Wer kann helfen ? www.myexexex.com als Startseite

Hallo,

wer kann helfen ? Bei mir hat sich myexexex.com[/url] als Startseite eingenistet und läßt keine andere Eingabe einer Startseite bzw. webadresse in den browser mehr zu. Alle versuche es mit Ad-aware, Spybot etc. zu entfernen sind fehlgeschlagen. Habe nachfolgend mal das logfile von HijackThis beigefügt:

Logfile of HijackThis v1.97.7
Scan saved at 18:51:00, on 31.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINNT\System32\smss.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\services.exe
E:\WINNT\system32\lsass.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\system32\LEXBCES.EXE
E:\WINNT\system32\spoolsv.exe
E:\WINNT\system32\LEXPPS.EXE
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\WINNT\system32\svchost.exe
E:\WINNT\system32\regsvc.exe
E:\WINNT\system32\MSTask.exe
E:\WINNT\System32\WBEM\WinMgmt.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\Explorer.EXE
E:\Programme\T-DSL SpeedManager\SpeedMgr.exe
E:\Programme\AVPersonal\AVGNT.EXE
E:\WINNT\system32\LXSUPMON.EXE
E:\WINNT\system32\internat.exe
E:\Programme\WinZip\WZQKPICK.EXE
E:\Programme\Microsoft Office\Office\OSA.EXE
E:\Programme\Microsoft Office\Office\FINDFAST.EXE
E:\Programme\T-DSL SpeedManager\tsmsvc.exe
E:\PROGRA~1\YAHOO!\MESSEN~1\ymsgr_tray.exe
E:\WINNT\system32\wuauclt.exe
E:\WINNT\system32\ntvdm.exe
E:\T-ONLINE\BSW4\ToDuCAlC.EXE
E:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = myexexex.com/searchbar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = myexexex.com/search.php?said=spage&qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = myexexex.com/search.php?said=pfxp&qq=www.yahoo.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = myexexex.com/searchbar.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = myexexex.com/search.php?said=spage&qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = myexexex.com/search.php?said=spage&qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = .myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = .myexexex.com/search.php?said=spage
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - E:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "E:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Microsoft Netview] gesfm32.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [PrinTray] E:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [LXSUPMON] E:\WINNT\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [stcinstaller] c:\installer\id53.exe
O4 - HKLM\..\RunServices: [Microsoft Netview] gesfm32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] E:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe -quiet
O4 - Startup: Office-Start.lnk = E:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = E:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O13 - DefaultPrefix: myexexex.com/search.php?id=pfxp&qq=
O13 - WWW Prefix: myexexex.com/search.php?said=pfxp&qq=
O13 - Home Prefix: myexexex.com/search.php?said=pfxp&qq=
O13 - Mosaic Prefix: myexexex.com/search.php?said=pfxp&qq=
O13 - FTP Prefix: myexexex.com/search.php?said=pfxp&qq=
O13 - Gopher Prefix: myexexex.com/search.php?said=pfxp&qq=
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...pple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DDE5A55-B722-476A-AB79-D8C99256F0F8}: NameServer = 217.237.150.141 194.25.2.129


Was muß ich löschen bzw. was muß ich machen um den Müll wieder loszuwerden ? Bin kein PC-Profi, wäre daher nett wenn ihr es mir für einen Laien verständlich erklären könntet. Schonmal besten Dank an alle.

 

Jaja, das hektische googlen...

Also, ähm, ich auch! Öfter mal.

Dieses Ding hab' ich mit viel Mühe wieder runtergekriegt, aber hier ist der nächste (oder gibt's dazu wieder einen Thread, den ich übersehen hab'? Ich les' doch schon so viel, entschuldige mich aber trotzdem schon mal vorsorglich.): eine Datei legt ein Verzeichnis c:\spad an. Hab' sogar ein Installationsprotokoll (s.u.)gefunden, mit dem ich aber nicht viel anfangen kann. Mir war vorher aufgefallen, dass sich plötzlich eine .dat-Datei in meinem Temp-Verzeichnis befand. Diese Datei tauchte dann unter verschiedenen 4stelligen Namen immer mal wieder auf. Wer eine davon zu Analysezwecken haben möchte, bitte pn an mich.

