TweakPC

Zurück   Computer Hardware Forum - TweakPC > Games und Software > Security & SPAM

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 04.08.2004, 19:17   #1 (permalink)
Overclocker
 

Registriert seit: 25.06.2003
Beiträge: 234

Stümper befindet sich auf einem aufstrebenden Ast

Standard Extrem hartnäckiger Hijacker

Hi,

habe mir ein browser-hijacker eingefangen.

Problem:
Die Startseite meines Internet Explorers (Version 6.0, Betriebssystem Win XP) lässt sich nicht mehr ändern. Es hat sich
folgende Seite fest eingetragen:
res://gfwax.dll/index.html#37794

Ich habe schon mit folgenden Programmen versucht das Problem zu lösen:
Ad-Aware 6.0 (mit neuestem update)
SpyBot 3.0 (mit neuestem update)
McAfee (mit neuestem update)

Das Programm Ad-Aware erkennt auch den Übeltäter in der Registry und enfternt diesen.
Leider wird die o.g Seite beim nächsten Start des IE wieder angezeigt.

Die beiden anderen Programme erkennen ihn erst gar nicht.

Ich habe bereits manuell die Einträge in der Registry, in der die o.g Adresse steht, auf www.google.de geändert.
Habe dabei folgende Einträge geändert:
HKEY Current User => Software => Microsoft => Internet Explorer => Main => StartPage
HKEY Local Machine => Software => Microsoft => Internet Explorer => Main => Default_Page_URL und Start Page

Leider auch ohne Erfolg.

D.h. irgendwo muss wohl noch eine Datei oder so sein, die die Registry einträge wieder ändert, aber wo....?!

Kann mir da jemand weiterhelfen, denn mit meinem Wissen wars dass dann auch.

Im voraus vielen Dank!
Stümper ist offline   Mit Zitat antworten
Alt 04.08.2004, 19:37   #2 (permalink)
Hardware Freak
 

Registriert seit: 23.04.2002
Beiträge: 12.111

taxi sorgt für eine eindrucksvolle Atmosphäretaxi sorgt für eine eindrucksvolle Atmosphäretaxi sorgt für eine eindrucksvolle Atmosphäre

Standard

http://www.hijackthis.de.vu/

mach mal nen log...
taxi ist offline   Mit Zitat antworten
Alt 04.08.2004, 20:11   #3 (permalink)
Overclocker
 

Registriert seit: 25.06.2003
Beiträge: 234

Stümper befindet sich auf einem aufstrebenden Ast

Standard

Logfile of HijackThis v1.97.7
Scan saved at 20:07:48, on 04.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\WINDOWS\system32\srvany.exe
C:\Programme\McAfee\McAfee VirusScan\VsStat.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\resetservice.exe
C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\addkv32.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\d3ci32.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
C:\Dokumente und Einstellungen\Gerd\Eigene Dateien\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gfwax.dll/sp.html#37794
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://gfwax.dll/index.html#37794
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://gfwax.dll/index.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gfwax.dll/sp.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://gfwax.dll/index.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gfwax.dll/sp.html#37794
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {89F014C0-EC39-66DE-2373-1D4CCF27E2C8} - C:\WINDOWS\iphc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [*******ElbyCDFL] "C:\Programme\Elaborate Bytes\*******\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [UIUCU] C:\DOKUME~1\Gerd\LOKALE~1\Temp\UIUCU.EXE -CLEAN_UP -S
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Alogserv] C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [d3ci32.exe] C:\WINDOWS\system32\d3ci32.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /startmonitor
O4 - HKLM\..\RunOnce: [addkv32.exe] C:\WINDOWS\system32\addkv32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NewShortcut4.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: Fortune Bingo by pogo - http://game.pogo.com/applet-5.8.1.28...-ob-assets.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29e0e4ab...dxIE601_de.cab
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
Stümper ist offline   Mit Zitat antworten
Alt 04.08.2004, 20:21   #4 (permalink)
Lecker Forenbrot
 
