hilfe startseite geändert

[Unregistriert]

hallo!

habe das problem, dass bei internet verbindung folgende startseite vom internet explorer aufgerufen wird:
http://www.angeltowns3.com/members/unl0ad/blank.html

hijackthis hat nichts geholfen...
weiss jemand eine lösung? DANKE

Code:

Logfile of HijackThis v1.99.1
Scan saved at 16:16:30, on 11.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\winfix22490.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\system32\slrundll.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Ewald\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.Aon.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local>
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Configuration] ntsys32.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [MSPluginSrvc] p3.exe
O4 - HKLM\..\Run: [Dynamic Dns Binary] dynitora.exe
O4 - HKLM\..\Run: [REGRUN] C:\winfix22490.exe
O4 - HKLM\..\Run: [Windows Registry] winhost.exe
O4 - HKLM\..\RunServices: [Configuration] ntsys32.exe
O4 - HKLM\..\RunServices: [MSPluginSrvc] p3.exe
O4 - HKLM\..\RunServices: [Dynamic Dns Binary] dynitora.exe
O4 - HKLM\..\RunServices: [Windows Registry] winhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update] winsyst.exe
O4 - HKCU\..\Run: [Configuration] ntsys32.exe
O4 - HKCU\..\Run: [Rbukfg] C:\WINDOWS\System32\anfswk.exe
O4 - HKCU\..\Run: [MSPluginSrvc] p3.exe
O4 - HKCU\..\Run: [Dynamic Dns Binary] dynitora.exe
O4 - HKCU\..\Run: [Windows Registry] winhost.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C68F46A-627B-4EA2-B6F8-CAE2A9F8218A}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{90F44D07-77B9-4004-A96D-91A5316CBE03}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{5C68F46A-627B-4EA2-B6F8-CAE2A9F8218A}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe

[Juely]

Logfiles bitte in vB Code posten!
Siehe Ankündigung....

Sagt dir folender Eintrag etwas ?

O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB

Bitte las deinen Rechner von einem Online Scaner überprüfen

Panda ActiveScan

Scanne deinen Rechner bei deaktivierter Systemwiederherstellung mit einem Full-System-Scan mit Panda ActiveScan.
Der Scan kann ca 2-3 Stunden dauern. Speichere das Logfile.
Boote deinen Rechner danach neu auf.

Poste bitte wie oben Beschrieben ein neues HijackThis-Logfile.

[arbol01]

Logfiles bitte in vB Code posten!
Siehe Ankündigung....

Sagt dir folender Eintrag etwas ?

O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB

Mir sagt es etwas! ver4 und ver10 werden von Antivir als TR/Click.Adpower.* erkannt. Wenn ich mich nicht irre wird ver11 wohl auch ein Clicker sein.

[Juely]

@ arbol01 Danke du hast recht

@ Gast bitte führe erst einmal den Scan durch

[chris.gr]

Danke für eure Einträge!
Steckt leicht ein Dialer dahinter?
Norton erkennt diesen nicht, ebensowenig Adaware, Search&Destroy,etc...

Soll ich Antivir ausprobieren?

[Juely]

Leider ist es nicht nur ein Dialer du hast Malware auf deinem Rechner. Hast du den PandaScan durchgeführt und das Logbuch gespeichert wenn ja bitte posten?

[chris.gr]

Müsste erst eine Netzwerkkarte einbauen und ans Internet hängen... gibt es da nicht noch irgendein Softwaretool, mit dem diesen Dialer rasch entfernen kann? Ansonsten werde ich den Computer neu aufsetzen, geht schneller...

[Ruby]

Hallo Chris,

du hast lauter Würmer auf deinem Rechner:

den RBot, den W32/Sdbot-OP, den W32/Rbot-WV, den W32/Rbot-WT, noch einen WIN32.RBOT WORM, und so geht das munter weiter. Dein Rechner befindet sich in fremder Hand. Jemand anderes hat die volle Kontrolle über deinen Rechner: das nennt man ein System ist kompromittiert. Ich verzichte in diesem Fall auf den Versuch einer Reinigung. Überspiele deine persönlichen Daten auf CD/DVD, du musst sie aber mit einem AV-Programm scannen, bevor du sie auf dein neues System überträgst. Schau, dass du alles bei der Hand hast, wenn du dein System neu installierst. Es muss alles offline geschehen können, sonst ist dein System gleich wieder genauso verseucht wie jetzt.

Lies dir diese Anleitungen durch und sieh zu, dass du so schnell wie möglich aus dem Netz gehst: Hilfestellung zum Neuaufsetzen

Bitte alle Passworte ändern.

[chris.gr]

Habe aber mit Norton, Search&Destroy, Adaware, SpyDoctor & Co das System überprüft. Diese haben alle nichts mehr gefunden.

[Ruby]

dein AV-Programm und andere Schutztools können nichts finden, da sie von einem der Bots (W32/Rbot-WT) abgestellt worden sind. Sie funktionieren nicht mehr. Das ist eine der Folgen von Würmern mit Backdoorcharakter. Dein System ist nicht nur für dich ein Sicherheitsrisiko sondern für jeden im Netz. Abgesehen davon, dass von deinem Rechner aus Angriffe auf Systeme und Server geführt werden können. Halte dich an die Anweisungen.