Trojaner-Board - Possible Browser Hijack attemp

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Possible Browser Hijack attemp (https://www.trojaner-board.de/2483-possible-browser-hijack-attemp.html)

wie ich hier lese, scheinen mehrere Leute das gleiche oder ein ähnliches Problem zu haben wie ich.

Beim Adaware Scan bekomme ich ständig die gleiche Meldung, nämlich: Possible Browser Hijack attemp
Category Malware / HKEY_CURRENT_USER: Software\Microsoft\Internet Explorer\ Main Startpage ( about blank )
Fixen bringt nichts, nach dem nächsten PC Start ist das Teil wieder da.
Auch der Versuch mit Regclean zu säubern bringt den gleichen "Erfolg" und erzeugt jedesmal wieder die gleich große Datei.
Nun habe ich mal ein Logfile erzeugt mit HijackThis und hoffe, dass mir hier jemand helfen kann?

Logfile of HijackThis v1.97.7
Scan saved at 11:53:22, on 09.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\Download\HijackThis\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: BackUp Maker.lnk = C:\Programme\ASCOMP Software\BackUp Maker\bkmaker.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1774caa6...dxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...092.5039814815

grüße
Dreamy

ts ts ts,
also Leute nu drängelt doch mal nicht so mit euren Antworten, ich komme ja garnicht nach mit lesen.
Danke, hat sich erledigt

Hi Dreamy
Willkommen an Board
<blockquote>Zitat:<hr />
...wie ich hier lese, scheinen mehrere Leute das gleiche oder ein ähnliches Problem zu haben wie ich.
[/QUOTE]...wer und wo?
<blockquote>Zitat:<hr />
Beim Adaware Scan bekomme ich ständig die gleiche Meldung, nämlich: Possible Browser Hijack attemp
Category Malware / HKEY_CURRENT_USER: Software\Microsoft\Internet Explorer\ Main Startpage ( about blank )
[/QUOTE].."Possible" heißt "Möglicherweise". Quercheck mit Spybot S&D könnte die Klarheit schaffen.
Kurz gesagt: in deinem HJT-Log kann ich keine Spuren eines Schädlings finden. Verzicht vom Internet-Explorer als Web-Browser löst eigentlich alle Probleme dieser Art.

Ich denke mal, dass du die Frage falsch gestellt hast.

"wie ich hier lese, scheinen mehrere Leute das gleiche oder ein ähnliches Problem zu haben wie ich."

Unter Umständen könnten dir dann ja auch die Antworten bei den anderen Leuten helfen, oder?

"Fixen bringt nichts, nach dem nächsten PC Start ist das Teil wieder da."

Was für ein Teil? Die Meldung? Eine Datei? Ein Eintrag?

"Auch der Versuch mit Regclean zu säubern bringt den gleichen "Erfolg" und erzeugt jedesmal wieder die gleich große Datei."

Aha, also eine Datei. Nur hast du bislang immer noch nicht gesagt, um was für eine Datei es sich handelt.

Merke:

Die wenigsten Leute haben Bock, einem Hilfesuchenden jede Kleinigkeit aus der Nase zu ziehen. Und wie du selber bemerkt hast, wurden Lösungsansätze bzw. ganz konkrete Vorgehensweisen schon mehrfach hier im Forum gepostet - die hätte man erstmal ausprobieren können.

Also nicht über die Leute beschweren die hier kostenlos helfen, sondern evtl. mal darüber nachdenken, ob man selber nicht einfach nur eine lesefaule Socke ist.

Andreas

<blockquote>Zitat:<hr />Original erstellt von Andreas Ebert:
[QB] Ich denke mal, dass du die Frage falsch gestellt hast.
[/QUOTE]Mag sein, ich schreib nicht jeden Tag in irgendwelchen Foren und hab noch nie mit so einer Meldung zu tun gehabt

<blockquote>Zitat:<hr />
Unter Umständen könnten dir dann ja auch die Antworten bei den anderen Leuten helfen, oder?
[/QUOTE]Dann hätte ich diesen Thread nicht aufgemacht, ist doch logisch, oder?