Benutzerbild von Pirke
 

Registriert seit: 10.04.2002
Beiträge: 14.992

Pirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz sein

Standard

Ich würde mal diese Datei "gfwax.dll" umbenennen und dann die Regestry keys nochmal löschen nd dann gucken was apssiert.
Wenn dein Rechner gut läuft kill die Datei einfach.
"Was meinen Sie, was hier los wäre, wenn mehr Menschen begreifen würden, was hier los ist?" (Volker Pispers)
Mein System@Nethands -- Alice Deluxe: Erfahrungsbericht
Pirke ist offline   Mit Zitat antworten
Alt 04.08.2004, 20:33   #5 (permalink)
Hardware Freak
 

Registriert seit: 23.04.2002
Beiträge: 12.111

taxi sorgt für eine eindrucksvolle Atmosphäretaxi sorgt für eine eindrucksvolle Atmosphäretaxi sorgt für eine eindrucksvolle Atmosphäre

Standard

nicht gut sind aufjedenfall

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gfwax.dl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://gfwax.dll/index.html#37794

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://gfwax.dll/index.html#37794

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gfwax.dl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://gfwax.dll/index.html#37

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\g

einfach mal fixen, wenn hijackthis in einem eigenen ordner ist, wird automatisch ein backup erstellt

desweiteren guck dir nochmal dein log mit der automatischen auswertung an: http://www.hijackthis.de/index.php
taxi ist offline   Mit Zitat antworten
Alt 04.08.2004, 20:35   #6 (permalink)
Overclocker
 

Registriert seit: 25.06.2003
Beiträge: 234

Stümper befindet sich auf einem aufstrebenden Ast

Standard

Leider kann ich die Datei nicht finden.
Sie ist weder im Pfad C:\Windows\system32 noch kann ich sie über die Suchfunktion finden (versteckte ordner habe ich natürlich auch durchsucht).
Stümper ist offline   Mit Zitat antworten
Alt 04.08.2004, 21:03   #7 (permalink)
Hardware Freak
 

Registriert seit: 23.04.2002
Beiträge: 12.111

taxi sorgt für eine eindrucksvolle Atmosphäretaxi sorgt für eine eindrucksvolle Atmosphäretaxi sorgt für eine eindrucksvolle Atmosphäre

Standard

na wenn du sie gefixt hast, sollte sie weg sein... starte mal neu und scan nochmal ob sie noch da sind
taxi ist offline   Mit Zitat antworten
Alt 04.08.2004, 21:21   #8 (permalink)
Overclocker
 

Registriert seit: 25.06.2003
Beiträge: 234

Stümper befindet sich auf einem aufstrebenden Ast

Standard

Sorry, hab nicht dich sondern Pirke mit meinem letzten Beitrag gemeint.

Habe aber eben versucht mit HiJackThis das Problem zu lösen.
Habe die entsprechenden Einträge aslo gefixt.
War zwar beim ersten Starten des IE auch in Ordnung, danach wurde die Startseite und die Registry Einträge wieder geändert.
Stümper ist offline   Mit Zitat antworten
Alt 04.08.2004, 21:53   #9 (permalink)
Hardware Freak
 

Registriert seit: 23.04.2002
Beiträge: 12.111

taxi sorgt für eine eindrucksvolle Atmosphäretaxi sorgt für eine eindrucksvolle Atmosphäretaxi sorgt für eine eindrucksvolle Atmosphäre

Standard

siehst du auch versteckte datein? wenn nicht, mach die mal bei ordneroptionen sichtbar...

mehr fällt mir dazu jetzt auch nicht ein
taxi ist offline   Mit Zitat antworten
Alt 04.08.2004, 22:09   #10 (permalink)
Extrem Performer
 
Benutzerbild von Andy0601
 

Registriert seit: 17.06.2004
Beiträge: 1.098

Andy0601 befindet sich auf einem aufstrebenden Ast

Standard

ich würde es nich mit Hijackthis versuchen, sondern mit CW Schredder .