Hier sind die Auszüge aus dem Protokoll, die Dateinamen enthalten:

{
o c9d7b950 5400 "C:\SPAD\INST.EXE"
...
o c81d12b0 156f10 "C:\WINDOWS\SYSTEM\SHELL32.DLL"
R c81d12b0 82600 1000
o c81d1a70 60a00 "C:\WINDOWS\SYSTEM\SHLWAPI.DLL"
R c81d1a70 53400 1000
R c81d1a70 54400 1000
o c81d22b0 44035 "C:\WINDOWS\SYSTEM\MSVCRT.DLL"
...
o c9d7bbd0 4200 "C:\WINDOWS\HPCMDTY.DLL"
...
o c8195340 1d7400 "C:\WINDOWS\SYSTEM\MSI.DLL"
...
o c14dafe0 4f000 "C:\WINDOWS\SYSTEM\RPCRT4.DLL"
R c14dafe0 49000 800
R c8195340 126400 1000
...
o c9d7b5e0 17868 "C:\WINDOWS\COMMAND.COM"
R c9d7b5e0 0 40
C c9d7b5e0
o c9d7b5e0 3920 "C:\WINDOWS\SYSTEM\VGAFULL.3GR"
...
o c9d72840 f8db "C:\WINDOWS\SYSTEM\WINOA386.MOD"
...
R c81d1a70 21400 1000
}

Ausserdem taucht immer eine neue command.pif im Windows-Verzeichnis auf, die ich immer von Hand lösche, was aber tierisch auf den Sack geht.

Also grosse Frage: die shell32 sollte ich vielleicht nicht gerade löschen, aber welche Dateien werden von dem Scheiss-Ding nur benutzt und welche können gefahrlos runter?

Bevor jetzt wieder IE oder doch nicht los geht: ja, benutze IE mit komplett deaktiviertem ActiveX (auch im Netzwerk!), Sygate Firewall und immer noch Win98 (wer hier meckert, kann mir ja was anderes kaufen!)

 

Hä?

 

Also ich nehme seit eh und je den IE als Browser schon aus Gewohnheit, weil er erstens meine Sprache spricht und zweitens alle bisherigen Versuche, mich anstecken zu lassen vom Browserwechsel aus den verschiedensten Gründen gescheitert sind.
Das mag auch daran liegen, dass ich Outlook wegen schlechter, nötigender Erfahrung meide und mit OE und dem OE-Sicherungsprogramm sehr gut fahre.
Das Einstellen kann man lernen und ausprobieren.
_________________________________
>>>Bitte verschieben zu Browserforum!!!

 

Klasse Logik!

Somit wird wenigstens die Zeit und der Datenbankplatz für das Geflame eingespart. ;-)

Hoffentlich...

 

Sorry, aber das ist etwas kurzsichtig. Diesen Hijacker war der TO los - und dann?

@ rudiralo
Es wäre schon viel gewonnen, wenn hier auf die Argumente anderer eingegangen würde. Es geht (oder ging?) um Hijacker. Meine Frage, welcher Hijacker Mozilla & Co. befällt, blieb unbeantwortet (mal abgesehen von der XPI-Kamelle). Stattdessen wirst du persönlich. Und wenn du dann meinst, das wäre hier ein Kindergarten, dann erinnert das doch stark an den Dieb, der "haltet den Dieb" schreit...

 

Nein,
das mit dem "fetzen" war doch nur Spass/Ironie wegen dem Einspruch unseres Mod (goemichel)

und in dem anderen Thread geht es doch um das gleiche/ähnliche Thema. Damit entfällt zumindest die Auseinandersetzung wegen OT.

 

Meinst Du echt, daß es Sinn macht, einen Thread zu besuchen, nur, um sich zu fetzen?

Warum können eigentlich, selbst bei solch kontroversen Meinungen, keine konstruktiven Gespräche zustande kommen?

Manchmal glaube ich echt an die Sache mit dem Kindergarten...

