Supportnet / Forum / WindowsXP

Hallo ihr Helfer, ich habe ein nerviges Problem mit einem Hijacker. Starte ich den IE kommt immer eine nicht gewollte Seite. Folgende Adresse wird angezeigt: res://C:\WINDOWS\system32\woinq.dll/index.html#96676; wobei hier die Datei *.dll sehr variabel ist. Löschen der jeweiligen Dateien in C:\Windows oder C:\windows\system32 bringt nichts, da immer eine neue entsteht. Ich habe Adaware, Spybot - Search & Destroy und SpHjfix.exe drüberlaufen lassen, aber kein Erfolg. Das Virenschutzprogramm trotz update schlägt nicht an. Die IE Optionen werden ständig von „about blank“ zu der beschriebenen Seite geändert. Was kann ich noch tun ? Achso die Programme sind immer 56kb groß (zu mindestens bis jetzt) Danke Danke

hi,
versuche mal den Cleaner

http://www.rokop-security.de/main/article.php?sid=746

Schon probiert - kein Erfolg :-(

Prüf deinen Autostart:
1.im Startmenü
2.Start-Ausführen-msconfig... [OK] (9x, XP)
3.Systemsteuerung->Software...,
4.die Run-Ordner der Registry,
leere deinen Verlauf, Cache, Cookies und falls vorhanden den Prefetch-Ordner,

Scan mit 1) dem CWShredder (Fix -->...) & 2) HijackThis. Zu Hijack ein Logtutorial (Log evtl. hier posten).
Browser jeweils schliessen, keine Installationen nötig. Download 2.
Alle Aktionen evtl. bei deaktivierter Systemwiederherstellung und im abgesicherten Modus ausführen - hinterher jeweils neu scannen.

Dann beschäftige dich dringend damit, deine
Browser-Sicherheitseinstellungen anzupassen.

Gruss,
Mic

^{Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©}

Leider noch nicht den Erfolg. Hier ist meine Hijackliste log

Logfile of HijackThis v1.98.2
Scan saved at 14:03:09, on 10.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\d3ty.exe
C:\WINDOWS\Mixer.exe
C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe
C:\Programme\T-Eumex KommunikationsCenter\sndml.exe
C:\Programme\Trend Micro\Internet Security\pccguide.exe
C:\Programme\Trend Micro\Internet Security\PCClient.exe
C:\Programme\Trend Micro\Internet Security\TMOAgent.exe
C:\Programme\T-DSL Business\BOLog.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\apprp32.exe
C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programme\Trend Micro\Internet Security\tmproxy.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Trend Micro\Internet Security\PccPfw.exe
C:\Kopien\T-DSL Netzwerk\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bfuom.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bfuom.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\bfuom.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://C:\WINDOWS\system32\bfuom.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bfuom.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bfuom.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bfuom.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\bfuom.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bfuom.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/
R3 - Default URLSearchHook is missing
F3 - REG:win.ini: run=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {35E6F3EB-98D4-8805-B758-063AEB55AB54} - C:\WINDOWS\sysqn.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [strtfx] "C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe"
O4 - HKLM\..\Run: [sndml] "C:\Programme\T-Eumex KommunikationsCenter\sndml.exe"
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Programme\T-DSL Business\BOLog.exe"
O4 - HKLM\..\Run: [VisualStudio] REM C:\WINDOWS\msorunner.exe /i
O4 - HKLM\..\Run: [apprp32.exe] C:\WINDOWS\apprp32.exe
O4 - HKCU\..\Run: [LauncherStart] "C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe"
O4 - Global Startup: CAPIControl.lnk = ?
O9 - Extra button: concept/design's onlineTV - {5BBDF5E6-A375-4242-B6A0-805A7405CE70} - C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: MedionShop - {FB7C19EE-F934-44AC-9AFC-EB60504D3B9E} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com

Was muß dort auf alle Fälle raus ?

Danke

hier ist es,
http://www.hijackthis.de/logfiles/229f83db8793a632b512e730e74ffa53.html

kannste hier auch selber auswerten lassen

http://www.hijackthis.de/

So wie es ausschaut hast du dir einen Virus eingefangen.

C:\WINDOWS\system32\lsass.exe

"lsass" ist SoberC, er bewirkt das du für andere im Internet sichtbar bist. Weiß leider auch nicht so viel darüber, habe aber Informationen auf:

http://board.protecus.de/showtopic.php?threadid=7346

und

http://www.tu-berlin.de/www/software/show.shtml?virus/soberc

gefunden.

@adder,
die lsass.exe im System32 Ordner ist normal, für die Benutzeranmeldung zuständig und gehört zu Windows.

@ratsuchender,
daran bitte nicht rumfummeln.

Gruss,
Mic

^{Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©}

Sorry,

alles zurück, mann hat mir nur die Hälfte erzählt.

Mickey hat recht, nochmals sorry.

Wichtig: Die Datei "lsass.exe" befindet sich im Ordner C:\Windows\System32.Sie ist der lokale Sicherheitsdienst.

Wenn das NICHT der Fall ist, handelt es sich bei lsass.exe um einen Virus, Spyware, Trojaner oder Worm!

hi
hatte ein aehnl. prob.
bei mir war es ein ein blaster - worm - clon
hab alles ausprob. was ich fand nix hat gefunzt hab schnell mein sys neu gemacht.

bei mir waren viele svchost-datei-instanzen geöffnet und ne fremde startsete die sich nich löschen liess.
such ma im google nach lsass.exe svchost.exe und blaster-clone

gruss popper

svchost gehört auch zum system. und das sie mehrere male im tastmanager läuft ist normal

Eine kleine Lösung habe ich gefunden. Jetzt ist immer ein mir unbekannter Dienst gestartet
apprp32.exe Lösche ich diesen bzw. inaktiviere ihn, ist er beim nächsten Start wieder da. Was macht man überhaupt mit Diensten, die keine Info's hergeben ?

Such die *.exe mal in deinem System und schau dir die Dateieigenschaften an. Nach einer Systemdatei sieht das nicht aus.
O4 - HKLM\..\Run: [apprp32.exe] C:\WINDOWS\apprp32.exe
evtl. einen Systemwiederherstellungspunkt setzen, die *.exe umbennen, aus dem Systemstart (msconfig) nehmen und den Pfad in der Registry löschen. Dann scan nochmals.

Gruss,
Mic

^{Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©}

• Hilfe! Mein neuer DVD Writer wird von Windows XP nur als Player erkannt
• Riesenproblem nach Lankabelentfernen
• Neuer Pc
• neuer pc