Computer Hardware Forum - TweakPC - Extrem hartnäckiger Hijacker

Computer Hardware Forum - TweakPC (https://www.tweakpc.de/forum/)

- Security & SPAM (https://www.tweakpc.de/forum/security-and-spam/)

- - Extrem hartnäckiger Hijacker (https://www.tweakpc.de/forum/security-and-spam/17419-extrem-hartnaeckiger-hijacker.html)

Extrem hartnäckiger Hijacker

Hi,

habe mir ein browser-hijacker eingefangen.

[b]Problem:[/b]
Die Startseite meines Internet Explorers (Version 6.0, Betriebssystem Win XP) lässt sich nicht mehr ändern. Es hat sich
folgende Seite fest eingetragen:
res://gfwax.dll/index.html#37794

Ich habe schon mit folgenden Programmen versucht das Problem zu lösen:
Ad-Aware 6.0 (mit neuestem update)
SpyBot 3.0 (mit neuestem update)
McAfee (mit neuestem update)

Das Programm Ad-Aware erkennt auch den Übeltäter in der Registry und enfternt diesen.
Leider wird die o.g Seite beim nächsten Start des IE wieder angezeigt.

Die beiden anderen Programme erkennen ihn erst gar nicht.

Ich habe bereits manuell die Einträge in der Registry, in der die o.g Adresse steht, auf [url]www.google.de[/url] geändert.
Habe dabei folgende Einträge geändert:
HKEY Current User => Software => Microsoft => Internet Explorer => Main => [b]StartPage[/b]
HKEY Local Machine => Software => Microsoft => Internet Explorer => Main => [b]Default_Page_URL[/b] und [b]Start Page[/b]

Leider auch ohne Erfolg. :cry:

D.h. irgendwo muss wohl noch eine Datei oder so sein, die die Registry einträge wieder ändert, aber wo....?!

Kann mir da jemand weiterhelfen, denn mit meinem Wissen wars dass dann auch.

Im voraus vielen Dank!

[url]http://www.hijackthis.de.vu/[/url]

mach mal nen log...

Logfile of HijackThis v1.97.7
Scan saved at 20:07:48, on 04.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\WINDOWS\system32\srvany.exe
C:\Programme\McAfee\McAfee VirusScan\VsStat.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\resetservice.exe
C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\addkv32.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\d3ci32.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
C:\Dokumente und Einstellungen\Gerd\Eigene Dateien\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gfwax.dll/sp.html#37794
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://gfwax.dll/index.html#37794
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://gfwax.dll/index.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gfwax.dll/sp.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://gfwax.dll/index.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gfwax.dll/sp.html#37794
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {89F014C0-EC39-66DE-2373-1D4CCF27E2C8} - C:\WINDOWS\iphc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [*******ElbyCDFL] "C:\Programme\Elaborate Bytes\*******\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [UIUCU] C:\DOKUME~1\Gerd\LOKALE~1\Temp\UIUCU.EXE -CLEAN_UP -S
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Alogserv] C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [d3ci32.exe] C:\WINDOWS\system32\d3ci32.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /startmonitor
O4 - HKLM\..\RunOnce: [addkv32.exe] C:\WINDOWS\system32\addkv32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NewShortcut4.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: Fortune Bingo by pogo - [url]http://game.pogo.com/applet-5.8.1.28/superbingo/superbingo-ob-assets.cab[/url]
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - [url]http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB[/url]
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - [url]http://aolcc.aol.de/computercheckup/qdiagcc.cab[/url]
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - [url]http://software-dl.real.com/29e0e4abe3441cca5319/netzip/RdxIE601_de.cab[/url]
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -

Ich würde mal diese Datei "gfwax.dll" umbenennen und dann die Regestry keys nochmal löschen nd dann gucken was apssiert.
Wenn dein Rechner gut läuft kill die Datei einfach.

nicht gut sind aufjedenfall

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gfwax.dl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://gfwax.dll/index.html#37794

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://gfwax.dll/index.html#37794

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gfwax.dl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://gfwax.dll/index.html#37

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\g

einfach mal fixen, wenn hijackthis in einem eigenen ordner ist, wird automatisch ein backup erstellt

desweiteren guck dir nochmal dein log mit der automatischen auswertung an: [url]http://www.hijackthis.de/index.php[/url]

Leider kann ich die Datei nicht finden.
Sie ist weder im Pfad C:\Windows\system32 noch kann ich sie über die Suchfunktion finden (versteckte ordner habe ich natürlich auch durchsucht).

na wenn du sie gefixt hast, sollte sie weg sein... starte mal neu und scan nochmal ob sie noch da sind

Sorry, hab nicht dich sondern Pirke mit meinem letzten Beitrag gemeint.

