Bitte um Rat! Startseite wird ständig geändert!

Dieses Thema im Forum "Browser" wurde erstellt von Zürcher, 24. Juni 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Zürcher

    Zürcher ROM

    Registriert seit:
    24. Juni 2004
    Beiträge:
    3

    Liebe Forummitglieder,


    Für viele von euch wohl ein altbekanntes Problem. Jedes Mal, wenn ich den Browser öffne, wird die Seite:

    res://dwjmf.dll/index.html#96676

    als Startseite angezeigt. Ändern bei den Internetoptionen ist zwecklos.
    Nachdem ich mich in eurem Forum (etwas) schlau(er) gemacht habe, habe ich mir den Hijackthis runtergeladen und einen scan durchgeführt.

    Nur weiss ich nun nicht, welche Dateien ich löschen/fixen soll.

    Ich habe selbst einen Versuch gestartet und sämtliche Dateien mit dwjmf.dll drin gelöscht. Das hat aber nicht ausgereicht. Diese ***Seite kommt immer wieder!

    Was ist zu tun! Wäre euch riesig dankbar für eine Durchsicht meines Scans und um eine kurze Erklärung, was ich zu tun bzw. zu löschen habe. Danke!!!


    Scan:

    Logfile of HijackThis v1.97.7
    Scan saved at 01:48:34, on 24.06.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Programme\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\systj.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\dla\tfswctrl.exe
    C:\WINDOWS\System32\DSentry.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\Programme\QuickTime\qttask.exe
    C:\WINDOWS\apidk.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Programme\LeechGet 2004\LeechGet.exe
    C:\Programme\Outlook Express\msimn.exe
    C:\Dokumente und Einstellungen\Manuel\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis1977.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\dwjmf.dll/sp.html#96676
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://dwjmf.dll/index.html#96676
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://dwjmf.dll/index.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\dwjmf.dll/sp.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://dwjmf.dll/index.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\dwjmf.dll/sp.html#96676
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.euro.dell.com/
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {6346C5AD-FF9C-DA8A-986F-964A6CD08962} - C:\WINDOWS\winwo32.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM32\msdxm.ocx
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
    O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
    O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [sysad32.exe] C:\WINDOWS\system32\sysad32.exe
    O4 - HKLM\..\Run: [apidk.exe] C:\WINDOWS\apidk.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
    O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
    O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
    O9 - Extra button: Recherchieren (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
    O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
    O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

     
  2. Krawumm

    Krawumm Guest

    8800 Treffer bei Google für 'IE Startseite ändert sich'. Was meinst Du, ist Dein Problem eine neue Variante oder hast Du nur keine Lust, die Hijack-Latte abzuarbeiten? Irgendwann solltest Du es lernen.
     
  3. Gast

    Gast Guest

    Hmm, du kommst mit deinem Log-file zu einem denkbar ungünstigen Zeitpunkt. Wenn du dich hier ein wenig umsiehst, wirst du merken, dass das Forum gerade voll und ganz damit beschäftigt ist, langsamen Selbstmord zu begehen.

    Ich fürchte daher, dass im Augenblick niemand den Nerv hat, mit dir in aller Gemütsruhe deinen Hijacker zu entfernen.

    Ich selbst fixe sehr ungerne in irgendwelchen HJT-Logs rum, wenn ich nicht selbst an der Kiste des Betroffenen sitze, weil ich erstens nicht weiß, was sich die Leute wissentlich installiert haben und zweitens bringt das nichts. Wenn man schon so blauäugig ist, mit unsicheren Einstellungen bzw. einem unsicheren Browser rumzusurfen, dann schadet es nichts, wenn man sich selbst mal schlau macht.

    Übrigens würde ich mir mal die Datei C:\WINDOWS\systj.exe genauer ansehen. Was ist das? Ist das mit deiner Genehmigung auf der Platte? Hast du vor deiner Fix- und Lösch-Aktion die Systemwiederherstellung deaktiviert? Hast du im abgesicherten Modus gelöscht?

