Hallo.
Ich habe ein Problem, und frage mich, ob jemand helfen kann.

Seit einigen Tagen werden bestimmte Adressen auf meinem IE6 gehijackt. www.google.de wird zu www.www.google.de.com (United-Domains), www.google.co.uk und www.google.com, aber auch sites wir symantec und Microsoft funktionieren gar nicht mehr.

Ich habe verschiedene scanner durchlaufen lassen (f-prot, spybot, CW shredder), aber das Problem besteht weiter.

Kann mir jemand helfen?
HH

Anbei mein "hijack this" log:

Logfile of HijackThis v1.97.7
Scan saved at 12:22:18, on 29/03/04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\CPQALERT.EXE
C:\WINDOWS\CPQDMI.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\DMI98\WIN32\BIN\WIN32SL.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\ESSNDSYS.EXE
C:\WINDOWS\SYSTEM\CHPSTART.EXE
C:\PROGRAMME\COMPAQ\PROGRAMMABLE KEYS 95\CPQKL.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\CD-WRITER PLUS\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\FSI\F-PROT\F-STOPW.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\VERBATIM STORE N GO\VERBATIM STORE 'N' GO.EXE
C:\WINDOWS\SYSTEM\WLANSTA.EXE
C:\PROGRAMME\FSI\F-PROT\F-SCHED.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\ANTI VIRUS ETC\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.faz.net/s/homepage.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm
F1 - win.ini: run=hpfsched
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ESSNDSYS] ESSNDSYS.EXE
O4 - HKLM\..\Run: [CHIPSStart] CHPSTART.EXE
O4 - HKLM\..\Run: [Compaq PK Daemon] C:\Programme\COMPAQ\Programmable Keys 95\CPQKL.EXE
O4 - HKLM\..\Run: [Hibernation] C:\Programme\COMPAQ\PWRCON\HIB32.EXE
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\Programme\CD-Writer Plus\DirectCD\DIRECTCD.EXE
O4 - HKLM\..\Run: [CPQCalib] C:\Programme\COMPAQ\PWRCON\CPQCALIB.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [F-STOPW.EXE] "C:\Programme\FSI\F-Prot\F-STOPW.EXE"
O4 - HKLM\..\Run: [System Tray] C:\WINDOWS\MSCCN32.EXE
O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [VERBATIM STORE 'N' G] c:\programme\verbatim store n go\verbatim store 'n' go.exe sys_auto_run C:\PROGRAMME\VERBATIM STORE N GO
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [CPQALERT] CPQALERT.EXE
O4 - HKLM\..\RunServices: [CPQDMI] CPQDMI.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [System Tray] C:\WINDOWS\MSCCN32.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...960.1980671296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab

[ 29. März 2004, 14:00: Beitrag editiert von: HH ]

</font><blockquote>Zitat:</font><hr />Original erstellt von HH:
Ich habe ein Problem, und frage mich, ob jemand helfen kann. </font>[/QUOTE]Fragst Du jetzt Dich oder uns?
Bin mit Win98 inzwischen recht unfit, geh' mal auf suchen =&gt; Datei namens hosts, wenn sie da ist mit dem Editor öffnen und den Inhalt hier posten.
Wenn sie nicht da ist, ist DIES nicht das Problem.
IIRC kommt Win98 'ohne' daher.

Prinzipiell lädts Du recht viel Blödsinn, den ich zum Teil auch nicht kenne (z.B. Verbatim...., bist Du Kunde von Verbatim?)
Auf jeden Fall solltest Du (Ausnahmen gibt es aber) die depperte Indexerstellung ausschalten (fastfind, kostet normalerweise nur Leistung), auch den Office-Start-Link würde ich killen.

Hi HH,

nimm mal bitte die Programme, die Du kennst, aus dem Autostart raus (i.d.R. über die Konfiguration bei den entsprechenden Programmen), und beende möglichst alle Programme, bevor Du mit HijackThis scannst, z.B. über den Taskmanager, so dass dort nur noch "Explorer" und "Systray" stehen.
Der Log wird dann viel übersichtlicher und wir müssen nicht bei jedem zweiten Eintrag nachfragen, ob Du das Programm installiert hast.

Außerdem gibts unter http://www.trojaner-board.de/51130-a...ijackthis.html eine gute Anleitung zu HJT, hast Du Dich damit schon beschäftigt?

Ein HJT-Log unter Win98 kann nämlich auch so aussehen:
Logfile of HijackThis v1.97.7
Scan saved at 19:21:43, on 29.03.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

[ 29. M&auml;rz 2004, 19:37: Beitrag editiert von: Yopie ]

Guten Tag.
Danke erstmal für den Rat. Ich bin alles andere als ein Profi mit dem Computer. Werde wohl mal ordentlich aufräumen müssen. (Verbatim brauche ich aber, das ist der Treiber für den memory stick).

Im Augenblick versucht jemand auf www.spywareinfo.com, mir zu helfen (mit mäßigem Erfolg bisher, aber man wird sehen); und es widerspricht wohl der Etikette, gleich zwei Foren zu beschäftigen.

HH

</font><blockquote>Zitat:</font><hr />Original erstellt von HH:
Im Augenblick versucht jemand auf www.spywareinfo.com, mir zu helfen (mit mäßigem Erfolg bisher, aber man wird sehen); und es widerspricht wohl der Etikette, gleich zwei Foren zu beschäftigen.</font>[/QUOTE]Ich finde, solange man es angibt, ist es ok. Es müsste sich um diesen Beitrag handeln, oder?

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Richtig.

Hat auch einen ganzen Tag lang wunderbar funktioniert. Muß aber doch wohl immer noch dasselbe Problem sein (ich rate...).
Kann sowas wirklich am google bar liegen?

HH

hi,

bitte mal folgendes fixen:

</font><blockquote>Zitat:</font><hr />
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.faz.net/s/homepage.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm
F1 - win.ini: run=hpfsched
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
</font>[/QUOTE]bei dem critical update bin ich mir nicht sicher, zu was das gehört. sicherlich sind dort noch einige sachen, die nicht unbedingt in den autostart gehören.

bitte öffne deine win.ini und suche unter "run" den eintrag oben und lösche diesen (nur diesen)

Also, ich habe meine startseite (faz.net) entfernt, und im Augenblick geht alles wieder. Mal sehn, wie lang... Aber wie kann denn das sein, daß meine startseite (die ich vor 2 oder 3 Jahren eingestellt habe) damit was zu tun hat?

HH

...zu früh gefreut.