Startseite pop-up problem, bitte Log anschauen! - Rokop Security

Rokop Security

Mitglieder Moderatoren

Willkommen, Gast ( Anmelden | Registrierung )

Rokop Security > Security > HijackThis-Logs

Reply to this topic

Start new topic

Startseite pop-up problem, bitte Log anschauen!, startseite res://zasnf.dll/index.html#28

Gast_?uestion_*	29.06.2004, 21:51 Beitrag #1
Gäste	Hallo liebes Notfallteam... wäre euch riesig dankbar wenn ihr diesen log mal anschauen könnt und mir sagt was ich löschen kann! habe das ganze programm mir Ad-aware, Spybot...durch und bin am anschlag! ich krieg folgende startseite nicht raus: res://zasnf.dll/index.html#28129 habe leider keinen Beitrag dazu im forum gefunden hier der log: Logfile of HijackThis v1.98.0 Scan saved at 22:09:25, on 29.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\WINDOWS\system32\HPConfig.exe C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\carpserv.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE C:\Programme\BroadJump\Client Foundation\CFD.exe C:\PROGRA~2\NORTON~1\navapw32.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ntmc32.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\M-Audio Audiophile USB\Dmn\ma003dmn.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\sdkhv.exe C:\Dokumente und Einstellungen\Soulfood\Desktop\hjt.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zasnf.dll/sp.html#28129 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zasnf.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zasnf.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\zasnf.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zasnf.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zasnf.dll/index.html#28129 R3 - Default URLSearchHook is missing F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {5DD9363D-9344-7F98-092E-C89C21F50B8A} - C:\WINDOWS\system32\atlpn.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [TV Now] C:\Programme\HPQ\Notebook Utilities\TvNow.exe /RK O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~2\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ntmc32.exe] C:\WINDOWS\system32\ntmc32.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [RealUpdater] C:\WINDOWS\System32\realupd.exe O4 - Global Startup: MA003DMN.LNK = C:\Programme\M-Audio Audiophile USB\Dmn\ma003dmn.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab danke für eure hilfe!!!

Gast_Bo Derek_*	29.06.2004, 23:31 Beitrag #2
Gäste	Also was auf jeden Fall raus sollte: CODE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zasnf.dll/sp.html#28129 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zasnf.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zasnf.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\zasnf.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zasnf.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zasnf.dll/index.html#28129 R3 - Default URLSearchHook is missing F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, Das solltest Du Dir mal durchlesen: http://www.rokop-security.de/main/article.php?sid=746

Remover Profil ansehen	30.06.2004, 05:56 Beitrag #3
"Sir Remover" Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS	Das sollte auch unbedingt raus: O2 - BHO: (no name) - {5DD9363D-9344-7F98-092E-C89C21F50B8A} - C:\WINDOWS\system32\atlpn.dll O4 - HKLM\..\Run: [ntmc32.exe] C:\WINDOWS\system32\ntmc32.exe O4 - HKCU\..\Run: [RealUpdater] C:\WINDOWS\System32\realupd.exe Sieht nach einem Trojaner und Wurm aus..... Der Beitrag wurde von Remover bearbeitet: 30.06.2004, 05:57 -------------------- Gruss R E M O V E R If you think you are paranoid, . . .you are not paranoid enough!

Gast_?uestion_*	30.06.2004, 07:49 Beitrag #4
Threadersteller Gäste	erst mal vielen dank für die prompte Hilfe!!! schaue mir das heute abend an und poste wieder! gruss ?uestion

Gast_?uestion_*	30.06.2004, 19:37 Beitrag #5
Threadersteller Gäste	Hallo zusammen! vielen dank für eure erste analyse... habe die besagten punkte gefixt und euren cleaner "sphjfix" mit der desinfizierung gestartet, der findet jedoch keine infizierung auch nach dem neustart sowie der CWShredder, der mir angibt das system sei clean.... das problem ist jedoch immer noch vorhanden, nur zeigt sich jetzt die Addresse der Startseite wie folgt: res://lhfoo.dll/index.html#28129 Design jedoch noch dasselbe (Home Search, wahrscheinlich gleicher verursacher) ich denke ihr kennt das Problem bereits! könntet ihr mir bitte bitte nochmals unter die Arme greiffen?? hier noch der neue log nach der ganzen Prozedur: Logfile of HijackThis v1.98.0 Scan saved at 20:24:31, on 30.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\WINDOWS\system32\HPConfig.exe C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\sdkhv.exe C:\WINDOWS\System32\carpserv.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE C:\Programme\BroadJump\Client Foundation\CFD.exe C:\PROGRA~2\NORTON~1\navapw32.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ntmc32.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\M-Audio Audiophile USB\Dmn\ma003dmn.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Soulfood\Desktop\hjt.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lhfoo.dll/sp.html#28129 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://lhfoo.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://lhfoo.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\lhfoo.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lhfoo.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://lhfoo.dll/index.html#28129 R3 - Default URLSearchHook is missing F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {7897E57C-2EB1-E8C5-4D9C-C227B55C1142} - C:\WINDOWS\system32\mskw32.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [TV Now] C:\Programme\HPQ\Notebook Utilities\TvNow.exe /RK O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~2\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ntmc32.exe] C:\WINDOWS\system32\ntmc32.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: MA003DMN.LNK = C:\Programme\M-Audio Audiophile USB\Dmn\ma003dmn.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab

