Mal wieder die Startseite - aber...

@Xen-Arien

du hast höchstwahrscheinlich vergessen den hijacker zu entfernen, der dir dann einfach eine neue malware nachinstalliert von entfernter C:\WINDOWS\System32\fpc.dll zu neuer C:\WINDOWS\System32\nei.dll .
und ich tippe stark auf die 2 sachen :
C:\WINDOWS\Dit.exe
C:\WINDOWS\DitExp.exe
die teile kommen mir zumindestens sehr bekannt vor , bei früheren besuchen auf präparierten webseiten. :p

nutze bitte Spybot - Search & Destroy und Lavasoft-Ad-aware 6 mit neuesten signatur-updates in diesen programmen und schaue nach ob diese 2 EXE entfernt werden samt registry-einträge.

 

@ Nevok

Siehe mein erstes Posting

 

Systemwiederherstellung deaktivieren kann nach dem löschen Wunder helfen.

 

Ich danke dir.

Hab' alles entfernt, alle temporären Verzeichnisse entleernt - hat leider nichts gebracht, wie schon bei zig anderen Löschversuchen.

Nach kurzer Zeit sieht's dann wieder so aus:


Logfile of HijackThis v1.97.7
Scan saved at 18:16:36, on 26.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\DitExp.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nei.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nei.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nei.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nei.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nei.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nei.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {B0065C12-D81D-448D-B06E-3CB03CB29756} - C:\WINDOWS\System32\nei.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\MSDXM.OCX
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BACDE1B5-E80E-4E90-8010-1158F7A127F6}: NameServer = 195.93.68.134

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\fpc.dll/sp.html (obfuscated)

In diesem Pfad nach diesen Dateien fahnden und sie löschen...

O2 - BHO: (no name) - {15593D38-0FF1-413C-9915-46A3D9277AA4} - C:\WINDOWS\System32\fpc.dll

Weg damit.


O2 - BHO: (no name) - {FF531B48-DE2E-466D-BA25-3DA6F4A215DB} - C:\WINDOWS\System32\doegkgb.dll (file missing)

Weg damit.
Leeren von Java-Cache, Browsercache des IE (Temporary Internet Files) sowie allen übrigen temporären Ordnern (z.B. C:\Temp, C:\Tmp, C:\Windows\Temp) könnte auch nicht schaden.

 

@bond: ebenfalls "lass es".

Der Link führt - wie du richtig sagst - auf eine dialer-download-Seite. Und wie steppl richtig gesagt hat, schaut nicht jeder in die Statuszeile vor dem Klicken. Leider.
Aus diesem Grund hab ich den Link editiert.

Gruß, Michael

 

http://hjt.klaffke.de/

 

Ich finde deine HP sehr informativ.

 

Vermutlich hat sich irgendetwas in die Registry eingenistet und wird so bei jedem Systemstart mitgeladen. Durchsuche mal die Schlüssel Run und Run Once nach dir unbekannten Einträgen.

Gruß
Nevok

 

@ poro

Laß mal folgenden Einträge fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dkkaf.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dkkaf.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dkkaf.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dkkaf.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dkkaf.dll/sp.html (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dkkaf.dll/sp.html (obfuscated)

O2 - BHO: (no name) - {A7F67CA1-EF7B-4C25-A04E-332E8F4C924D} - C:\WINDOWS\System32\dkkaf.dll

Gruß
Nevok

 

Wenn du alles entfernt hast, was machen dann die meisten von Steele zum Entfernen aufgelisteten Einträge wieder in der Log-Datei?

Folgende Einträge von HiJackThis fixen lassen (Haken bei den Einträgen setzen und Fix checked anklicken)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nei.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nei.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nei.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nei.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nei.dll/sp.html (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nei.dll/sp.html (obfuscated)

O2 - BHO: (no name) - {B0065C12-D81D-448D-B06E-3CB03CB29756} - C:\WINDOWS\System32\nei.dll

Dann würde ich dir einen anderen Browser emfpehlen (z. B. Opera oder Mozilla), die sind weniger anfällig für Browser-Hijacker.

Wenn du das nicht möchtest, dann deaktiviere unter den Internetoptionen in der Sicherheitszone "Internet" ActiveX und Javascript.

