Mal wieder die Startseite - aber...

Nun, vielleicht solltet ihr euch dann mal langsam Gedanken über einen alternativen Browser machen...

*kopfschüttel*


mfG

 

Hi poro, endlich jemand mit dem selben Problem. Man kann sich tot-fixen mit HiJackThis, es bringt nichts. Der CWShredder repariert auch insgesamt 6 Files, die aber nach kurzer Zeit wieder da sind.

Ich hab' alle Windows- und Einstellungsdateien überprüft, die seit dem Auftreten des Problems geändert oder neu erstellt worden sind - war ne Sch..-Arbeit, aber keine wies eine meines Erachtens offentsichtlich zweifelhafte Herkunft auf, bis auf diese eine xxx.dll, die wie gesagt nach kurzer Zeit immer wieder unter verschiedenen Dateinamen auftaucht; kbah.dll, kbbaf.dll, nei.dll, dof.dll....

 

Guten Morgen Nevok


Das mache ich immer, wenn das Zeugs auftaucht.
Es muß irgendwo was geben, in der Tiefe des systems, was als Auslöser zu betrachten ist.

@bond7

Das Fileplanetzeugs ist neu. Das .dll-Problem war schon vorher.

 

das ist der auslöser gewesen , ein ActiveX mit abfrage.
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/c...DC_1_0_0_41.cab

das ist in der *.cab drinn "FilePlanetDownloadCtrl.dll" und wenn man sich das file über ein editor anschaut , stösst man auf eine menge von download und install-anweisungen inclusive der installations-abfrage des ActiveX-applets.

hinterher beschweren ist zwecklos !

 

Und schon ist es wieder passiert.
'ne CoD-Map gesucht, die es wahrscheinlich garnicht gibt.

Und die Folgen:

Logfile of HijackThis v1.97.7
Scan saved at 02:09:15, on 27.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Internet\FRITZ!DSL\FritzDSL.exe
E:\Programme\Ventrilo\Ventrilo.exe
C:\Internet\RefreshLock.exe
C:\WINDOWS\System32\svchost.exe
F:\Programme 1\System\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dkkaf.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dkkaf.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dkkaf.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dkkaf.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dkkaf.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dkkaf.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wir humppen durch das Internet
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\PROGRA~1\INTERNET\FLASHGET\jccatch.dll
O2 - BHO: (no name) - {A7F67CA1-EF7B-4C25-A04E-332E8F4C924D} - C:\WINDOWS\System32\dkkaf.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Alles mit FlashGet laden - F:\Programme 2\Internet\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - F:\Programme 2\Internet\FlashGet\jc_link.htm
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37980.2816898148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{419BB359-759B-43A9-A83A-10CEAD5B315C}: NameServer = 192.168.122.252,192.168.122.253



Ich gehe jetzt ins Bett.

Gute Nacht

 

die antwort kenne ich .

 

Sehr geehrter Herr Bond (James Bond???)



Dieses .log-File wurde ausgelöst durch eine Klick auf einen Link, der eigentlich zu einer CoD-Custom-Map führen sollte.
Man kann wahrscheinlich nicht einmal mehr Froschschenkelessenden Gamern trauen.

Ich habe das nur gepostet wegen der hohen Anzahl von Funden (Einträge?). 147 sind ein bischen zuviel des Guten.

 

Falsche Frage.
Die richtige lautet:
Falls nein, warum nicht?
Und das wirst du selbst beantworten können, sobald du erfolgreich die VHS-Kurse "Wie funktionieren programmiertechnisch Hintergrundinstallationen beim IE?" sowie "Wie surft es sich mit dem IE am bequemsten?" belegt hast.

 

@poro
hochinteresannte "c:\dokumente und einstellungen\*****\favoriten\adult links\" sachen hast du da, selber schuld wenn du dir das ungeschützt reinziehst !

