Startseite pop-up problem, bitte Log anschauen!, startseite res://zasnf.dll/index.html#28 |
Willkommen, Gast ( Anmelden | Registrierung )
Startseite pop-up problem, bitte Log anschauen!, startseite res://zasnf.dll/index.html#28 |
Gast_?uestion_* |
29.06.2004, 21:51
Beitrag
#1
|
Gäste |
Hallo liebes Notfallteam...
wäre euch riesig dankbar wenn ihr diesen log mal anschauen könnt und mir sagt was ich löschen kann! habe das ganze programm mir Ad-aware, Spybot...durch und bin am anschlag! ich krieg folgende startseite nicht raus: res://zasnf.dll/index.html#28129 habe leider keinen Beitrag dazu im forum gefunden hier der log: Logfile of HijackThis v1.98.0 Scan saved at 22:09:25, on 29.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\WINDOWS\system32\HPConfig.exe C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\carpserv.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE C:\Programme\BroadJump\Client Foundation\CFD.exe C:\PROGRA~2\NORTON~1\navapw32.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ntmc32.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\M-Audio Audiophile USB\Dmn\ma003dmn.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\sdkhv.exe C:\Dokumente und Einstellungen\Soulfood\Desktop\hjt.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zasnf.dll/sp.html#28129 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zasnf.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zasnf.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\zasnf.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zasnf.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zasnf.dll/index.html#28129 R3 - Default URLSearchHook is missing F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {5DD9363D-9344-7F98-092E-C89C21F50B8A} - C:\WINDOWS\system32\atlpn.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [TV Now] C:\Programme\HPQ\Notebook Utilities\TvNow.exe /RK O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~2\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ntmc32.exe] C:\WINDOWS\system32\ntmc32.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [RealUpdater] C:\WINDOWS\System32\realupd.exe O4 - Global Startup: MA003DMN.LNK = C:\Programme\M-Audio Audiophile USB\Dmn\ma003dmn.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab danke für eure hilfe!!! |
|
|
Gast_Bo Derek_* |
29.06.2004, 23:31
Beitrag
#2
|
Gäste |
Also was auf jeden Fall raus sollte:
CODE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zasnf.dll/sp.html#28129 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zasnf.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zasnf.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\zasnf.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zasnf.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zasnf.dll/index.html#28129 R3 - Default URLSearchHook is missing F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, Das solltest Du Dir mal durchlesen: http://www.rokop-security.de/main/article.php?sid=746 |
|
|
30.06.2004, 05:56
Beitrag
#3
|
|
"Sir Remover" Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS |
Das sollte auch unbedingt raus:
O2 - BHO: (no name) - {5DD9363D-9344-7F98-092E-C89C21F50B8A} - C:\WINDOWS\system32\atlpn.dll O4 - HKLM\..\Run: [ntmc32.exe] C:\WINDOWS\system32\ntmc32.exe O4 - HKCU\..\Run: [RealUpdater] C:\WINDOWS\System32\realupd.exe Sieht nach einem Trojaner und Wurm aus..... Der Beitrag wurde von Remover bearbeitet: 30.06.2004, 05:57 -------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
|
|
Gast_?uestion_* |
30.06.2004, 07:49
Beitrag
#4
|
Threadersteller Gäste |
erst mal vielen dank für die prompte Hilfe!!!
schaue mir das heute abend an und poste wieder! gruss ?uestion |
|
|
Gast_?uestion_* |
30.06.2004, 19:37
Beitrag
#5
|
Threadersteller Gäste |
Hallo zusammen!