Bei mir hat hijackthis am Anfang auch nichts gebracht, aber mit CW Schredder gings super.
Andy0601 ist offline   Mit Zitat antworten
Alt 04.08.2004, 22:13   #11 (permalink)
Overclocker
 

Registriert seit: 25.06.2003
Beiträge: 234

Stümper befindet sich auf einem aufstrebenden Ast

Standard

ohhh man..
jetzt dacht ich schon ich hätts.
Die Datei gfwax.dll ist als versteckte Systemdatei eingetragen. Habe sie gleich gelöscht, HiJackThis drüber laufen lassen, Einträge gefixt....und alles war in Ordnung.
Konnte mehrmals IE schliessen, aufmachen, etc. :P

Habe dann einen Neustart gemacht und..... die Datei gfwax.dll war wieder an Ihrem ursprünglichen Platz

soll ich die Datei mit nem spezial Proggi oder sowas löschen??
Stümper ist offline   Mit Zitat antworten
Alt 04.08.2004, 22:26   #12 (permalink)
Lecker Forenbrot
 
Benutzerbild von Pirke
 

Registriert seit: 10.04.2002
Beiträge: 14.992

Pirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz sein

Standard

Dann schau mal mit "msconfig" nach, was du im Autostart hast, dann wird die Datei sicher bei jedem Systemstart wieder irgendwo rein kopiert.
Mach mal: Start -> Ausführen -> "msconfig"
Da dann auf Systemstart, dort stehen dann alle programme, die beim Systemstart geladen werden. Liste die mal hier auf, dann können wir evtl rausfinden, welche da nicht rein gehören.
Pirke ist offline   Mit Zitat antworten
Alt 04.08.2004, 22:39   #13 (permalink)
Overclocker
 

Registriert seit: 25.06.2003
Beiträge: 234

Stümper befindet sich auf einem aufstrebenden Ast

Standard

atiptaxx
point32
nerocheck
elbycheck
uiucu
qttask
jusched
alogserv
realsched
d3ci32
rulaunch
microsoft office

Gleich nach dem Neustart war die Datei nicht da, erst nachdem ich den IE wieder gestartet habe stand sie wieder drin.[/img]
Stümper ist offline   Mit Zitat antworten
Alt 04.08.2004, 23:20   #14 (permalink)
Overclocker
 

Registriert seit: 25.06.2003
Beiträge: 234

Stümper befindet sich auf einem aufstrebenden Ast

Standard

zur Ino:

hat wohl nichts mit dem rebooten vom rechner zu tun.
auch wenn ich alles genauso mache wie oben beschrieben, trägt sich diese verdammte gfwax.dll datei nach ein paar neustarts des IE wieder neu ein.
Stümper ist offline   Mit Zitat antworten
Alt 04.08.2004, 23:29   #15 (permalink)
Hardware Freak
 

Registriert seit: 23.04.2002
Beiträge: 12.111

taxi sorgt für eine eindrucksvolle Atmosphäretaxi sorgt für eine eindrucksvolle Atmosphäretaxi sorgt für eine eindrucksvolle Atmosphäre

Standard

uiucu --> kann ich nichts zu finden, was steht rechts daneben?
alogserv --> spyware http://www.2-spyware.com/file-alogserv-exe.html
d3ci32 --> kann ich nichts zu finden, was steht denn rechts daneben?

alle anderen sind ok!
taxi ist offline   Mit Zitat antworten
Alt 04.08.2004, 23:48   #16 (permalink)
Overclocker
 

Registriert seit: 25.06.2003
Beiträge: 234

Stümper befindet sich auf einem aufstrebenden Ast

Standard

neben uiucu steht folgendes:
Befehl: C:\Dokume~1\Gerd\Lokale~1\Temp\UIUCU.EXE-CLEAN_UP -S
Pfad: HKLM\software\microsoft\currentversion\run

neben d3ci32 steht:
Befehl: c:\windwos\system32\d3ci32.exe
Pfad: HKLM\software\microsoft\currentversion\run


willst Du auch noch wissen was neben alogserv steht?
Stümper ist offline   Mit Zitat antworten
Alt 05.08.2004, 00:04   #17 (permalink)
Abakus
 
Benutzerbild von Kalle-01
 

Registriert seit: 30.09.2003
Beiträge: 42

Kalle-01 ist zur Zeit noch ein unbeschriebenes Blatt

Standard

Hi, Gemeinde

was haltet Ihr vom Programm <REGCLEANER> für dieses Mistding?