Gast_Bo Derek_*	30.06.2004, 19:54 Beitrag #6
Gäste	Okay noch ein Versuch. Diese Prozesse beenden: CODE C:\WINDOWS\sdkhv.exe C:\WINDOWS\System32\carpserv.exe C:\WINDOWS\system32\ntmc32.exe C:\Programme\BroadJump\Client Foundation\CFD.exe Das fixen: CODE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lhfoo.dll/sp.html#28129 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://lhfoo.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://lhfoo.dll/index.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\lhfoo.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lhfoo.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://lhfoo.dll/index.html#28129 R3 - Default URLSearchHook is missing F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe, und das CODE O2 - BHO: (no name) - {7897E57C-2EB1-E8C5-4D9C-C227B55C1142} - C:\WINDOWS\system32\mskw32.dll CODE O4 - HKLM\..\Run: [CARPService] carpserv.exe und das CODE O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe und das CODE O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe und das CODE O4 - HKLM\..\Run: [ntmc32.exe] C:\WINDOWS\system32\ntmc32.exe und das (wahrscheinlich nicht schlimm, aber wenn's benötigt wird, installiert es sich automatisch): CODE O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab Und wenn's dann weg ist: steig auf einen anderen Browser um = Firefox oder Opera

Gast_?uestion_*	30.06.2004, 21:40 Beitrag #7
Threadersteller Gäste	ich bins nochmal... wollte hier nochmals meine jetzige lage posten... habe wieder die besagten positionen gefixt, diesmal mit einer merklichen verbesserung, meine gewünschte startseite bleibt bestehen und keine unerwünschten pop-ups, dieser Zustand bleibt aber nur bestehen solange ich meinen PC nicht neu starte, sonst falle ich wieder zurück in die alte Misere!!! aber wie ja von Bo Derek geschrieben (an dieser Stelle nochmals vielen Dank für seine Hilfe und rasche Antwort) anschliessend den Browser wechseln! die Lösung funktioniert, habe aber trotzdem eine Frage (bin kein experte in sachen PC-Kenntnisse) : ist nun meine Infizierung auf meinem PC grundsätzlich immer noch vorhanden (in dem Sinn gewissermassen auch mein Problem) aber ich kann es halt umgehen oder ausweichen in dem ich meinen internet Browser wechsle (firefox/opera...), da ja dann die infizierung einfach nicht zum zug kommen kann??? oder sehe ich das falsch??? gruss ?uestion

Remover Profil ansehen	01.07.2004, 05:36 Beitrag #8
"Sir Remover" Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS	Mach das fixen bitte im abgesicherten Modus (F8 beim booten) und loesche noch unbedingt alle Temp Ordner und den IE Cache! Suche auch nach der Sp.html und loesche diese....dann ist endgueltig Ruhe! -------------------- Gruss R E M O V E R If you think you are paranoid, . . .you are not paranoid enough!

Gast_?uestion_*	02.07.2004, 19:18 Beitrag #9
Threadersteller Gäste	ja ja sieht gut aus.... hab das jetzt ausprobiert was remover geschrieben hat und bisher scheint alles in Ordnung zu sein!!! hab 2mal neu gebootet und alles bleibt wies sein soll, keine pop-ups, keine veränderung der Startseite! danke danke danke danke danke für eure hilfe! ich hatte zwar die Sp.html nicht gefunden, aber wenn ich sie nicht finde werde ich sie auch kaum zu löschen brauchen! sollte sich doch noch was tun melde ich mich! vorerst gebe ich ab und nochmals besten dank!!!! gruss ?uestion

« Vorhergehendes Thema · HijackThis-Logs · Folgendes Thema »

Reply to this topic

Start new topic

1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)

0 Mitglieder:

Anzeige Modus: Standard · Wechsle zu: Thema+ · Wechsle zu: Überblick

Thema abonnieren · Dieses Thema versenden · Dieses Thema ausdrucken · Forum abonnieren

Vereinfachte Darstellung

Aktuelles Datum: 24.04.2024, 03:07

Powered By IP.Board © 2024 IPS, Inc.

Licensed to: Rokop Security

Original Style by Bo Derek, further improvements and board management by Style Biz | Webdevelopment