<blockquote>Zitat:<hr />
Was für ein Teil? Die Meldung? Eine Datei? Ein Eintrag?
[/QUOTE]genau die meldung in Adaware die ich schon oben beschrieben hatte!

<blockquote>Zitat:<hr />
Aha, also eine Datei. Nur hast du bislang immer noch nicht gesagt, um was für eine Datei es sich handelt.
[/QUOTE]Regclean erzeugt eine Datei, wenn man die gefundenen Fehler fixen lässt

<blockquote>Zitat:<hr />
Merke:

Die wenigsten Leute haben Bock, einem Hilfesuchenden jede Kleinigkeit aus der Nase zu ziehen. Und wie du selber bemerkt hast, wurden Lösungsansätze bzw. ganz konkrete Vorgehensweisen schon mehrfach hier im Forum gepostet - die hätte man erstmal ausprobieren können.

Also nicht über die Leute beschweren die hier kostenlos helfen, sondern evtl. mal darüber nachdenken, ob man selber nicht einfach nur eine lesefaule Socke ist.
[/QUOTE]Toll wie du das schon nach einem einzigen Post von mir beurteilen kannst, Respekt :-((
Vielleicht solltest du ja erst denken und dann schreiben.
Evt. bist du aber einfach auch nur überfordert und musst es dann an anderen auslassen.

Denk mal drüber nach !

Auf weitere Hilfe kann ich getrost verzichten.
Es geht auch ohne dich

<blockquote>Zitat:<hr /> Mag sein, ich schreib nicht jeden Tag in irgendwelchen Foren und hab noch nie mit so einer Meldung zu tun gehabt
[/QUOTE]Also - hier bist du im Trojaner Board :D

<blockquote>Zitat:<hr /> Toll wie du das schon nach einem einzigen Post von mir beurteilen kannst, Respekt :-((
Vielleicht solltest du ja erst denken und dann schreiben.
Evt. bist du aber einfach auch nur überfordert und musst es dann an anderen auslassen.

[/QUOTE]Denkst du wirklich das die User am PC sitzen und warten helfen zu können ?
1. Arbeiten die meisten
2. Gibt es auch noch ein Privatleben
3. Geholfen wird gerne hier ....ABER in der Freizeit !!
4. Finde ich es impertinent von dir das du nun ZICKIG wie ne alte Junfer reagierst weil sich keiner sofort mit deinem Problem beschäftigt hat !!

Vllt. solltest DU mal darüber nachdenken !!

<blockquote>Zitat:<hr /> Auf weitere Hilfe kann ich getrost verzichten.
Es geht auch ohne dich [/QUOTE]Mit diesem Post hast du dich selber disqualifiziert !!

"Toll wie du das schon nach einem einzigen Post von mir beurteilen kannst, Respekt :-((
Vielleicht solltest du ja erst denken und dann schreiben.
Evt. bist du aber einfach auch nur überfordert und musst es dann an anderen auslassen."

Naja, nun habe ich drei Postings von dir gelesen und meine Meinung von dir und deinem Verhalten ist eher noch schlechter geworden.

Aber wahrscheinlich bin ich damit einfach nur überfordert. :D

Andreas

Hallo,
ich hatte auch bereits in einem anderen Thread über offensichtlich das gleiche Problem geklagt und einen Log file angehägt, mit der Bitte, diesen auf "Schädlinge" zu durchsuchen. Daraufhin ist nicht passiert, darum frage ich einfach nochmal. Könnt ihr mir bei dem von Dreamy geschilderten Problem helfen? Ad Aware findet dieses Eintrag nach jedem Systemneustart und entfernen mit Ad Aware bringt nichts. Außerdem werden die Einstellungen zur Cookie Behandlung (die ich normalerweise alle selber verwalte) zurückgesetzt. Da ich selber nicht auf eine Lösung des Problems komme, wäre es echt nett, wenn ihr mir da weiterhelfen könntet.
Ich habe nun nochmal einen Scan mit hijackthis durchgeführt und dabei meine Firewall (At Guard) ausgeschaltet, das Controll Center meines Anti Viren Programms (AVG) geschlossen sowie meinen Bluetooth Adapter ausgeschaltet. Solltet ihr zusätzlich irgendwelche Informationen brauchen, um mir irgendwie helfen zu können, lasst es mich wissen.