MfG
Kalle

Geändert von Kalle-01 (21.01.2005 um 17:16 Uhr)
Kalle-01 ist offline   Mit Zitat antworten
Alt 05.08.2004, 10:27   #18 (permalink)
Lecker Forenbrot
 
Benutzerbild von Pirke
 

Registriert seit: 10.04.2002
Beiträge: 14.992

Pirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz seinPirke kann auf vieles stolz sein

Standard

Zitat:
Zitat von Kalle-01
Hi, Gemeinde

was haltet Ihr vom Programm &lt;REGCLEANER> für dieses Mistding?

MfG
Kalle
Bringt denke ich nicht all zu viel...

Schmeiß diese drei ominösen Programme mal aus dem Autostart heraus und reboote dann, wenn dann einige programme nicht laden, weist du, was es war, evtl ist dein problem dann ja auch behoben.
ABer wenn das, wie du sagst, mit dem starten des IE zusammen hängt, wurde denke ich mal die Startdatei davon irgendwie modifiziert...

Hast du dir mal bei windowsupdate die sicherheitsupdates geholt?
Pirke ist offline   Mit Zitat antworten
Alt 05.08.2004, 11:23   #19 (permalink)
Hardware Freak
 

Registriert seit: 23.04.2002
Beiträge: 12.111

taxi sorgt für eine eindrucksvolle Atmosphäretaxi sorgt für eine eindrucksvolle Atmosphäretaxi sorgt für eine eindrucksvolle Atmosphäre

Standard

regcleaner bringt da nichts, hab vor 4 tagen hier nen pc gesäubert! regcleaner hat nicht geholfen!
taxi ist offline   Mit Zitat antworten
Alt 06.08.2004, 19:13   #20 (permalink)
Overclocker
 

Registriert seit: 25.06.2003
Beiträge: 234

Stümper befindet sich auf einem aufstrebenden Ast

Standard

ok, das Problem hat sich irgendwie verschlimmert.

Bevor ich die beiden Einträge aus dem Systemstart genommen habe, habe ich nochmals versucht die Datei gfwax.dll zu entfernen.
Diesmal ist sie auch draußengeblieben, aber seit dem werden ständig neue dlls, jeweils mit einem anderen Namen erstellt.
D.h. also ich lösche eine raus und beim nächsten Start des IE steht wieder ne neue entweder unter c:\windows oder c:\windows\system32 drin.

Ich erkenne die dll deshalb, weil die neue Startseite dann immer res://&lt;enstprechende dll>/index.html#37794 heisst.

Da muss also noch irgendwo n programm oder so sein was eine neue dll erstellt.

Die beiden "komischen" Einträge habe ich übrigens auch aus dem Systemstart genommen. Jedoch hat sich nichts geändert.

Hat noch jemand eine Idee?
Stümper ist offline   Mit Zitat antworten
Antwort

Stichworte
extrem, hartnäckiger, hijacker


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Extrem hängende Programme kirsche CPUs und Mainboards allgemein 16 29.11.2013 14:05
Die besten Freeware Tools gegen Trojaner, Spyware u Hijacker LandoCalrissian Erfahrungs- und Testberichte - von Usern für User 16 03.03.2005 09:18
Neuer fieser Hijacker! Top-Searchs Com! LandoCalrissian Security & SPAM 2 08.08.2004 19:49
XP Extrem Lam cEdRiC Windows & Programme 11 07.04.2003 00:22
Extrem heiß Gast AMD: CPUs und Mainboards 6 22.11.2002 14:25


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:43 Uhr.






Powered by vBulletin® Version 3.8.10 (Deutsch)
Copyright ©2000 - 2024, vBulletin Solutions, Inc.
SEO by vBSEO 3.5.2 ©2010, Crawlability, Inc.
Impressum, Datenschutz Copyright © 1999-2015 TweakPC, Alle Rechte vorbehalten, all rights reserved