Habe aber eben versucht mit HiJackThis das Problem zu lösen.
Habe die entsprechenden Einträge aslo gefixt.
War zwar beim ersten Starten des IE auch in Ordnung, danach wurde die Startseite und die Registry Einträge wieder geändert. :(

siehst du auch versteckte datein? wenn nicht, mach die mal bei ordneroptionen sichtbar...

mehr fällt mir dazu jetzt auch nicht ein :?

ich würde es nich mit Hijackthis versuchen, sondern mit [url=http://www.soft32.com/download_19014.html]CW Schredder[/url] .

Bei mir hat hijackthis am Anfang auch nichts gebracht, aber mit CW Schredder gings super.

ohhh man..
jetzt dacht ich schon ich hätts.
Die Datei gfwax.dll ist als versteckte Systemdatei eingetragen. Habe sie gleich gelöscht, HiJackThis drüber laufen lassen, Einträge gefixt....und alles war in Ordnung.
Konnte mehrmals IE schliessen, aufmachen, etc. :P

Habe dann einen Neustart gemacht und..... die Datei gfwax.dll war wieder an Ihrem ursprünglichen Platz 8O :cry:

soll ich die Datei mit nem spezial Proggi oder sowas löschen??

Dann schau mal mit "msconfig" nach, was du im Autostart hast, dann wird die Datei sicher bei jedem Systemstart wieder irgendwo rein kopiert.
Mach mal: Start -> Ausführen -> "msconfig"
Da dann auf Systemstart, dort stehen dann alle programme, die beim Systemstart geladen werden. Liste die mal hier auf, dann können wir evtl rausfinden, welche da nicht rein gehören.

atiptaxx
point32
nerocheck
elbycheck
uiucu
qttask
jusched
alogserv
realsched
d3ci32
rulaunch
microsoft office

Gleich nach dem Neustart war die Datei nicht da, erst nachdem ich den IE wieder gestartet habe stand sie wieder drin.[/img]

zur Ino:

hat wohl nichts mit dem rebooten vom rechner zu tun.
auch wenn ich alles genauso mache wie oben beschrieben, trägt sich diese verdammte gfwax.dll datei nach ein paar neustarts des IE wieder neu ein.

uiucu --> kann ich nichts zu finden, was steht rechts daneben?
alogserv --> spyware [url]http://www.2-spyware.com/file-alogserv-exe.html[/url]
d3ci32 --> kann ich nichts zu finden, was steht denn rechts daneben?

alle anderen sind ok!

neben [b]uiucu [/b]steht folgendes:
Befehl: C:\Dokume~1\Gerd\Lokale~1\Temp\UIUCU.EXE-CLEAN_UP -S
Pfad: HKLM\software\microsoft\currentversion\run

neben [b]d3ci32 [/b]steht:
Befehl: c:\windwos\system32\d3ci32.exe
Pfad: HKLM\software\microsoft\currentversion\run

willst Du auch noch wissen was neben alogserv steht?

Hi, Gemeinde

was haltet Ihr vom Programm <REGCLEANER> für dieses Mistding?

MfG
Kalle

[quote=Kalle-01]Hi, Gemeinde

was haltet Ihr vom Programm <[b]REGCLEANER[/b]> für dieses Mistding?

MfG
Kalle[/quote]
Bringt denke ich nicht all zu viel...

Schmeiß diese drei ominösen Programme mal aus dem Autostart heraus und reboote dann, wenn dann einige programme nicht laden, weist du, was es war, evtl ist dein problem dann ja auch behoben.
ABer wenn das, wie du sagst, mit dem starten des IE zusammen hängt, wurde denke ich mal die Startdatei davon irgendwie modifiziert...

Hast du dir mal bei windowsupdate die sicherheitsupdates geholt?

regcleaner bringt da nichts, hab vor 4 tagen hier nen pc gesäubert! regcleaner hat nicht geholfen!

ok, das Problem hat sich irgendwie verschlimmert.

[b]Bevor [/b]ich die beiden Einträge aus dem Systemstart genommen habe, habe ich nochmals versucht die Datei gfwax.dll zu entfernen.
Diesmal ist sie auch draußengeblieben, aber seit dem werden ständig neue dlls, jeweils mit einem anderen Namen erstellt.
D.h. also ich lösche eine raus und beim nächsten Start des IE steht wieder ne neue entweder unter c:\windows oder c:\windows\system32 drin. :x

Ich erkenne die dll deshalb, weil die neue Startseite dann immer res://<enstprechende dll>/index.html#37794 heisst.

Da muss also noch irgendwo n programm oder so sein was eine neue dll erstellt.

Die beiden "komischen" Einträge habe ich übrigens auch aus dem Systemstart genommen. Jedoch hat sich nichts geändert.

Hat noch jemand eine Idee?