Hallo,

ich habe ein Problem mit einem Hijacker und auch schon einiges probiert. Ad-Aware, Spybot, CWShredder sowie einige Einträge mit dem HijackThis entfernt. Mit den letzten beiden Programmen konnte ich den Erfolg erzielen, dass der Hijack scheinbar verschwunden war. Ich konnte den IE wieder normal öffnen, ohne falsche Startseite und ohne das PopUp-Fenster mit dem Hinweis, dass ich von Spyware infiziert bin. Jedoch, sobald ich neu starte ist das Problem wieder da.

Ich poste mal mein HijackThis-Log und wenn ihr noch mehr braucht, bitte sagen

Logfile of HijackThis v1.97.7
Scan saved at 10:20:55, on 09.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
D:\programme\quicktime\qttask.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Norton Personal Firewall\ccPxySvc.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\devldr32.exe
G:\Downloads\security\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hahjcma.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hahjcma.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hahjcma.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hahjcma.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hahjcma.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hahjcma.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {516411FD-B880-466A-9CE7-56F22F3D67C4} - C:\WINDOWS\System32\hahjcma.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: concept/design's onlineTV (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

hallo.. diese datei scheint böse zu sein.. C:\WINDOWS\System32\hahjcma.dll.. ich würd erstmal alle r1 und r0 einträge mit HijackThis fixen und den entsprechenden bei o2..

Hallo BEAtFREAk und Willkommen an Board,


versuche es bitte als erstes wie folgt:
http://www.trojaner-info.de/anleitun...out_blank.html

Gruß,
Lutz

@neptune

hab diese einträge schon versucht zu fixen. die kommen aber wieder...

@lutz

hab das tool probiert und streng nach anleitung usw. hat leider nicht funktioniert

der nächste bitte?

dann musst du evtl erst die systemwiederherstellung ausschalten.. weiss aber nicht genau wie das geht.. whatever..

Überprüf mal diese Datei C:\WINDOWS\System32\devldr32.exe online bei Kaspersky und/oder lade Dir mal das Free eScan Antivirus Toolkit Utility herunter und scanne Deinen Rechner im abgesicherten Modus. Vielleicht findet der etwas.

Gruß,
Lutz

So, also die Datei "devldr32.exe" war wohl clean laut diesem Internet-Sucher.

Die Rettung hat wohl das kostenlose Anti Virus Tool von Micro Word gebracht. Es hat folgendes erkannt:

File C:\WINDOWS\system32\hahjcma.dll infected by "Trojan.Win32.StartPage.gv" Virus. Action Taken: File to be deleted on reboot.

Problem erkannt und gebannt? Wie hier drüber steht, sollte nach einem Neustart der Trojaner gelöscht werden. Also Neustart und das Problem war erstmal weg. Hab dann zur Sicherheit gleich nochmal einen Neustart ge,macht und festgestellt, dass er entgültig weg ist.

Darum danke für die Hilfe. Ich hab meine Lehre draus gezogen und nutze jetzt lieber Opera

</font><blockquote>Zitat:</font><hr /> Darum danke für die Hilfe. Ich hab meine Lehre draus gezogen und nutze jetzt lieber Opera </font>[/QUOTE]so ähnlich wars bei mir auch


naja noch an alle anderen mit diesem / oder aehnlichem problem
im form gibt es unmengen threads die das wörtchen "obfuscated" enthalten (s.o.) mit einigen lösungsansätzen

Hallo und einen schönen guten Tag [img]smile.gif[/img]
Hatte mich vor 2 - 3 Wochen hier angemeldet und damals von einen Hijacker berichtet, der mich immer auf folgende Seite gebracht hat

http://www.microsoft.com/isapi/redir...er=6.0&ar=home

Dachte eigentlich, dass ich das Problem im Griff habe, aber dem ist wohl nicht so. Habe zwar seitdem meinen Browser gewechselt (nutze jetzt den Firefox statt damals IE 6), aber sobald ich dann doch mal eine Seite mit dem IE öffne (und wenn es nur zu Testzwecken ist, um zu gucken, ob der Hijacker wieder da ist) geht die Sache von Vorne los. Als Startseite hat sich oben genannter Link eingenistet. Habe soweit schon alle hier genannten Scan Programme laufen lassen (also Ad-Aware, SpyBot, CWShredder und nun auch letztgenannten Free eScan Antivirus Toolkit Utility. Wäre nett, wenn ihr mir mein Log File nochmal checken würdet, vielleicht hört es dann ja damit auf. Vielen Dank

Logfile of HijackThis v1.97.7
Scan saved at 13:19:19, on 10.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Atguard\iamserv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\WINNT\System32\rmctrl.exe
C:\PROGRA~1\Atguard\iamapp.exe
C:\Programme\Grisoft\AVG6\avgcc32.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\ICQPlus\vplus.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
C:\Programme\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\Dokumente und Einstellungen\Ds\Desktop\Security\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.1
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\System32\rmctrl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [AVG_CC] C:\Programme\Grisoft\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - Global Startup: BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PCSuiteForNokia6600 Detect.lnk = C:\Programme\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
O4 - Global Startup: PCSuiteForNokia6600 TS.lnk = C:\Programme\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: MP3 (HKLM)
O9 - Extra 'Tools' menuitem: &WinMp3Locator (HKLM)
O9 - Extra button: Files (HKLM)
O9 - Extra 'Tools' menuitem: &FileLocator (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: Translator (HKLM)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01dad4cd...dxIE601_de.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab

Nochmal ich...
habe grade "Free eScan Antivirus Toolkit Utility" über mein System laufen lassen. Das Programm hat offenbar etwas gefunden, da ich mich aber nicht so genau mit PC Innereien und Viren etc. auskenne wäre es nett, wenn ihr mir sagen könntet, wie ich weiter fortfahren soll. Habe einen Teil (den ich für relevant halte) aus dem Log file angehängt. Es steht zwar drin, dass das Programm etwas entfernt hat, aber das selbe hatte ich gestern vor einem Neustart auch schon...Ein Log file von HijackThis ist ja im oberen Beitrag enthalten. Wenn jemandem etwas auffällt, oder mir sonst jemand einen Tip geben kann, wär das supi!!


Fri Jun 11 19:09:23 2004 =&gt; Scanning File C:\WINNT\A
Fri Jun 11 19:09:23 2004 =&gt; C:\WINNT\A possibly infected and removed by background antivirus package!
Fri Jun 11 19:09:24 2004 =&gt; Process C:\WINNT\system32\LSASS.EXE Found running in Memory...
Fri Jun 11 19:09:25 2004 =&gt; Result: ERROR!!! File C:\WINNT\A: Scanning Failure!!!
Fri Jun 11 19:09:25 2004 =&gt; C:\WINNT\A possibly infected and removed by background antivirus package!
Fri Jun 11 19:09:25 2004 =&gt; File C:\WINNT\A infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.