WinXP: Hijacked IE Startseite

Maxler
Gast

« am: 15.05.04, 00:25:50 »

Hallo Herr Doctor,

mein Problem ist folgendes:

Logfile of HijackThis v1.97.7
Scan saved at 23:51:36, on 14.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\WinZip\WZQKPICK.EXE
D:\TEMP\SpyRobots\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.aldi.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {F0BCCC1B-8F5A-48C1-83C0-BD025A06A01B} - C:\WINDOWS\mrhop.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKLM\..\RunOnce: [Q828026] "C:\WINDOWS\INF\unregmp2.exe" /UpdateWMP
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37884.393599537
O17 - HKLM\System\CCS\Services\Tcpip\..\{2623F0BE-5DFC-4E44-B571-B41DC9E5BDDD}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC35250D-EF48-40EC-AB99-27C6DE1BB10B}: NameServer = 192.168.0.1

Hab' ALLE(!) Proggis hier durch. Dat Biest wehrt sich vehement und ist auch noch gehässig, weil ändert seinen Namen ständig... nu heisst es mrhop...

Muss also wieder mal selbst "Hand" anlegen
...aber wo ? ... damit ich nix putt machen tue... ?

Many Thx Doc !
Maxler

Moderator informieren

Antworten zu WinXP: Hijacked IE Startseite:

Dr.Nope (55.005)
Global Moderator

1250x Beste Antwort

2593x "Danke"

Re: WinXP: Hijacked IE Startseite

« Antwort #1 am: 15.05.04, 08:24:51 »

Hat dir diese Antwort geholfen?

R0+R1 fixen,

Die Datei löschen wenn sie noch da ist und fixen:

O2 - BHO: (no name) - {F0BCCC1B-8F5A-48C1-83C0-BD025A06A01B} - C:\WINDOWS\mrhop.dll

zur NOt im abgesicherten Modus, das is der Übeltäter.

O4 - HKLM\..\Run: [Dit] Dit.exe
die Datei prüfen kann Virus sein (wahrscheinlich sogar)

O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com

Moderator informieren

dummkopf
Gast

Re: WinXP: Hijacked IE Startseite

« Antwort #2 am: 15.05.04, 09:49:25 »

was soll ich machen?

StartupList report, 05.04.2004, 10:02:34
StartupList version: 1.52
Started from : C:\Dokumente und Einstellungen\Roelof\Desktop\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Roelof\Desktop\HijackThis.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
ccRegVfy = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
IW ControlCenter = C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
PinnacleDriverCheck = C:\WINDOWS\System32\PSDrvCheck.exe
CamMonitor = C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
Share-to-Web Namespace Daemon = C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
QuickTime Task = "C:\Programme\QuickTime\qttask.exe" -atboottime
NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
MSConfig = C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe
MSMSGS = "C:\Programme\Messenger\msmsgs.exe" /background

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\VIRTUE~1.SCR
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - c:\programme\google\googletoolbar2.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}
NAV Helper - C:\Programme\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Symantec NetDetect.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 5.014 bytes
Report generated in 0,031 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

Moderator informieren

Dr.Nope (55.005)
Global Moderator

1250x Beste Antwort

2593x "Danke"

Re: WinXP: Hijacked IE Startseite

« Antwort #3 am: 15.05.04, 10:23:53 »

Hat dir diese Antwort geholfen?

guck unter Magazin - Spyware, wende die Porgramme an Spybot, CWShredder und guck ob dann dein Problem behoben ist. Wenn nicht noch mit Hijackthis ein Logfile erstellen und in einem neunen Thread posten. Nicht einfach bei jemanden hinten dran.

Moderator informieren

Maxler
Gast

Re: WinXP: Hijacked IE Startseite

« Antwort #4 am: 15.05.04, 15:37:28 »

Hallo und einen wunderschönen und ausbaufähigen guten Tag Doctor Nope !

...Du bist der Grösste !!!

Dank' Deiner Hilfe habe ich den Bastard in den Griff bekommen. Dagegen war der SASSER doch'n Furz, den hatte ich zwar nicht selbst, aber in meiner Firma waren etliche hundert PCs davon betroffen.
Dieses Teil hier hat mich über 12 Stunden Arbeit und Herzrasen gekostet !

Zwei Dinge, die ich ab sofort ändern werde:
1.) Einen vernünftigeren Virenscanner zulegen.
Taugt dieser Kaspersky etwas ?
2.) Diese zwielichten P*rn*seiten meiden...
Denn da kam' das Biest her ! Den Trojaner hatte mein Scanner zwar auch gemeldet, aber nicht eleminiert bekommen...

Drei Dinge, die man beim säubern nach Deiner Anleitung vielleicht beachten sollte:
1.) Im Netzwerk das ganze als Administrator durchführen.
Denn sonst gibt's solche Fehlermeldungen:
--------------
An unexpected error has occurred at procedure: modMain_FixOther14Item(sItem=O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com)
Error #75 - Path/File access error
--------------
2.) Das ganze im abgesicherten Modus. Bei mir funzte es sonst nicht.
3.) Was ist mit der XP Systemrecovery Option - vorher ausschalten ?

Ach ja, das Dit.exe Teil ist kein Virus, laut Kaspersky. Gibt auch eine Dit.dll, ist aber auch kein Virus. Wofür die Dit.exe allerdings da ist - keine Ahnung. Weis das vielleicht jemand ?

Nochmals 1001 Dank an Dich Dr.Nope !
Klasse, Danke, weiter so !
Schön, dass es Dich gibt ! *freu*

Viele Grüße,
MAXLER

Moderator informieren

Dr.Nope (55.005)
Global Moderator

1250x Beste Antwort

2593x "Danke"

Re: WinXP: Hijacked IE Startseite

« Antwort #5 am: 15.05.04, 15:48:34 »

Hat dir diese Antwort geholfen?

dit.exe kann einer sein, muss aber nicht. Ist auch von irgendwas ein Treiber. Da versteckt sich aber gern einer. Darum dir Prüfung.

Ja Kapersky ist einer der besten und vor allem schnell und kann auch in Archiven gut und besser als Norton z.B. durchsuchen.

Moderator informieren

« hijackthis log / was muss ich fixen???		Trojaner: TR/WinShow.n.Drp1 »

WinXP: Hijacked IE Startseite

Antworten zu WinXP: Hijacked IE Startseite:

Re: WinXP: Hijacked IE Startseite

Mehr zu WinXP: Hijacked IE Startseite