Mal wieder die Startseite - aber...

...nachdem ich mich jetzt per google durch zig Seiten gefressen habe und auch hier nach 10 Threads dazu nun endgültig den Durchblick verloren habe, muss ich jetzt doch einen neuen Aufmachen - bitte ohne jetzt auf zig andere Threads hinzuweisen.

So, das blöde Ding - die Startseite - lässt sich nicht ändern, und anstelle des "aboutBlank" bekomme ich eine "aboutBlank" mit "Search For..." Inhalt - sowohl online als offline. Der Inhalt dieser Site befindet sich in einer x-beliebigen .dll datei in Windows/System32 . Wenn man diese 36 kb große .dll im abgesicherten Modus löscht, wird sie nach einem gewissen Zeitraum mit einem zufällig generierten Dateinamen neu erstellt und lässt sich nur durch ihr Änderungsdatum ausfindig machen.

Also hab ich Adaware, Spybot,, cwshredder laufen lassen, die kein Ergebnis vorbingen konnten. Per HijackThis hab' ich einige irreguläre EInträge gefunden und gefixt, danach in der Registry eingie IE-Such-Einträge gelöscht, sowas zum Beispiel:

SearchAssistant REG_SZ res://%43%3a%5c%75%49..... usw.

Nach einiger Zeit ist aber wieder alles beim alten, also muss irgendwo noch was sitzen. Achja, in vielen Hilfen ist dieses Verzeichnis in der Registry angegeben:

HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Internet Explorer\ Control Panel

Der InternetExplorer existiert dort unter Mircosoft bei mir gar nicht.... ( Nein, ich hab' mich nicht im Stammverzeichnis verguckt :-))
Einweiteres Symptom, von dem ich allerdings nicht weiß, ob dies mit der Malware zusammenhängt ist, dass sich meine Auslagerungsdatei plötzlich ein riesiges Ausmaß annimmt, teilweise über 700 MB...

Hier ist meine Hijack-Log: (Wie gesagt, die ersten Einträge kann ich fixen so oft ich will, beim erneuten Starten des IE' s, selbst offline, ist alles wieder so:


Logfile of HijackThis v1.97.7
Scan saved at 19:00:35, on 25.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\DitExp.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\fpc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\fpc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\fpc.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\fpc.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\fpc.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\fpc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {15593D38-0FF1-413C-9915-46A3D9277AA4} - C:\WINDOWS\System32\fpc.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FF531B48-DE2E-466D-BA25-3DA6F4A215DB} - C:\WINDOWS\System32\doegkgb.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\MSDXM.OCX
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BACDE1B5-E80E-4E90-8010-1158F7A127F6}: NameServer = 195.93.88.134




Es wär' super, wenn mich jemand irgendwie weiterhelfen könnte.

 

@poro:

Bevor du neu draufspielst, wirf mal einen Blick hierdrauf (Bei mir hat's geklappt):

http://forum.pcwelt.de/showthread.php?s=&threadid=125874

 

also von frontpage und co halte ich nicht viel.

ein vernünftiger texteditor und das kompendium von selfhtml und dann mal los....

dann hab ich auf jedenfall keine <br> (neue zeile) und &nbsp; (leerzeichen) zuviel!

dauert zwar länger, aber es wird dann so wie ICH es will!

machste IE so dicht (wenns überhaupt möglich ist), das du von der sicherheit soweit bist, wie bei mozilla & co. kannste damit bestimmt nicht mehr vernünftig surfen!

 

Wie kann das jetzt gehen????

Ich habe bei mir nichts gelöscht oder von irgendwelche programmen was entfernen lassen.
Ich habe ja immer gleich auf X geklickt, der Mauspfeil ist immer in Position. Beim nächsten Mal gibt's einen Screenshot gratis dazu.



Nächste mögliche Ursache:
die wininit.cfg vom 12.04.2004
Datum könnte stimmen, da ging es ungefähr los

[Rename]
NUL=C:\WINDOWS\bdl84126.exe

Die .exe gibt es bei mir nicht, und ist garantiert was unanständiges.
Infos dazu hier
Kann ich den Eintrag löschen?

 

@poro

klick auf deinen link, die umleitung zu der ZIP erfolgt automatisch.

 

@steele

hahaaa klasse....es gibt da übrigens so ein neues windows-integriertes Werkzeug , genannt blockierleiste , wo alle diese dinge (ausführbare background-installationen über webseiten) darauf festgehalten werden und der user frei darüber entscheiden kann was damit zu geschehen hat.
also ich fühle mich nicht unbedingt geknebelt davon.

 

@bond7


Dialeralarm auf Gamer-Seiten

Gehe mal hier und klicke auf den Link zum downloaden. Mal sehen was da passiert.

Oder hier oder hier oder hier und klicke dich durch.


Der Pfad von deinem Link unterscheidet sich ja auch von meinem.
Wo hast du deinen her???

 

Tja..hihi
MyWebSearch ist ein bekannter Hijacker.
Unverhofft kommt oft.

Man kann theoretisch den IE so knebeln, dass er gegnüber einem Teil der Hijacker und sonstiger Malware unempfindlicher wird, aber dann ist er zum Surfen kaum noch zu gebrauchen. Warum also mit einer Tretmine unterwegs sein, wenns auch einfacher geht?
Und was das "zu bunt" betrifft: Geschmäcker sind verschieden. Bei den Buttons kann ja von "bunt" keine Rede sein und das, was da bunt ist, sind die Favicons meiner Stammseiten. Das hat ja nichts mit dem Browser zu tun.

 

habe gerade was gefunden.
Kann mich nicht erinnern mal was von denen installiert zu haben.