 

@ mschuetzda

auweia, jetzt werde ich auch erwischt, petz doch nich

 

Sorry, aber ich vertrete meine Meinung.
Was ich für sinnlos halte, entscheide ich selbst.

Und ohne Dir zu nahe treten zu wollen:
So einige Deiner Beiträge in den Foren dieser Seite haben mich fast dazu verleitet, richtig UNSACHLICH zu werden, denn manchmal gibst Du Kommentare von Dir... mannometer...
- völlig OT
- unsachlich noch dazu
- und ganz übel ist es, wenn andere User persönlich angegriffen und womöglich noch beleidigt werden. --> NETIQUETTE!

DAS ist, IMHO, RICHTIG sinnlos!

 

Wie sagte meine Oma immer, wenn es bei uns heiß her ging ?
Kinder geht nach draußen, spielen!

Hier geht der Streit IE, Mozilla u.a. gerade erst los:
wieviel weniger Probleme ohne IE6

also eine gute Gelegenheit Euch dort weiter zu fetzen, ohne dass ein Mod OT rufen könnte.

 

...eben...

 

Aber nur durch einen solchen Erfahrungsaustausch kommt man doch weiter!

Ein anderes Thema wäre es, wenn bei einer solchen Diskussion ein starker Einschlag von UNSACHLICHKEIT zu vermerken ist!

Just my 2 Cent

 

@ Antidepressiva

Ist eh sinnlos. Also was soll's. Wir sind hier ja im Kindergarten.
Für mich EOT

 

@ AntiDepressiva

Da stimme ich dir zu

 

An welcher Stelle der NUB ist denn eigentlich festgelegt, was ON und was OFF ist?

Oder kann das ein "Mod" hier willkürlich festlegen?
Ganz nach Lust und Laune?

Ist ja fast schon diktatorisch, aber da das in meinen AUgen jetzt wirklich OT ist, lasse ich das mal lieber, denn das hat nicht mit Viren oder anderem Ungeziefer zu tun.

Oder doch...

 

Hey, bleibt cool ...

Hinweise zum Schutz vor Hijackern sind dann nicht OT, wenn (auch) danach gefragt wird.

Aber dieser sch**** Kleinkrieg, nach dem Motto:
"...benutz doch einen anderen Browser",
"... der ist doch auch nicht sicher...", etc. undsoweiterundsofort..

das ist OT.
Gruß, Michael

 

Hallo?
DAS ist ON Topic und nichts Anderes!

Infektion eines Systems!
Thread eröffnet im Forum "Viren, Trojanische Pferde & Co."

Es hilft nunmal nicht weiter, immer nur Tipps zur Beseitigung solcher Infektionen zu geben.
Vielmehr ist es viel wichtiger, die Ursachen aufzudecken und zu zeigen, wie eine Infektion erst einmal verhindert werden kann und das geht nunmal nur durch eine Diskussion!

Das Abwägen von Für und Wider der verschiedenen Systeme gehört nunmal ZWINGEND dazu, sodaß sich selbst absolute Einsteiger (sofern sie ein wenig Hirn besitzen!) selbst einen Überblick verschaffen können!

Zum Charakter einer Diskussion ngehört nunmal auch, daß sie durch gewisse Dynamik gekennzeichnet ist!

Ein Mod der immer mit einer OT-Flagge wedelt, obwohl das daneben ist und dann vielleicht noch mit Sperrung droht, falls man diesen, teils diktatorischen, Anwandlungen nicht Folge leistet, ist da WENIG hilfreich (aktuell hier NICHT passiert, aber schon erlebt!).

 

Ach so, Hinweise, wie man sich vor dem Einfangen eines Hijackers schützen könnte, sind also OT?

Jetzt weiß ich auch, wozu Moderatoren hier im Forum gut sind: Sie verhindern, dass man denkt. Entschuldigung.

 

@rudiralo: kann ich dir wohl sagen.
Diese Diskussion, die sich hier nach dem ersten Beitrag von ukw entwickelt hat, hat nichts mehr mit dem hijacker und dessen Entfernung zu tun. Nachdem der TO den Rat von ukw befolgt hat, war das Thema eigentlich erledigt. Alle anderen Beiträge sind OT.

Gruß, Michael