Hallo,

könnt ihr mir bitte helfen!

Ich habe auch diese komischen Startseiten-Sache auf meinem Rechner.

Hier meine Logdatei:

Logfile of HijackThis v1.97.7
Scan saved at 13:22:20, on 17.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\ORL\VNC\WINVNC.EXE
C:\WINDOWS\NTAB.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\MFCRO.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\occtj.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://occtj.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://occtj.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\occtj.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://occtj.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\occtj.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {35BA9597-A545-9F72-A195-B277AD30601D} - C:\WINDOWS\SDKKK.DLL
O2 - BHO: (no name) - {15F4AA79-6452-7B4B-7AA3-173995DD541C} - C:\WINDOWS\SDKKK.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [MFCRO.EXE] C:\WINDOWS\SYSTEM\MFCRO.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [WinVNC] "C:\PROGRAMME\ORL\VNC\WINVNC.EXE" -service
O4 - HKLM\..\RunServices: [NTAB.EXE] C:\WINDOWS\NTAB.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab

Ich danke euch rechtherzlich!

Schöne Grüße
sniper1082

verdammt guck in die ganzen anderen posts bitte nicht jeder einen aufmachen das bringt auch nichts ! ich habe die logs verglichen es gibt keine gemeinsamkeiten wo man sagen kann "Das hier ist die Ursache" deswegen bringen uns die logs auch nicht weiter. es wird wahrscheinlich eine sicherheitslücke sein. nicht böse sein aber guck in die anderen threads...

-> close

hallo sniper.. als erstes mal musst du windows update ausführen um alle möglichen sicherheitslücken zu schliessen..

dann fixt du alle r0 und r1 einträge mit hijackthislog.. danach startest du den pc im abgesicherten modus und löscht C:\WINDOWS\occtj.dll/sp.html#96676..

neptune

</font><blockquote>Zitat:</font><hr />Original erstellt von nitro:
verdammt guck in die ganzen anderen posts bitte nicht jeder einen aufmachen das bringt auch nichts ! ich habe die logs verglichen es gibt keine gemeinsamkeiten wo man sagen kann "Das hier ist die Ursache" deswegen bringen uns die logs auch nicht weiter. es wird wahrscheinlich eine sicherheitslücke sein. nicht böse sein aber guck in die anderen threads...

-&gt; close </font>[/QUOTE]OK, tut mir leid!

@neptune: Danke, ich werde es ausprobieren!

ohhh... naja ok war bissi hard ^^
ähmm... probieren brauchste das aber nicht es funzt zwar aber nachm neustart haste es wieder.

cYa nitro

Original von nitro
</font><blockquote>Zitat:</font><hr /> verdammt guck in die ganzen anderen posts </font>[/QUOTE]Du sollst nicht fluchen - oder schnupperst du gerade deinem Glyzerin ?


EDIT for Sniper :

HijackThis Anleitung

Browser Hijacking Entfernung

[ 17. Juni 2004, 13:57: Beitrag editiert von: Nangie ]

Mmmhhhh, ich hab jetzt alles so gemacht und schon 3 mal Neustart.
Bis jetzt ist alles entfernt!

Hoffentlich bleibt es so!!!

kann net sein... meld dich bitte wenns wieder da ist oder so

Bin schon wieder da!

Hat leider nicht geklappt! [img]graemlins/balla.gif[/img]

Kann doch gar nicht sein, dass so viele Leute dieses Problem haben, und von Microsoft oder anderen gibt´s noch kein Update, oder?

Ich habe es ja bereits erwähnt,
der Typ aus New York "rrlover" hat am 16.06 um knapp 09.00 Uhr die Info gegeben, dass sein Rechner clean ist. Seit dem kein post mehr von ihm in diesem USA Forum
http://www.dslreports.com/forum/rema...8952~mode=flat
Leider kann ich die software trojan cleaner, die er benutzt hat, nicht finden [img]graemlins/headbang.gif[/img]

Ist es vielleicht das hier?

http://www.computer-software.org/uti...antitrojan.asp

@ willy
poste doch mal in dem forum und frag nach [img]smile.gif[/img]
da wird das wohl jemand wisssen hoff ich jedenfalls


@ alle anderen die das problem auch haben
afaik gibt es im moment noch kein removal tool dafuer
selbst wenn es das gäbe wär das gesamte nur temporär da M$ die sicherheitslücken im IE die browserhijacker benutzen nicht fixt
es wäre also nur eine frage der zeit bis man wieder einen hijacker auf dem pc hat
bitte lest doch mal Lutz' artikel
der hat das ganze schön ausführlich beschrieben
und wechselt den browser!

@Olo
Danke für den Tipp.
Bin ich mit dem wechsel zu einem anderen browser den Trojaner los?
Schadet der nicht auf andere Weise auf dem Rechner?
Ich glaube du hast opera als browser empfohlen oder?


@sniper1082
ich habe mir den trojan cleaner hier als 30 Tage Version heruntergeladen.
http://www.pctip.ch/downloads/dl/17804.asp
Habe ein update gemacht und sowohl im abgesicherten wie auch normalen Modus gescannt.
Ohne Ergebnis (die Werbund von denen "er kann sich nicht verstecken auch wenn er seinen Namen ändert.... kannst Du vergessen!)

Sorry leider keine gute Nachricht.
Wüsste dennoch gerne mit welchem Programm der US boy das geschafft haben soll?

[img]graemlins/koch.gif[/img] Willy

</font><blockquote>Zitat:</font><hr /> Bin ich mit dem wechsel zu einem anderen browser den Trojaner los?
Schadet der nicht auf andere Weise auf dem Rechner? </font>[/QUOTE]nein los bist du ihn nicht solange du ihn nicht restlos entfernst
ob er schadet kann man nicht mit sicherheit sagen
ein hijacker macht imho normalerweise nicht viel anderes als dein surfverhalten mit dem IE auszuspionieren und deine startseite / favoriten zu ändern u.ä. sachen
allerdings lassen sich so natürlich auch trojaner herunterladne und installieren
deshalb kann man nicht sagen was wirklich alles passiert
es gibt ja einige leute die nach einer kompromittierung sofort für Neuaufsetzen sind, da man nie sagen was ein schädling noch so alles mitgebracht hat
du kannst nu natuerlich mit einem andren browser surfen trotzdem ist das nur eine übergangslösung solang das teil noch existiert


</font><blockquote>Zitat:</font><hr />
Ich glaube du hast opera als browser empfohlen oder? </font>[/QUOTE]nur weil ichs selbst benutze es gibt genug alternativen
firefox netscape mozilla
opera ist nur eine davon

</font><blockquote>Zitat:</font><hr />Original erstellt von design-willy:

@sniper1082
ich habe mir den trojan cleaner hier als 30 Tage Version heruntergeladen.
http://www.pctip.ch/downloads/dl/17804.asp
Habe ein update gemacht und sowohl im abgesicherten wie auch normalen Modus gescannt.
Ohne Ergebnis (die Werbund von denen "er kann sich nicht verstecken auch wenn er seinen Namen ändert.... kannst Du vergessen!)

Sorry leider keine gute Nachricht.
Wüsste dennoch gerne mit welchem Programm der US boy das geschafft haben soll?

[img]graemlins/koch.gif[/img] Willy [/QB]</font>[/QUOTE]Schade, hoffentlich gibt es baldmöglichst ein Tool, mit dem man dieses nervige Ding löschen kann. [img]graemlins/kloppen.gif[/img]