Extrem hartnäckiger Hijacker Hi, habe mir ein browser-hijacker eingefangen. [b]Problem:[/b] Die Startseite meines Internet Explorers (Version 6.0, Betriebssystem Win XP) lässt sich nicht mehr ändern. Es hat sich folgende Seite fest eingetragen: res://gfwax.dll/index.html#37794 Ich habe schon mit folgenden Programmen versucht das Problem zu lösen: Ad-Aware 6.0 (mit neuestem update) SpyBot 3.0 (mit neuestem update) McAfee (mit neuestem update) Das Programm Ad-Aware erkennt auch den Übeltäter in der Registry und enfternt diesen. Leider wird die o.g Seite beim nächsten Start des IE wieder angezeigt. Die beiden anderen Programme erkennen ihn erst gar nicht. Ich habe bereits manuell die Einträge in der Registry, in der die o.g Adresse steht, auf [url]www.google.de[/url] geändert. Habe dabei folgende Einträge geändert: HKEY Current User => Software => Microsoft => Internet Explorer => Main => [b]StartPage[/b] HKEY Local Machine => Software => Microsoft => Internet Explorer => Main => [b]Default_Page_URL[/b] und [b]Start Page[/b] Leider auch ohne Erfolg. :cry: D.h. irgendwo muss wohl noch eine Datei oder so sein, die die Registry einträge wieder ändert, aber wo....?! Kann mir da jemand weiterhelfen, denn mit meinem Wissen wars dass dann auch. Im voraus vielen Dank! |
[url]http://www.hijackthis.de.vu/[/url] mach mal nen log... |
Logfile of HijackThis v1.97.7 Scan saved at 20:07:48, on 04.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe C:\WINDOWS\system32\srvany.exe C:\Programme\McAfee\McAfee VirusScan\VsStat.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\resetservice.exe C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\system32\addkv32.exe C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\McAfee\McAfee VirusScan\alogserv.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\d3ci32.exe C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe C:\Dokumente und Einstellungen\Gerd\Eigene Dateien\Programme\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gfwax.dll/sp.html#37794 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://gfwax.dll/index.html#37794 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://gfwax.dll/index.html#37794 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gfwax.dll/sp.html#37794 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://gfwax.dll/index.html#37794 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gfwax.dll/sp.html#37794 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {89F014C0-EC39-66DE-2373-1D4CCF27E2C8} - C:\WINDOWS\iphc.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [*******ElbyCDFL] "C:\Programme\Elaborate Bytes\*******\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [UIUCU] C:\DOKUME~1\Gerd\LOKALE~1\Temp\UIUCU.EXE -CLEAN_UP -S O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [Alogserv] C:\Programme\McAfee\McAfee VirusScan\alogserv.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [d3ci32.exe] C:\WINDOWS\system32\d3ci32.exe O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /startmonitor O4 - HKLM\..\RunOnce: [addkv32.exe] C:\WINDOWS\system32\addkv32.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: NewShortcut4.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O16 - DPF: Fortune Bingo by pogo - [url]http://game.pogo.com/applet-5.8.1.28/superbingo/superbingo-ob-assets.cab[/url] O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - [url]http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB[/url] O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - [url]http://aolcc.aol.de/computercheckup/qdiagcc.cab[/url] O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - [url]http://software-dl.real.com/29e0e4abe3441cca5319/netzip/RdxIE601_de.cab[/url] O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) - O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) - |
Ich würde mal diese Datei "gfwax.dll" umbenennen und dann die Regestry keys nochmal löschen nd dann gucken was apssiert. Wenn dein Rechner gut läuft kill die Datei einfach. |
nicht gut sind aufjedenfall R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gfwax.dl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://gfwax.dll/index.html#37794 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://gfwax.dll/index.html#37794 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gfwax.dl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://gfwax.dll/index.html#37 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\g einfach mal fixen, wenn hijackthis in einem eigenen ordner ist, wird automatisch ein backup erstellt desweiteren guck dir nochmal dein log mit der automatischen auswertung an: [url]http://www.hijackthis.de/index.php[/url] |
