Hilfe - wie bekomme ich diese Startseite beseitigt http://0ml.net/cat

[Tom_68]

Hallo zusammen,

wer ist so nett und kann mir hier weiterhelfen.
Bedanke mich schon mal im voraus.

Code:

Logfile of HijackThis v1.99.1
Scan saved at 15:42:51, on 23.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINWSM.IBS\INTERBASE\bin\ibguard.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Programme\DeTeWe\OpenDimension\driver\Capictrl.exe
C:\WINWSM.IBS\INTERBASE\bin\ibserver.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://0ml.net/cat
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://0ml.net/searchasst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://0ml.net/cat
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://0ml.net/cat
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://0ml.net/cat
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://0ml.net/cat
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://0ml.net/searchasst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://0ml.net/cat
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://0ml.net/cat
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://0ml.net/searchasst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://0ml.net/searchasst.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://0ml.net/searchasst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://0ml.net/searchasst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://0ml.net/cat
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://0ml.net/cat
O1 - Hosts: 3466709097 sea.search.msn.com
O1 - Hosts: 3466709097 www.your.com your.com
O1 - Hosts: 3466709097 com.org
O1 - Hosts: 3466690378 ad.doubleclick.net
O1 - Hosts: 3466690378 view.atdmt.com
O1 - Hosts: 3466690378 click.atdmt.com
O1 - Hosts: 3466690378 leader.linkexchange.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEMozgObj Class - {CE7C3CF0-4B15-11D1-0BED-709549C10020} - C:\WINDOWS\system32\a6bycwhhdj.dll
O3 - Toolbar: Universal Searchbar - {5F7AB1DB-A899-46c1-8345-B72B4567EE86} - C:\PROGRA~1\Utility\utility.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: &Web Search - res://C:\PROGRA~1\Utility\utility.dll/GoSrch.dll.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {BA7CE688-3756-4559-9648-17F64A80CDB9} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {BA7CE688-3756-4559-9648-17F64A80CDB9} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\WINWSM.IBS\INTERBASE\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\WINWSM.IBS\INTERBASE\bin\ibserver.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

[Speedy]

hi
entschuldige, das die antwort solange auf sich warten lies, aber mein provider macht derzeit probleme, der einspeisepunkt ist irgendwie überlastet und ich bin der letzte in der reihe, also komme ich drann, wenn alle anderen nicht mehr wollen ( "neues" system, internet aus der steckdose )
das war bis 23:45, dann habe ich mein posting gekillt, das war superschlau

letzter anlauf, ab nun wird zwischengespeichert

start->systemsteuerung->software->programme ändern oder entfernen-> nachsehen, ob hier ein,oder mehrere programme installiert sind, die nicht absichtlich von dir installiert wurden, deinstallieren -> name der programme hier posten! kann ein programm nicht deinstalliert werden, ein grund, es ist in verwendung, mit dem taskmanager beenden und dann deinstallieren.
(hier genau schauen!)

start->systemsteuerung->internetoptionen->karteikarte allgemein->cookies und dateien löschen, verlauf leeren und einstellungen nie aktivieren

explorer starten C:\ markieren, rechte maustaste ->eigenschaften wählen->bereinigen->hier folgendes aktivieren übertragene programmdateien, temporary internet files, offlinewebseiten, papierkorb,temporäre dateien


führe einen scan mit escan (meine beschreibung) durch
1) lege diesen ordner c:\bases an
2) download von escan in diesen ordner
3) entpacke das *zip file mwav.zip hier in diesem ordner
wenn der pfad nicht genau so angegeben wird, funktioniert der scanner/updater nicht!
4) doppelklick auf die datei kavupd.exe, das update wird gestartet und der ordner C:\downloads installiert.
5) wechsle in den abgesicherten modus von windows

nun startest du HijackThis und fixt damit folgende einträge
R0 alle
R1 alle
01 alle
O2 - BHO: IEMozgObj Class - {CE7C3CF0-4B15-11D1-0BED-709549C10020} - C:\WINDOWS\system32\a6bycwhhdj.dll
O3 - Toolbar: Universal Searchbar - {5F7AB1DB-A899-46c1-8345-B72B4567EE86} - C:\PROGRA~1\Utility\utility.dll
O4 - Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: Web Search - res://C:\PROGRA~1\Utility\utility.dll/GoSrch.dll.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {BA7CE688-3756-4559-9648-17F64A80CDB9} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {BA7CE688-3756-4559-9648-17F64A80CDB9} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)

HijackThis-> config -> misc tools --> delete a file on reboot, wähle die zu löschende datei, die frage zum neustart mit nein beantworten, wieder delete a file on reboot wählen, nächste datei auswählen usw., bis du die letzte dateie ausgewählt hast, nun antwortest du auf die frage zum neustart mit JA
C:\WINDOWS\system32\a6bycwhhdj.dll
C:\PROGRA~1\Utility\utility.dll
C:\PROGRA~1\Utility\utility.dll/GoSrch.dll.htm

sofort wieder in den abgesicherten modus und hier weiterarbeiten

6) öffne nun den explorer, gehe zum ordner c:\bases und starte die datei mwavscan.exe, schließe den explorer.
7) überprüfe die einstellungen, unter scan option-->memory, startup folders, registry, system folders und services sowie drive (auswahl) und scan all files sollte aktiviert sein, dann den button *SCAN/CLEAN* drücken.
8) wenn der scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen modus,
folgende Programme herunterladen:
Dllcompare
und
Killbox