Gruß
Nevok

 

@ Xen-Arien


Hab' deinen Post vom 16ten zu spät gelesen, hatte das Zeugs aber schon runtergeladen und noch nicht genutzt.
Mit SpyBot 1.3 das ändern der Startseite geblockt (nicht anklickbar), und siehe da, es funktioniert. Die .dll kommt nicht mehr, nur noch die 92281c34.tmp im Temp-Ordner. Auswirkung beseitigt, Ursache noch nicht. Werde das Tool mal laufen lassen.

SpyBot 1.3 RC4 hat bei mir manchmal 99% Cpu-Auslastung verursacht. Ich weiß nicht ob der soviel zu tun hatte.

 

Was mit Mozilla richtig funzt läuft auch im IE bzw Opera .
Grund : Mozilla arbeitet nach W3C-Standards die ein Browser darstellen können muß .
Und bei Mozilla ist auch ein Entwicklertool dabei das für Amateur-Websites/Layouts reichen sollte

Frontpage ist nicht wirklich gut und was dabei rauskommt noch weniger

 

Bei mir hat's auch nicht funktioniert.
Bin 4 Tage mit Mozilla rumgesurft. Es kam zwar keine neue Startseite, aber die .dll war immer wieder mal da (Ich weiß ja garnicht was ich da so einstellen muß). Werde also um die verschobene Neuinstallation nicht herumkommen.
Ein zwei Wochen mache ich noch, um die Ursache aufzuspüren, dann gibt's ein neues Mainboard, und da wird sowieso alles plattgemacht (jedenfalls C).

 

Ich bin leider nicht so gut im Selbstschreiben und deswegen auf Hilfsprogramme angewiesen :-)

@SvenA:

Danke für den die Anleitung, hat nur leider ÜBERHAUPT nicht geklappt. Ich lasse alle Tools drüber laufen, dann ist das System scheinbar für ein paar Minuten clean, aber beim nächsten Check findet sich direkt wieder ein ominöser Registry-Eintrag, den auch der Spybot-Teatimer nicht verhindern kann.

Da ist irgendne ne Anwendung, wahrscheinlich unter svchost oder so, die nichts besseres zu tun hat als ewig wieder diesen Mist auszugraben

Außerdem kann ich mir immer noch nicht erklären, warum plötzlich meine Aulagerungsdatei ewig auf gewaltige 700MB anwächst (früher vielleicht waren's mal 200 beim surfen, mal 400 wenn ich mit nem 3D-Editor gearbeitet hab...) Desweiteren lässt sich Laufwerk C auch nicht mehr defragmentieren. Ob und wie das zusammenhängen könnte, ist mir allerdings schleierhaft...

 

ie für webseiten bauen ist ein argument...

allerdings schreibe ich meine webseiten offline und schaue sie mir auch offline an.

auf ie leg ich nicht mehr viel wert, da ie nicht immer nach w3c arbeitet. mozilla und firebird/fox hingegen schon.

 

Na dann bastele mal ordentlich.
Wie kommst du darauf, dass die Webseiten mit dem IE richtig dargestellt werden müssen?
Ich habe keinen IE mehr!
Gib mal einen Link.

Sag' blos.

 

Wie gesagt, wenn ihn nicht ALLE benutzen würden, bräuchte ich ihn nicht! Da ich aber (Amateur-)Websites und eBay-Layouts bastele, kann ich dann meinem lieben Chef nicht sagen, "So, die HP funktioniert bei euch und bei 75% alle Internet-User LEIDER nicht richtig weil ihr Doofnasen alle den IE nutzt..."
Also stelle ich mich äußerst klug an und rufe bei mir vorher ca. 100 Mal pro Page den IE auf um zu checken obbet denn auch dort alles geht. Und wenn ich da in BlankPage-Frames und auch sonst andauernd von diesem Hijacker-Mist erschlagen werde NERVT das einfach...


So, jetzt probier ich mal den neuen Lösungsvorschlag aus...

 

So Leute !


schaut hier http://forum.pcwelt.de/showthread.php?s=&threadid=125064
und vergesst diesen Thread !!



@Mods bitte den neuen Thread nicht killen, sonst wird?s sehr unübersichtlich