     
  4. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    @ Zürcher

    Laß mal alle Einträge mit R0 und R1 von HijackThis im abgesicherten Modus fixen.

    Kannst du die folgenden Dateien irgendwelchen Programmen zuordnen?

    C:\WINDOWS\systj.exe
    C:\WINDOWS\system32\dla\tfswctrl.exe
    C:\WINDOWS\System32\DSentry.exe
    C:\WINDOWS\apidk.exe

    Gruß
    Nevok
     
  5. Denniss

    Denniss Megabyte

    Registriert seit:
    23. Juli 2000
    Beiträge:
    1.289
    Ich würde ja auch gerne helfen aber aufgrund diverser Bugs der Forumssoftware kann ich vile der Zeilen vom HJT-Log nicht vollständig lesen .
    Standardtips :
    Antivirenprogramm aktualisieren und durchlaufen lassen + evtl mal ein zweites Programm z.B. http://www.free-av.de probieren .
    Spybot 1.3 - http://www.spybot.info - und Ad-Aware6 - http://www.lavasoft.de - installieren + aktualisieren + immunisieren (Spybot) und dann suchen lassen .
    Der CWShredder kann auch nützlich sein - aktuell 1.59
     
  6. Zürcher

    Zürcher ROM

    Registriert seit:
    24. Juni 2004
    Beiträge:
    3
    @Nevok

    Danke für den Tip. Im habe das versucht und alle RO und R1 gefixt. Leider ist damit das Problem nicht behoben. Die dämliche Startseite zeigt sich hartnäckig.

    Was die vier Dateien anbelangt:


    C:\WINDOWS\systj.exe

    Keine Ahnung, was das ist. Aber es wurde erst am 16. Juni 04 erstellt. Von dem her könnte es gut sein, dass dieses Programm ein Uebeltäter ist.

    C:\WINDOWS\system32\dla\tfswctrl.exe

    Das gehört wohl zum CD-Brenner-Programm.

    C:\WINDOWS\System32\DSentry.exe

    Dabei handelt es sich um eine vom Hersteller (Dell) draufgepackte Datei aus dem 2003. Von dem her wohl unverdächtig.

    C:\WINDOWS\apidk.exe

    Das Ding ist seit 17. 6. 04 drauf. Das hat wohl meine bessere Hälfte eingefangen. Ist nur 30 Kb gross.


    Zum Schluss noch das: Ich muss ehrlich gesagt zugeben, dass ich schon etwas im Trüben fische bezüglich dieser ganzen Hijacker-Thematik. Ich wollte einfach einen Rat von jemandem hören, der damit mehr Erfahrung hat als ich (und das werden nicht wenige sein), bevor ich da was rumfixe. Im Zweifelsfalle kann ich auch mit der idiotischen Startseite leben...

    Gruss, Zürcher
     
  7. mr.b.

    mr.b. Megabyte

    Registriert seit:
    18. April 2000
    Beiträge:
    2.463
    Lass die verdächtigen Dateien bei Kapersky online überprüfen.

    http://www.kaspersky.com/de/remoteviruschk.html

    Es besteht Trojanerverdacht bei dir. Sollte sich das bestätigen, die verdächtigen Datei im abgesicherten Modus löschen bzw. umbenennen. Vorher sollte die Systemwiederherstellung deaktiviert werden.
    Danch solltest du u.U.dein System neu aufsetzen und vor dem ersten Start ins Netz richtig konfigurieren.
    http://www.rokop-security.de/main/article.php?sid=703
    http://schad.dyndns.org/index.php/Kompromittierung
    http://www.ntsvcfg.de/

    Gruß
     
  8. mr.b.

    mr.b. Megabyte

    Registriert seit:
    18. April 2000
    Beiträge:
    2.463
    Du solltest die verdächtigen Dateien bei Kapersky online untersuchen lassen:
    http://www.kaspersky.com/de/remoteviruschk.html

    Bestätigt sicher der Verdacht auf einen Trojaner, die entspr. Dateien im abgesicherten Modus löschen bzw. umbenennen. Die Systemwiederherstellung sollte vorher deaktiviert werden.