vielen dank für eure erste analyse... habe die besagten punkte gefixt und euren cleaner "sphjfix" mit der desinfizierung gestartet, der findet jedoch keine infizierung auch nach dem neustart sowie der CWShredder, der mir angibt das system sei clean.... das problem ist jedoch immer noch vorhanden, nur zeigt sich jetzt die Addresse der Startseite wie folgt: res://lhfoo.dll/index.html#28129 Design jedoch noch dasselbe (Home Search, wahrscheinlich gleicher verursacher) ich denke ihr kennt das Problem bereits! könntet ihr mir bitte bitte nochmals unter die Arme greiffen?? hier noch der neue log nach der ganzen Prozedur: Logfile of HijackThis v1.98.0 Scan saved at 20:24:31, on 30.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\WINDOWS\system32\HPConfig.exe C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\sdkhv.exe C:\WINDOWS\System32\carpserv.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE C:\Programme\BroadJump\Client Foundation\CFD.exe C:\PROGRA~2\NORTON~1\navapw32.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ntmc32.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\M-Audio Audiophile USB\Dmn\ma003dmn.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Soulfood\Desktop\hjt.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lhfoo.dll/sp.html#28129 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://lhfoo.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://lhfoo.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\lhfoo.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lhfoo.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://lhfoo.dll/index.html#28129 R3 - Default URLSearchHook is missing F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {7897E57C-2EB1-E8C5-4D9C-C227B55C1142} - C:\WINDOWS\system32\mskw32.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [TV Now] C:\Programme\HPQ\Notebook Utilities\TvNow.exe /RK O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~2\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ntmc32.exe] C:\WINDOWS\system32\ntmc32.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: MA003DMN.LNK = C:\Programme\M-Audio Audiophile USB\Dmn\ma003dmn.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab |
|
|
Gast_Bo Derek_* |
30.06.2004, 19:54
Beitrag
#6
|
Gäste |
Okay noch ein Versuch.
Diese Prozesse beenden: CODE C:\WINDOWS\sdkhv.exe C:\WINDOWS\System32\carpserv.exe C:\WINDOWS\system32\ntmc32.exe C:\Programme\BroadJump\Client Foundation\CFD.exe Das fixen: CODE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lhfoo.dll/sp.html#28129 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://lhfoo.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://lhfoo.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\lhfoo.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lhfoo.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://lhfoo.dll/index.html#28129 R3 - Default URLSearchHook is missing F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe, und das CODE O2 - BHO: (no name) - {7897E57C-2EB1-E8C5-4D9C-C227B55C1142} - C:\WINDOWS\system32\mskw32.dll CODE O4 - HKLM\..\Run: [CARPService] carpserv.exe und das CODE O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe und das CODE O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe und das CODE O4 - HKLM\..\Run: [ntmc32.exe] C:\WINDOWS\system32\ntmc32.exe und das (wahrscheinlich nicht schlimm, aber wenn's benötigt wird, installiert es sich automatisch): CODE O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab Und wenn's dann weg ist: steig auf einen anderen Browser um = Firefox oder Opera |
|
|
Gast_?uestion_* |
30.06.2004, 21:40
Beitrag
#7
|
Threadersteller Gäste |
ich bins nochmal...
wollte hier nochmals meine jetzige lage posten... habe wieder die besagten positionen gefixt, diesmal mit einer merklichen verbesserung, meine gewünschte startseite bleibt bestehen und keine unerwünschten pop-ups, dieser Zustand bleibt aber nur bestehen solange ich meinen PC nicht neu starte, sonst falle ich wieder zurück in die alte Misere!!! aber wie ja von Bo Derek geschrieben (an dieser Stelle nochmals vielen Dank für seine Hilfe und rasche Antwort) anschliessend den Browser wechseln! die Lösung funktioniert, habe aber trotzdem eine Frage (bin kein experte in sachen PC-Kenntnisse) : ist nun meine Infizierung auf meinem PC grundsätzlich immer noch vorhanden (in dem Sinn gewissermassen auch mein Problem) aber ich kann es halt umgehen oder ausweichen in dem ich meinen internet Browser wechsle (firefox/opera...), da ja dann die infizierung einfach nicht zum zug kommen kann??? oder sehe ich das falsch??? gruss ?uestion |
|
|
01.07.2004, 05:36
Beitrag
#8
|
|
"Sir Remover" Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS |
Mach das fixen bitte im abgesicherten Modus (F8 beim booten)
und loesche noch unbedingt alle Temp Ordner und den IE Cache! Suche auch nach der Sp.html und loesche diese....dann ist endgueltig Ruhe! -------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
|
|
Gast_?uestion_* |
02.07.2004, 19:18
Beitrag
#9
|
Threadersteller Gäste |
ja ja sieht gut aus....
hab das jetzt ausprobiert was remover geschrieben hat und bisher scheint alles in Ordnung zu sein!!! hab 2mal neu gebootet und alles bleibt wies sein soll, keine pop-ups, keine veränderung der Startseite! danke danke danke danke danke für eure hilfe! ich hatte zwar die Sp.html nicht gefunden, aber wenn ich sie nicht finde werde ich sie auch kaum zu löschen brauchen! sollte sich doch noch was tun melde ich mich! vorerst gebe ich ab und nochmals besten dank!!!! gruss ?uestion |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 30.05.2024, 13:23 |