[HKEY_LOCAL_MACHINE\SOFTWARE\Gemplus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Gemplus\Cryptography]

[HKEY_LOCAL_MACHINE\SOFTWARE\Gemplus\Cryptography\SmartCards]

[HKEY_LOCAL_MACHINE\SOFTWARE\Gemplus\Cryptography\SmartCards\GemSAFE]
"Card List"=hex:47,65,6d,53,41,46,45,20,53,6d,61,72,74,20,43,61,72,64,20,28,34, 4b,29,00,47,65,6d,53,41,46,45,20,53,6d,61,72,74,20,43,61,72,64,20,28,38,4b, 29,00,00

Hatte nie was mit SmartCards zu tun.
Kennt das jemand?


Oder das hier.

[HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive]

[HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive\bar]

[HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive\bar\Switches]
"incmail.exe"="1"
"msimn.exe"="1"
"outlook.exe"="1"
"waol.exe"="1"
"aim.exe"="1"
"msmsgs.exe"="1"
"msnmsgr.exe"="1"
"ypager.exe"="1"
"mwssrcas.dll"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive\Email-IM]

[HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive\Email-IM\0]
"Toolbar"="*Uninstalled*"
"AppName"="MyWebSearch Email Plugin"

[HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive\Outlook]

 

@poro

dialer..hää wie?? ich hab auf dein link geklickt, da kommt das raus :
http://cod.powered-by.clanserver4u.de/html/download/maps/mp_entrenchments.zip
und das ist in der zip :
zzzz_user_mp_entrenchments.pk3
readme.txt

das ist doch das was du wolltest?...

da ist nix dialer.

 

@Xen-Arien
solange du deine applikationen ALLE als ungefährlich einstufst, wird sich auch nichts ändern.

 

Viel zu bunt.
Was sind Mausgesten ?
Nette HP.


Und nun zum eigentlichen Problem.

Vorsicht - Auf eigene Gefahr!!!!!

---------------------------------------------------------------------------------
http://cod.powered-by.clanserver4u....79&PHPSESSID=a8dcafb34c28597de04b65e2ef8c3f92
---------------------------------------------------------------------------------

Das sollte eigentlich ein Downloadlink zu einer CoD-Map sein.
Ist er auch. Nur manchmal will da ein Dialer rein, oder es öffnen sich XXX-Seiten,welche auch gleich was mitbringen. Wie kann so was funktionieren? Einmal so, dann so???????

 

Um Mal wieder zum Thema zurückzukommen:

Es gibt also scheinbar keine Lösung, wie man dieses sich immer neu erscheinende Phänomen in den Griff kriegen kann?
Folgende Maßnahmen sind bisher also bei deaktiverter Systemwiederherstellung mehr oder weniger fehlgeschlagen:

• Adaware+Spybot-Scan
• CWShredder-Fix
• HiJackThis-Fix
• Manuelles Löschen im abgeschicherten Modus

da das verfluchte Ding immer wieder neu auftaucht ohne dass überhaupt ne Interverbindung besteht, kann's sich ja eigentlich nur beim Booten wieder neu einnisten.

Im Programm-Autostart ist aber auch nix. Vielleicht irgendne .dll, die sich da eingetragen hat? Kann man die irgendwie überprüfen?

 

Ja und?
Hier mal ein Moz-Screenshot derselben Seite. BTW: Die Navigationsleiste könnte ich durchaus noch ausblenden, da ich ja mit Mausgesten navigieren kann.

Screenshot

 

Habe Mozilla full mal ausprobiert. Naja.

Der IE sieht bei mir (optisch) so aus.
Muß auf 800x600 fahren wegen Monitor.

 

Tja...das ist nun wirklich zuuuuu blöd....
Die von dir genannten Browser haben DUMMERWEISE alle viel mehr Schnickschnack und Features zu bieten als der IE und trotz allem sind sie leicht bedienbar und auch noch sicherer. Wirst wohl mal selbst probieren müssen. So was blödes aber auch...

 

Genug mit dem Gerede.

Was soll ich installieren??
Opera oder Mozilla oder sonstwas?
Hab' keine Ahnung von dem Zeugs.
Brauche auch keinen Schnickschnack an Features.

Download - ftp - Favoriten - Quelltext sind das wichtigste.

Ist auch egal wie groß die Installation wird, hauptsache es wird nich zuviel Systemleistung gebraucht wenn's läuft.

 

Klar. Warum nicht? Der IE rallt ja eh nicht, ob das Kommende nun wirklich ne Schriftart oder was anderes ist.

 

Das frag' ich mich auch. (wie das Zeug übern IE da drauf gekommen ist) Ich nutz' den IE normalerweise nur um zu überprüfen, ob Webseiten auch dort fehlerfrei angezeigt werden (ich sag ja, das ganze geschieht selbst offline) sonst surf ich ausschließlich mit Opera. Ich bin kein Freund unbekannten Zeugs auf meinem Rechner, daher achte ich sehr darauf, was und woher installiert wird.

Können HiJacker eigentlich per Schriftart-Download eindringen?

 

Wie können sich via IE Hijacker auf deinem PC erfolgreich einnisten, wenn du den IE nicht benutzt?
Einzige halbwegs befriedigende Antwort neben der, dass du den IE eben doch noch benutzt:
Du installierst dir in regelmäßigen Abständen fragwürdige Progrämmchen, die Adware und Spyware mitbringen. Auch so können solche Hijacker auf den PC gelangen. Aber dann müsste man ja gleich nach der erfolgreichen Entfernung wieder irgendwelchen Müll installieren, um diesen oder einen anderen Hijacker wieder zu bekommen.
Neee... für mich klingt glaubhafter, dass du den IE doch benutzt.