Holländisches Startportal

Hi,
ich hab da ein kleines Problem, irgendwo hab ich mir so ein scheiss holländisches Startportal gefangen. Es legt sich als Startseite im IE ab, nistet sich nach jedem neuen Bootvorgang unter C:\Programme ein und zu allem übel auch noch in der Registry. Alle Versuche den Quatsch zu entfernen, z.B. händig, per AdAware, Spybot, Antivirenprogramm schlagen fehl. Es kommt immer wieder. Ich habe Win NT4 auf dem Rechner. Kann mir vielleicht jemand einen Tipp geben?
Danke im voraus.

Ruude

 

So ich hab das jetzt mal gemacht, den Rechner mehrfach neu gestartet und bis jetzt ist es nicht wieder gekommen. Hoffe das bleibt so. Vielen Dank Manni
MfG Ruude

 

Normalerweise taucht 24start.com im Zusammenhang mit einem Dialer namens MS-Connect (nicht von Microsoft) auf. Dies scheint deinem Logfile nach aber nicht der Fall zu sein.

In einem holländischen Newsbeitrag habe ich folgende Antwort auf das Problem gefunden:

"Bij mij hielp dit:
Verwijder het bestand code.exe uit de map Windows\system32"

Ich kann zwar kein holländisch, aber ich nehme mal an, das das mit der Code.exe zu tun hat, bei der es sich (wie ich schon geschrieben habe) wahrscheinlich um einen Dialer handelt.

Lass also am besten von HijackThis folgende Punkte korrigieren:

O4 - HKLM\..\Run: [Diskstart] C:\WINNT\System32\code.exe
O4 - HKCU\..\Run: [AutoUpdater] C:\WINNT\System32\aupdate.exe

Mfg Manni

 

Das Startportal um das es geht heißt: 24Start!

Ruude

 

Jawohl, es existiert ein Novell-Netzwerk.

 

clntrust.exe und zentray.exe kommen mir leicht spanisch vor. Existiert da ein Novell-Netzwerk?
aupdate.exe ist definitiv ein Bestandteil der Spyware ISTbar.

 

Wie heißt denn dieses "holländische Startportal"?

Bei der Code.exe unter "Runnning Processes" könnte es sich um einen Dialer ("Adult content dialler") handeln:
O4 - HKLM\..\Run: [Diskstart] C:\WINNT\System32\code.exe

Mfg Manni

Nachtrag: Und bei der aupdate.exe kann es sich um eine TinyBar-Variante handeln, die angeblich aber von Ad-aware und Spybot gefunden werden sollte:
http://www.doxdesk.com/parasite/ISTbar.html

Mfg Manni

 

Spybot und Ad-Aware sind jeweils auf dem neuesten Stand.
Hier ist der Scanreport:

Logfile of HijackThis v1.97.6
Scan saved at 15:27:34, on 12.11.03
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolss.exe
C:\WINNT\System32\drivers\trcboot.exe
C:\WINNT\System32\drivers\appnnode.exe
C:\Programme\NavNT\defwatch.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\NALNTSRV.EXE
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\RpcSs.exe
C:\WINNT\System32\wm.exe
C:\Novell\ZENRC\wuser32.exe
C:\NOVELL\ZENRC\WUOLService.exe
c:\winnt\system32\pstores.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\nddeagnt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\SysTray.Exe
C:\WINNT\System32\hkcmd.exe
C:\WINNT\System32\loadwc.exe
C:\WINNT\System32\dpmw32.exe
C:\WINNT\System32\NWTRAY.EXE
C:\PROGRA~1\NavNT\vptray.exe
C:\Programme\Winamp\Winampa.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\WINNT\System32\code.exe
C:\WINNT\System32\aupdate.exe
C:\WINNT\System32\MSWHEEL.EXE
C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
C:\WINNT\Profiles\nkp01\Startmenü\Programme\Autostart\clntrust.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\TEMP\HijackThis.exe
C:\WINNT\regedit.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = +w
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = +w
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = +w
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/search/search.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = fmc05:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.130.1.56; http://intranet.bff/index.html; bffintra.bff;intranet.bff;8.3.7.131;8.3.113.44;cdrom1.bff;bffproxy2.bff;mail1.bff;bffhost.bff;10.130.1.56;ess01.bff
;<local>
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Programme\DAP\DAPIEBar.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - (no file)
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [POINTER] C:\PROGRA~1\MICROS~2\point32.exe
O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon
O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [ZENRC Tray Icon] zentray.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [mdac_runonce] C:\WINNT\System32\runonce.exe
O4 - HKLM\..\Run: [Diskstart] C:\WINNT\System32\code.exe
O4 - HKCU\..\Run: [AutoUpdater] C:\WINNT\System32\aupdate.exe
O4 - Startup: CLNTRUST.EXE
O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O13 - WWW. Prefix: http://
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

Nur um sicher zu gehen: Ad-Aware und Spybot S&D waren jeweils upgedatet?

Erstelle mal einen Scanreport mit HijackThis und poste den hier, dann kann man aussortieren, was das verursacht.