLTRAY.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\AOL 8.0\WAOL.EXE
C:\PROGRAMME\AOL 8.0\SHELLMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sport1.de/coremedia/generator/www.sport1.de/Main.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\\NVCpl.dll,NvStartup
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [Nisum] C:\Programme\Norton Internet Security\NISUM.EXE
O4 - HKLM\..\RunServices: [ccPxySvc] C:\PROGRA~1\NORTON~2\CCPXYSVC.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net



hier der log von eScan:


Wed Sep 01 23:20:30 2004 => ***** Scanning complete. *****

Wed Sep 01 23:20:30 2004 => Total Number of Files Scanned: 85634
Wed Sep 01 23:20:30 2004 => Total Number of Virus(es) Found: 14
Wed Sep 01 23:20:30 2004 => Total Number of Disinfected Files: 0
Wed Sep 01 23:20:30 2004 => Total Number of Files Renamed: 2
Wed Sep 01 23:20:30 2004 => Total Number of Deleted Files: 4
Wed Sep 01 23:20:30 2004 => Total Number of Errors: 0
Wed Sep 01 23:20:30 2004 => Time Elapsed: 00:22:59
Wed Sep 01 23:20:30 2004 => Virus Database Date: 2004/09/01
Wed Sep 01 23:20:30 2004 => Virus Database Count: 102698

Wed Sep 01 23:20:30 2004 => Scan Completed.


Wo kann ich jetzt eigentlich nachlesen, welche Viren bzw. Trojaner auf meinem System waren, bzw. welche eScan gelöscht bzw. repariert hat?

gruß und danke

 

Dein Log-File sieht wieder sauber aus.
Aber damit es auch so bleibt, beherzige diese Tipps:

Diesen Link noch durchlesen und danach handeln:
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

Öffne die mwXface.log, dort kannst du es nachlesen. Poste deren Inhalt auch hier, mich würde interessieren, welche zwei Dateien eScan umbenannt hat.

Gern geschehen.

 

hier die log datei von eScan.........

wo sehe ich welche Datei er umbenannt hat???