Leider kann ich die Datei nicht finden. Sie ist weder im Pfad C:\Windows\system32 noch kann ich sie über die Suchfunktion finden (versteckte ordner habe ich natürlich auch durchsucht). |
na wenn du sie gefixt hast, sollte sie weg sein... starte mal neu und scan nochmal ob sie noch da sind |
Sorry, hab nicht dich sondern Pirke mit meinem letzten Beitrag gemeint. Habe aber eben versucht mit HiJackThis das Problem zu lösen. Habe die entsprechenden Einträge aslo gefixt. War zwar beim ersten Starten des IE auch in Ordnung, danach wurde die Startseite und die Registry Einträge wieder geändert. :( |
siehst du auch versteckte datein? wenn nicht, mach die mal bei ordneroptionen sichtbar... mehr fällt mir dazu jetzt auch nicht ein :? |
ich würde es nich mit Hijackthis versuchen, sondern mit [url=http://www.soft32.com/download_19014.html]CW Schredder[/url] . Bei mir hat hijackthis am Anfang auch nichts gebracht, aber mit CW Schredder gings super. |
ohhh man.. jetzt dacht ich schon ich hätts. Die Datei gfwax.dll ist als versteckte Systemdatei eingetragen. Habe sie gleich gelöscht, HiJackThis drüber laufen lassen, Einträge gefixt....und alles war in Ordnung. Konnte mehrmals IE schliessen, aufmachen, etc. :P Habe dann einen Neustart gemacht und..... die Datei gfwax.dll war wieder an Ihrem ursprünglichen Platz 8O :cry: soll ich die Datei mit nem spezial Proggi oder sowas löschen?? |
Dann schau mal mit "msconfig" nach, was du im Autostart hast, dann wird die Datei sicher bei jedem Systemstart wieder irgendwo rein kopiert. Mach mal: Start -> Ausführen -> "msconfig" Da dann auf Systemstart, dort stehen dann alle programme, die beim Systemstart geladen werden. Liste die mal hier auf, dann können wir evtl rausfinden, welche da nicht rein gehören. |
atiptaxx point32 nerocheck elbycheck uiucu qttask jusched alogserv realsched d3ci32 rulaunch microsoft office Gleich nach dem Neustart war die Datei nicht da, erst nachdem ich den IE wieder gestartet habe stand sie wieder drin.[/img] |
zur Ino: hat wohl nichts mit dem rebooten vom rechner zu tun. auch wenn ich alles genauso mache wie oben beschrieben, trägt sich diese verdammte gfwax.dll datei nach ein paar neustarts des IE wieder neu ein. |
uiucu --> kann ich nichts zu finden, was steht rechts daneben? alogserv --> spyware [url]http://www.2-spyware.com/file-alogserv-exe.html[/url] d3ci32 --> kann ich nichts zu finden, was steht denn rechts daneben? alle anderen sind ok! |
neben [b]uiucu [/b]steht folgendes: Befehl: C:\Dokume~1\Gerd\Lokale~1\Temp\UIUCU.EXE-CLEAN_UP -S Pfad: HKLM\software\microsoft\currentversion\run neben [b]d3ci32 [/b]steht: Befehl: c:\windwos\system32\d3ci32.exe Pfad: HKLM\software\microsoft\currentversion\run willst Du auch noch wissen was neben alogserv steht? |
Hi, Gemeinde was haltet Ihr vom Programm <REGCLEANER> für dieses Mistding? MfG Kalle |
[quote=Kalle-01]Hi, Gemeinde was haltet Ihr vom Programm <[b]REGCLEANER[/b]> für dieses Mistding? MfG Kalle[/quote] Bringt denke ich nicht all zu viel... Schmeiß diese drei ominösen Programme mal aus dem Autostart heraus und reboote dann, wenn dann einige programme nicht laden, weist du, was es war, evtl ist dein problem dann ja auch behoben. ABer wenn das, wie du sagst, mit dem starten des IE zusammen hängt, wurde denke ich mal die Startdatei davon irgendwie modifiziert... Hast du dir mal bei windowsupdate die sicherheitsupdates geholt? |
regcleaner bringt da nichts, hab vor 4 tagen hier nen pc gesäubert! regcleaner hat nicht geholfen! |
ok, das Problem hat sich irgendwie verschlimmert. [b]Bevor [/b]ich die beiden Einträge aus dem Systemstart genommen habe, habe ich nochmals versucht die Datei gfwax.dll zu entfernen. Diesmal ist sie auch draußengeblieben, aber seit dem werden ständig neue dlls, jeweils mit einem anderen Namen erstellt. D.h. also ich lösche eine raus und beim nächsten Start des IE steht wieder ne neue entweder unter c:\windows oder c:\windows\system32 drin. :x Ich erkenne die dll deshalb, weil die neue Startseite dann immer res://<enstprechende dll>/index.html#37794 heisst. Da muss also noch irgendwo n programm oder so sein was eine neue dll erstellt. Die beiden "komischen" Einträge habe ich übrigens auch aus dem Systemstart genommen. Jedoch hat sich nichts geändert. Hat noch jemand eine Idee? |
Alle Zeitangaben in WEZ +1. Es ist jetzt 13:48 Uhr. |
Powered by vBulletin® Version 3.8.10 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
SEO by vBSEO 3.5.2 ©2010, Crawlability, Inc.