Veröffentlicht 8. Juli 200619 j Hallo Leute, ich habe leider nun auch ein Problem mit der Startseite. Hinzu kommt aber anscheinend noch ein Problem; da ich CWShredder nicht starten kann... Wobei es mich ja eigentlich wundern würde, wenn ich mir einen Virus, Trojaner oder dergleichen eingefangen hätte. Der einzige Virus scheint hier Windows zu sein. Ich habe die Kiste frisch aufgesetzt. XP Prof incl. SP2 frisch aus der OVP auf den Rechner. Hatte das Netzwerkkabel entfernt. Habe die Treiber installiert. Dann sofort Antivirus und Firewall installiert. Nun bin ich erst ans Netz und gleich auf die WinUpdate-Seite. Nachdem ich die Updates installiert hatte, war mein Browser "gekarpert". Ich kann die Startseite von MSN nicht mehr ändern - als ob es MS Schikane währe... Ich habe mir die Threads durchgelesen zu dem Thema HiJacking und bin ja eigentlich der Ansicht - woher, wann und wie soll mein Rechner ge-hijackt worden sein?! Trotzdem habe ich mir mal CWShredder heruntergeladen. Nun der nächste dicke Hund ich kann das Programm nicht ausführen, "keine zulässige Win32-Anwendung"... Nun bin ich gerade etwas ratlos - "Hilfe!"...
8. Juli 200619 j Kannst du Hijackthis ausführen und hier das Logfile posten? Links gibts in der Linkliste Securitybereich.
8. Juli 200619 j Autor ...ich habe es auch durch den Analyser von der HiJackThis-Seite gelassen - alles gut?! ...nichts ist gut! *grrrr* Logfile of HijackThis v1.99.1 Scan saved at 12:36:32, on 08.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\DVDRAMSV.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RunDll32.exe C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\RAMASST.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE D:\HiJackThis\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [b'sCLiP] C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe O4 - HKLM\..\Run: [TerraTec Scheduler] "C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe" O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152301253104 O17 - HKLM\System\CCS\Services\Tcpip\..\{297DAF24-0B33-476E-9582-71C329DCC5A8}: NameServer = 192.168.2.2 O17 - HKLM\System\CCS\Services\Tcpip\..\{6BD3B23C-B4DB-449E-B895-3A9DF55BD99D}: NameServer = 192.168.2.2 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: DVD-RAM_Service - Matsu****a Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: AOpen NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
8. Juli 200619 j warum? das Logfile ist doch einwandfrei jetzt bleibt nur noch das Prob mit der Startseite
9. Juli 200619 j Autor *hass*hass*hass* ...ich kann die MSN-Seite nichtmehr sehen!!! ...hat denn keiner eine Ahnung, woran das liegen kann? ...was Windoof mir da für ein Kuckucksei ins Nest gelegt hat?! ...und dass der CWSherdder nicht auszuführen ist, das ist auch komisch?!
9. Juli 200619 j 1. Deine Satzzeichen klemmen. 2. Vielleicht deshalb, weil du den Herstellernamen misshandelst? 3. scanne mal die Registry nach der URL deiner Startseite. Falls du da was findest, stelle da versuchsweise deine Wunschstartseite ein.
9. Juli 200619 j Hättest Du die Startseite vor dem Einspielen der Updates ändern können? Welchen Provider nutzt du? Evtl. ist die erste Seite, die Du zu sehen bekommst, immer vom Provider bestimmt, egal was Du eigentlich aufrufst.
9. Juli 200619 j Nutze die Bart PE (am besten in der c't-Version), boote davon und lass von dort aus mal Spybot Search and Destroy auf dein System los. Bist du sicher, dass du kein Rootkit auf dem Rechner hast? Anmerkung am Rande: ich bitte darum, die Emotionen zu zügeln.
9. Juli 200619 j Autor Vor dem Aufspielen der Updates ging es noch. Ich habe auf der anderen Partition mal W2K installiert. Hier habe ich nur den Windoof-Updater ge-updatet; seither kann ich auch hier die Startseite nichtmehr ändern. ...Bart PE?! ...mal nachgucken, auf der C´t-Seite.
9. Juli 200619 j Autor ...mit der Windows OEM CD ist kein BartPE zu erstellen... ...habe aber S&D so d´rüber laufen lassen - ausser 2 Keksen wurde nichts gefunden... ...prima... :helau:
10. Juli 200619 j Autor Die nach dem Provider meinst du? T-Offline. Aber ich benutze nicht die Software oder deren Browser. Einwahl läuft übers LAN. Ich habe mein System mittlerweile mit ´zig Scannern, AntiSpyware, usw. zugespammt. Alle sagen, dass alles i.O. ist.
10. Juli 200619 j Zonealarm war hier schon ein paar mal wegen überraschender Features (gerade beim Blocken von Webinhalten, Ani-gifs usw.) aufgefallen. Überprüf mal die Konfiguration, ob dort irgendwas ist.
10. Juli 200619 j OK, können wir uns jetzt bitte darauf einigen, dass sowohl Namen von Produkten und Herstellern nicht mehr verballhornt werden wie auch das andauernde Bemäkeln dieser Verballhornung zu genüge in diesem Thread vorgekommen ist?
10. Juli 200619 j Autor Tatsache - der "Virus" nennt sich ZoneAlarm... :eek Habe allerdings keine Möglichkeit gefunden diese Einstellungen gezielt auszuschalten. Das wird doch nicht etwa ein Trick sein, dass man die Pro-Version kauft!? ...da nehme ich doch eher ein Alternativprodukt... :confused: However - thx für den Tipp. :e@sy
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.