 

@Steele
sind bei mir noch backgroundinstallationen während des ladens von gefährlichen webseiten möglich ? ja oder nein, wenn ja warum

 

@Cidre

Ad-Aware -wird bei Befall als erstes eingesetzt
CwShredder -findet dann meistens nichts mehr
Spybot -das einzige was hier noch auftaucht ist der WMP
und immer mal AntiVir
Jeden Tag ein paarmal nach Updates klicken (AdAware und AntiVir)

Was alles auf der Suche nach CoD-Maps passieren kann
AdAware in Action

Cookies sind bei mir disabled, trotz Ablehnung (wenn man eine Seite öffnet) kommt das Zeugs. Ich sollte vieleicht mal meine Sicherheitseinstellungen ändern, aber da funktioniert dann nur noch die Hälfte.




@steele
Du hast vieleicht Recht.
6 Jahre IE (ohne schwerwiegende Probleme) sind genug.
Aber man hat sich daran gewöhnt.

 

Du darfst hier sagen, was du willst. Und ich darf dir widersprechen und dir nachweisen, dass du falsch liegst, wenn ich mag.

 

es gibt ja möglicherweise eine lösung , wo dieses zitat dann nichtmehr zutreffend ist, aber das darf man ja hier nicht sagen

 

Das Macromedia-"Zeugs" brauchst du für Flashseiten und Seiten mit Flash-Buttons.
SOlange du den IE als Browser benutzt, wirst du dir immer wieder Hijacker einfangen.

 

Hallo poro,

versuche dochmal mit den Proggis
Spybot
Ad-Aware
CwShredder
dein System zu scannen, vielleicht erkennen sie den Bösewicht und update sie bevor du sie einsetzt.
Es wäre von Vorteil, wenn du die dll näher definieren könntest.

 

Guten Abend erst mal.

Ich habe seit ein paar Wochen das selbe Problem.
Die Ich habe viele Namen.dll läßt sich mit HiJackThis bequem entfernen, ist aber nach ein paar Minuten oder Stunden oder Tagen wieder da.
Bei mir ist die Systemwiederherstellung deaktiviert, von daher kann es nicht kommen.
Bleibt wohl nur ein nicht zu findender Registryeintrag oder eine infizierte Windowsdatei übrig (Virenscanner -AntiVir- findet nichts).

Hier mal mei HJT-log im Normalzustand:



Logfile of HijackThis v1.97.7
Scan saved at 23:00:19, on 26.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
F:\Programme 1\System\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wir humppen durch das Internet
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Alles mit FlashGet laden - F:\Programme 2\Internet\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - F:\Programme 2\Internet\FlashGet\jc_link.htm
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37980.2816898148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{419BB359-759B-43A9-A83A-10CEAD5B315C}: NameServer = 192.168.122.252,192.168.122.253



PS
Kann ich das Macromediazeugs rauswerfen?
Microsoft trau ich mich nicht
Fileplanet brauche ich





Gute Nacht

 

Das alles geschieht wie gesagt auch offline. Klar ist die Systemwiederherstellung deaktiviert!

Ich kann die Einträge sooft fixen wie ich will, die Einträge werden nach einem bestimmt Zeitintervall immer wieder neu erstellt.

Die Dit.exe gehört zur Verwaltungsroutine des Kartenlesers. Kann mir eigentlich nicht vorstellen, dass die irgendwie infiziert ist - verzichten kann auf die jedenfalls nicht.

Ich surfe nur mit Opera, aber dieser unsaubere IE stört mich trotzdem doch irgendwie sehr...

 

lesma HIER , da ist derselbe zusammenhang mit den benannten dateien chinesischer herkunft und der erkennung dieser sachen mittels cwshredder als spyware...usw.
"So I have stopped the DIT programs and deleted the regisry entries that run them at startup. No problems, the card reader works fine..(well, for CompactFlash, anyway...)"
jedenfalls muss die neue malware bei @Xen-Arien von einem der laufenden prozesse neu nachinstalliert sein und ich schliesse andere aufgelistete prozesse aus.

 

Die von dir verdächtigten Dateien gehören zumindest nach ihrem Namen zu einer CardReader-Software.