Dll Compare benutzen

Kopiere die Dllcompare.exe auf deinen Desktop, nicht direkt von der Downloadseite starten.
*DllCompare starten und Run locate.com clicken
Nachdem der Scan fertig ist siehst Du in blau "Complete the scan, Click Compare to continue" welches Du auch tust.
Nach kurzer Zeit sagt er Completed und Du clickst auf "Make a Log of what was found"
Dieses Log hier posten.
Killbox starten
Einstellungen:
Replace on Reboot
Nun vom DLL Compare Log Zeile für Zeile in killbox reinposten (ja viel Arbeit ich weiss):
C:\WINDOWS\SYSTEM32\XXXXX.dll
Für jede Datei zusätzlich die Option Use Dummy auswählen, das rote X drücken die erste meldung (Confirmation) mit Ja und die Zweite mit Nein bestätigen.
Zum Schluss
C:\WINDOWS\SYSTEM32\guard.tmp in Killbox einfügen, mit selben optionen wie oben, allerdings diesesmal bei der 2. Meldung (reboot) auf Ja gehen.

* ab hier wieder beginnen, bis keine *.dll datei mehr gefunden wird.

Wenn alles weg ist:
Killbox starten
Einstellungen:
Standard File Kill
C:\WINDOWS\SYSTEM32\guard.tmp
Rotes X -> Yes -> Yes -> Neustart
kann sein das diese datei aber schon weg ist, dann sparen wir uns das

Aufräumen
Killbox starten
C:\RECYCLER\Desktop.ini
Rotes X etc. Neustart

http://www.downloads.subratam.org/VX2Finder.exe
herunterladen, starten
Restore Policy clicken
UserAgent$ Button clicken

Start - Ausführen - regedit
zu folgendem Key Navigieren:
Zitat:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Dort müsste es noch einen Unterschlüssel mit beliebigem Namen geben in dem ein Verweis "DllName"="C:\\Windows\\System32\\irgendwas.dll" steht
Wenn der Name kryptisch ist nur diesen Unterschlüssel löschen.
Ansonsten hier posten.


9) nun öffnest du mit dem editor, die mwav.txt oder mwav.log und wählst unter bearbeiten -> suchen, hier gibst du infected ein



jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten

Wed Oct 06 03:19:24 2004 => Total Number of Files Scanned: 54651
Wed Oct 06 03:19:24 2004 => Total Number of Virus(es) Found: 0
Wed Oct 06 03:19:24 2004 => Total Number of Disinfected Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Files Renamed: 0
Wed Oct 06 03:19:24 2004 => Total Number of Deleted Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Errors: 0
Wed Oct 06 03:19:24 2004 => Time Elapsed: 01:13:32
Wed Oct 06 03:19:24 2004 => Virus Database Date: 2004/10/05
Wed Oct 06 03:19:24 2004 => Virus Database Count: 105164

Wed Oct 06 03:19:24 2004 => Scan Completed.

+ aktuelles logfile von hijackthis

[Tom_68]

Hallo Speedy,

erstmal herzlichen Dank für die ausführliche Beschreibung.
Im Moment komme ich nicht zur Fehlerbehebung.
Sobald ich ein Ergebnis habe, werde ich es hier posten.

Also nochmals herzlichen Dank, melde mich wieder.
Tom_68

[Ruby]

Hi Tom,

zusätzlich zu Speedys Antwort wäre dies hier vorzunehmen:

in den Ordneroptionen sollte zuerst das Häkchen entfernt werden bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen".

Die Systemwiederherstellung zu deaktivieren während der Arbeiten am System.

Lade die folgenden Files hierhin hoch:

C:\WINDOWS\system32\a6bycwhhdj.dll
C:\PROGRA~1\Utility\utility.dll

(MUST!) Boote in den abgesicherten Modus. Schliesse alle Fenster inklusive Internet Explorer. Lass Hijackthis laufen, click scan, und setze ein Häkchen neben jeden dieser Einträge. Drücke dann auf den Fix Button:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://0ml.net/cat
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://0ml.net/searchasst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://0ml.net/cat
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://0ml.net/cat
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://0ml.net/cat
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://0ml.net/cat
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://0ml.net/searchasst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://0ml.net/cat
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://0ml.net/cat
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://0ml.net/searchasst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = h**p://0ml.net/searchasst.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://0ml.net/searchasst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = h**p://0ml.net/searchasst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://0ml.net/cat
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://0ml.net/cat
O1 - Hosts: 3466709097 sea.search.msn.com
O1 - Hosts: 3466709097 w*w.your.com your.com
O1 - Hosts: 3466709097 com.org
O1 - Hosts: 3466690378 ad.doubleclick.net
O1 - Hosts: 3466690378 view.atdmt.com
O1 - Hosts: 3466690378 click.atdmt.com
O1 - Hosts: 3466690378 leader.linkexchange.com
O2 - BHO: IEMozgObj Class - {CE7C3CF0-4B15-11D1-0BED-709549C10020} - C:\WINDOWS\system32\a6bycwhhdj.dll
O3 - Toolbar: Universal Searchbar - {5F7AB1DB-A899-46c1-8345-B72B4567EE86} - C:\PROGRA~1\Utility\utility.dll
O4 - Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: &Web Search - res://C:\PROGRA~1\Utility\utility.dll/GoSrch.dll.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {BA7CE688-3756-4559-9648-17F64A80CDB9} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {BA7CE688-3756-4559-9648-17F64A80CDB9} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)

Boote in den normalen Modus.

ClearProg laufen lassen: "Clear all" und "Clear" müssen angefinkt sein.
Leere den Ordner: C:\WINDOWS\TEMP

Erstelle dann auch ein neues HijackThis Logfile und poste es.