Logfile of HijackThis v1.97.7
Scan saved at 10:40:10, on 16.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Atguard\iamserv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\WINNT\System32\rmctrl.exe
C:\PROGRA~1\Atguard\iamapp.exe
C:\Programme\ICQPlus\vplus.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
C:\Programme\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe
C:\Dokumente und Einstellungen\Ds\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.1
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\System32\rmctrl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [AVG_CC] C:\Programme\Grisoft\AVG6\avgcc32.exe /startup
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - Global Startup: BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PCSuiteForNokia6600 Detect.lnk = C:\Programme\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe
O4 - Global Startup: PCSuiteForNokia6600 TS.lnk = C:\Programme\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: MP3 (HKLM)
O9 - Extra 'Tools' menuitem: &WinMp3Locator (HKLM)
O9 - Extra button: Files (HKLM)
O9 - Extra 'Tools' menuitem: &FileLocator (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: Translator (HKLM)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01dad4cd...dxIE601_de.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

Also die Datei mit dem Hijackthis Programm entfernen!
Dann ist das Problem weg! ;)

Und das beste ist immer noch die Meldung von Ad-Aware zu Ignorieren!
Da es eine Fehlmeldung ist. [img]graemlins/koch.gif[/img]

Benutzt mal Spybot findet man bei google

Greetz
Erazor

PS:Thread von mir

Hier könnt Ihr das zeug nachlesen! :rolleyes:

Ich hoffe das die Anmeldung in diesem Board nicht umsonst war!
Da Ich nur den Beitrag schicken wollte :cool:

[ 16. Mai 2004, 11:39: Beitrag editiert von: Erazor ]

Danke Erazor für die schnelle Antwort. Hab den Eintrag mit hijackthis gefixt, aber behoben ist das Startseitenproblem damit leider nicht. :( Spybot hab ich auch schon vorher ausprobiert, hat aber gar nichts gefunden. Und Ad Aware findet es auch nach wie vor...

Du hast aber nach dem Fixen den Rechner neu gestartet?

Andreas

@ Andreas
Ja, habe ich. Daraufhin hab ich erneut auch erneut gescannt. Spybot nach wie vor nichts - Ad Aware findes es wieder.

@Airknee

Wie bereits gesagt!
Das ist eine Fehlmeldung vom Ad-Aware!

Hatte mir wegen den mist extra die Pro Version gekauft!
Der findet den schwachsinn nicht!

Also Ignorier es
wenn ich in der reg die Startseite einstelle, dann erkennt er das auch als Hijack Angriff.

Wenn du immernoch denkst das da irgendwas faul ist, dann erklär nochmal ganz genau dein Problem un dwann es auftritt!

Kann nämlich aus den Beiträgen nihcts auslesen.

Also Post bitte nochmal

Greetz
Erazor

Grüße an´s MCSE-Board :D

ich sehe , Ihr benutzt den IE 6.0.

Wie wärs denn mal mit Netscape , denn da habt Ihr diese Probs nicht , und der ist genauso zu bedienen wie IE !!

hier der Link !

und Eure Favoriten aus dem IE könnt Ihr übernehmen.

gr. O

Der Netscape ist genau so eine Abwechslung wie der Firefox und der Opera!

Wobei jeder entscheiden muss welchen er benutzt!
(Benutzerfreundlich)

Kleiner Tipp:
Wenn man den Netscape als Standart Browser hat und dann noch den Crazy Browser installiert, dann läuft der CB nicht über den vorgesehenen IE sondern mit dem Netscape [img]graemlins/daumenhoch.gif[/img]

@Airhnee
Ich habe vorhin gesucht und gesucht aber ich finde nichts weiteres!
Schau doch mal auf MCSE-Board !
Vielleicht findest du ja da was!

Greetz
Erazor

PS: Für mich wars das in dem Board :cool:
Wollt enur mal Hallo sagen und jemanden helfen :D

Also dann Ciao
Vielleicht schau ich mal wieder vorbei! [img]graemlins/heilig.gif[/img]