[0xfffef295] 01/09/2004 22:55:16:210 :[msvLclnt.dll]ModuleName = C:\BASES\MWAVSCAN.COM
[0xfffef295] 01/09/2004 22:55:16:210 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0xfffef295] 01/09/2004 22:55:17:690 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400):
[0xfffef295] 01/09/2004 22:55:17:690 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0xfffef295] 01/09/2004 22:55:17:690 :[msvLclnt.dll]TimeOut : ffffffff
[0xfffef295] 01/09/2004 22:55:17:690 :[msvLclnt.dll]Priority : NORMAL
[0xfffef295] 01/09/2004 22:55:18:190 :[msvLclnt.dll]VirusCount = 102698 Latest Date = 2004/09/01
[0xfffde0cd] 01/09/2004 22:59:10:470 :[msvLclnt.dll][00000001] File C:\WINDOWS\TEMP\backups\backup-20040901-225018-325.dll infected by Trojan.Win32.StartPage.ix
[0xfffde0cd] 01/09/2004 22:59:10:470 :[msvLclnt.dll][00000001] File C:\WINDOWS\TEMP\backups\backup-20040901-225018-325.dll infected by Trojan.Win32.StartPage.ix
[0xfffde0cd] 01/09/2004 23:04:18:050 :[msvLclnt.dll][00000001] File C:\Programme\Norton AntiVirus\Quarantine\2B1064EB.css infected by Trojan.Win32.StartPage.au
[0xfffde0cd] 01/09/2004 23:04:18:110 :[msvLclnt.dll][00000001] File C:\Programme\Norton AntiVirus\Quarantine\2B1064EB.css infected by Trojan.Win32.StartPage.au
[0xfffde0cd] 01/09/2004 23:04:18:160 :[msvLclnt.dll][00000001] File C:\Programme\Norton AntiVirus\Quarantine\2B130EE7.exe infected by Trojan.Win32.StartPage.au
[0xfffde0cd] 01/09/2004 23:04:18:220 :[msvLclnt.dll][00000001] File C:\Programme\Norton AntiVirus\Quarantine\2B130EE7.exe infected by Trojan.Win32.StartPage.au
[0xfffde0cd] 01/09/2004 23:04:18:220 :[msvLclnt.dll][00000001] File C:\Programme\Norton AntiVirus\Quarantine\2BD11217.htm infected by Exploit.HTML.Mht
[0xfffde0cd] 01/09/2004 23:04:18:270 :[msvLclnt.dll][00000001] File C:\Programme\Norton AntiVirus\Quarantine\2BD11217.htm infected by Exploit.HTML.Mht
[0xfffde0cd] 01/09/2004 23:08:49:710 :[msvLclnt.dll][00000001] File F:\RECYCLED\NPROTECT\00000002.EXE infected by not-a-virus:Joke.Win32.RideRoof
[0xfffde0cd] 01/09/2004 23:08:50:210 :[msvLclnt.dll][00000001] File F:\RECYCLED\NPROTECT\00000019.ZIP infected by not-a-virus:Joke.Win32.RideRoof
[0xfffde0cd] 01/09/2004 23:14:03:940 :[msvLclnt.dll][00000001] File I:\HERMANN\PROGRAMM\NORTON~1\QUARAN~1\78032065.EXE infected by TrojanDownloader.Win32.Skoob.a
[0xfffde0cd] 01/09/2004 23:14:04:000 :[msvLclnt.dll][00000001] File I:\HERMANN\PROGRAMM\NORTON~1\QUARAN~1\78032065.EXE infected by TrojanDownloader.Win32.Skoob.a
[0xfffde0cd] 01/09/2004 23:20:30:560 :[msvLclnt.dll]VirusCount = 102698 Latest Date = 2004/09/01
[0xfffef295] 01/09/2004 23:29:22:460 :[msvLclnt.dll]VirusCount = 102698 Latest Date = 2004/09/01
[0xfff33dc9] 01/09/2004 23:43:50:060 :[msvLclnt.dll]ModuleName = C:\BASES\MWAVSCAN.COM
[0xfff33dc9] 01/09/2004 23:43:50:060 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0xfff33dc9] 01/09/2004 23:43:51:110 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400):
[0xfff33dc9] 01/09/2004 23:43:51:110 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0xfff33dc9] 01/09/2004 23:43:51:110 :[msvLclnt.dll]TimeOut : ffffffff
[0xfff33dc9] 01/09/2004 23:43:51:110 :[msvLclnt.dll]Priority : NORMAL
[0xfff33dc9] 01/09/2004 23:43:51:770 :[msvLclnt.dll]VirusCount = 102698 Latest Date = 2004/09/01



gruß

 

Sorry, in dieser Log Datei wird es nicht angezeigt.
Öffne die mwav.log, dort wirst du fündig.

 

Der Witz bei dem Trojaner ist, Du findest eine zufallsgen. Datei (DLL) in ...\System32 (-> Datumsabfragen ganz oben). Ein Remove der SP.HTML (+ DLL + in der Regestry) wird nicht helfen, Du merkst, der RAM- Verbrauch nimmt zu, spez. bei IE, die Search-For-Start-site kommt zurück (nach wenigen Stunden).

Es gibt Google-Ergebnisse zum Thema (SP.HTML). Stand der Forschung: Keine Hilfe. ==> Mein Rat: Inst. killen!

Obwohl nirgendwo dokumentiert, habe ich das Gefühl, es werden spez. IE-Dateien manipuliert. - Dem widerspricht, dass einschlägige Seiten von einem Trojaner OHNE Schadroutine sprechen.

-Potz- (ggfs. mache ich mich lächerlich)
__________________

Mein Stand: Desktop.HTT beobachten...

 

Dem ist leider nicht so. Der von dir geschilderte Fall würde eintreten, wenn nach dem sp.html Eintrag in Klammer obfuscated stehen würde.
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

Aber wie du schon sagst: Ein generelles IE Problem.

Schönen Gruß an Ace

 

@Cidre

> Dem ist leider nicht so.

> Der von dir geschilderte Fall würde eintreten,
> wenn nach dem sp.html Eintrag in Klammer obfuscated...

Eine Hijack-Vokabel. - Trojaner-Info etc. waren schon vor 3 Tagen abgearbeitet!


> Ein generelles IE Problem.

Wirklich? - Oder lassen auch andere Browser JS zu?!


> Gruß an Ace

Da wird er sich freuen.