    Sollte sicher mein Verdacht bestätigen, solltest du dir um eine Neuaufsetzen deines Systems (format:c) Gedanken machen.
    Vor dem ersten Start ins Internet dein System sicher konfigurieren

    Lies dazu:
    http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
    http://oschad.info/wiki/index.php/Kompromittierung
    http://www.ntsvcfg.de/

    Gruß
     
  9. mr.b.

    mr.b. Megabyte

    Registriert seit:
    18. April 2000
    Beiträge:
    2.463
    Du solltest die verdächtigen Dateien bei Kapersky online untersuchen lassen:
    http://www.kaspersky.com/de/remoteviruschk.html

    Bestätigt sicher der Verdacht auf einen Trojaner, die entspr. Dateien im abgesicherten Modus löschen bzw. umbenennen. Die Systemwiederherstellung sollte vorher deaktiviert werden.

    Sollte sicher mein Verdacht bestätigen, solltest du dir um eine Neuaufsetzen deines Systems (format:c) Gedanken machen.
    Vor dem ersten Start ins Internet dein System sicher konfigurieren

    Lies dazu:
    http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
    http://oschad.info/wiki/index.php/Kompromittierung
    http://www.ntsvcfg.de/

    Gruß
     
  10. mr.b.

    mr.b. Megabyte

    Registriert seit:
    18. April 2000
    Beiträge:
    2.463
    Du solltest die verdächtigen Dateien bei Kapersky online untersuchen lassen:
    http://www.kaspersky.com/de/remoteviruschk.html

    Bestätigt sicher der Verdacht auf einen Trojaner, die entspr. Dateien im abgesicherten Modus löschen bzw. umbenennen. Die Systemwiederherstellung sollte vorher deaktiviert werden.

    Sollte sicher mein Verdacht bestätigen, solltest du dir um eine Neuaufsetzen deines Systems (format:c) Gedanken machen.
    Vor dem ersten Start ins Internet dein System sicher konfigurieren

    Lies dazu:
    http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
    http://oschad.info/wiki/index.php/Kompromittierung
    http://www.ntsvcfg.de/

    Gruß
     
  11. mr.b.

    mr.b. Megabyte

    Registriert seit:
    18. April 2000
    Beiträge:
    2.463
    Weiß leider nicht wie man hier im Forum vernünftig antworten soll.
    Solange man die Software nicht im Griff hat, werde ich mich hier zurückhalten.
    Schade.
    Gruß
     
  12. mr.b.

    mr.b. Megabyte

    Registriert seit:
    18. April 2000
    Beiträge:
    2.463
    Du solltest die verdächtigen Dateien bei Kapersky online untersuchen lassen:
    http://www.kaspersky.com/de/remoteviruschk.html

    Bestätigt sicher der Verdacht auf einen Trojaner, die entspr. Dateien im abgesicherten Modus löschen bzw. umbenennen. Die Systemwiederherstellung sollte vorher deaktiviert werden.

    Sollte sicher mein Verdacht bestätigen, solltest du dir um eine Neuaufsetzen deines Systems (format:c) Gedanken machen.
    Vor dem ersten Start ins Internet dein System sicher konfigurieren

    Lies dazu:
    http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
    http://oschad.info/wiki/index.php/Kompromittierung
    http://www.ntsvcfg.de/

    Gruß
     
  13. Zürcher

    Zürcher ROM

    Registriert seit:
    24. Juni 2004
    Beiträge:
    3
    @Deniss und mr.b. :

    Vielen Dank für eure Tipps! Habe einige davon ausprobiert (bzw. bin den Links gefolgt) und mittlerweile läuft mein System wieder stabil und v.a. ohne lästige Startseite!!

    also nochmals vielen Dank für eure Hilfe!

    Gruss, Zürcher

     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen