HighjackThis log - Startseite auf Homepage.com

#1 ich werde wahnsinnig... startseite im IE wird immer umgestellt. nix hilft: Spybot 1.3, Spywareblaster... CWShredder und HighjackThis finden den Eintrag (s. log), koennen ihn entfernen, allerdings nur bis zum ersten Start des IE... dann laedt die seite wieder...
noch nie sowas hartnaeckiges gehabt...

bin natuerlich fuer hilfe dankbar!


hier das logfile:

Logfile of HijackThis v1.97.7
Scan saved at 15:42:27, on 02.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZSTATUS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\TBRIDGE\FLATBED.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PDESK\PDESK.EXE
C:\WINDOWS\NEWMIXER.EXE
C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE
C:\PROGRAMME\WINPORTRAIT\WPCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\PROGRAMME\SYMANTEC\WINFAX\WFXCTL32.EXE
C:\PROGRAMME\CAPI MONITOR 1.04 DT\CAPIMON.EXE
C:\PROGRAMME\FINEPIXVIEWER\QUICKDCF.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\SPYWAREBLASTER\SPYWAREBLASTER.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com
%00@www.e-finder.cc/hp/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com
%00@www.e-finder.cc/hp/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lycos Europe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_1_3.DLL
F1 - win.ini: load=C:\TBridge\Flatbed.exe
N1 - Netscape 4: user_pref("browser.startup.homepage", ""); (C:\Programme\Netscape\Users\gustke\prefs.js)
O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_1_3.DLL
O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\DPE.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\SYSTEM\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [C-Media Mixer] C:\WINDOWS\NewMixer.exe /startup
O4 - HKLM\..\Run: [EM_EXEC] c:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\iTouch\iTouch.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [PivotSoftware] C:\Programme\WinPortrait\wpctrl.exe
O4 - HKLM\..\Run: [Shell] C:\WINDOWS/DOWNLO~1/tray.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [hp 1000 firmware] C:\Programme\hp LaserJet 1000\fwdl.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKCU\..\Run: [Lawe] C:\WINDOWS\Anwendungsdaten\sata.exe
O4 - Startup: Controller.LNK = Symantec\WinFax\WFXCTL32.EXE
O4 - Startup: Verknüpfung mit Capimon.exe.lnk = C:\Programme\CAPI Monitor 1.04 dt\Capimon.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Exif Launcher.lnk = FinePixViewer\QuickDCF.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Optionen für i-Nav (HKLM)
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/

#2 Fix:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com
%00@www.e-finder.cc/hp/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com
%00@www.e-finder.cc/hp/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lycos Europe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_1_3.DLL
F1 - win.ini: load=C:\TBridge\Flatbed.exe
N1 - Netscape 4: user_pref("browser.startup.homepage", ""); (C:\Programme\Netscape\Users\gustke\prefs.js)
O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_1_3.DLL
O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\DPE.DLL
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Shell] C:\WINDOWS/DOWNLO~1/tray.exe
O4 - HKCU\..\Run: [Lawe] C:\WINDOWS\Anwendungsdaten\sata.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/

MFG
DAFRA

P.s.
Lad dir mal en Virenscanner runter ( www.free-av.de )
Falls ich was vergessen haben sollte, SRY ich bin Müde.

#3 sorry, jetzt ging'S doch - hatte beim fixing noch ein fenster geoffnet...



nein, kein virus... f-prot hat geprueft...
also nochmal:
wenn HjT die zeilen R0 fixt, bleibt meine startseite genau einen start erhalten. dann startet der IE wieder mit homepage.com und beim naechsten scan erscheinen die beiden zeilen wieder. scannen, fixen, scannen, fixen, scannen...
das kann es ja nicht sein.

#4 Habe mich wochenlang mit "homepage.com" als immer wiederkehrender Startseite rumgeschlagen und bin sie kürzlich mit der neuesten Version von cwshredder losgeworden. Gruß, aris1

#5 Glückwunsch aris1 !
Bei mir bleibt auch mit der neuesten cwshredder Version alles beim alten.
Wie guske schon sagte: scannen, fixen,scannen, fixen,scannen, fixen,.....
Also ich werde dieses Homepage.com auch nicht los. Ausserdem löscht sich bei mir seit sich dieser jacker eigenistet hat bei jedem neustart die Adressen Zeile automatisch ;-((
Kann es sein das man den betroffenen dll im system32 löschen muß?? Nur welchen???
Vielleicht ist ja jemand schlauer als wir!!??
Gruß
Markus

#6 Mein entscheidender Tip kam vom www.wilderssecurity.com - Forum (search:"homepage.com"; thread-Beitrag vom 26.2.04); laut backup-Liste von hijackthis habe ich aber direkt vor cwshredder-Einsatz auch noch R0- und R1-Items gefixt. Alle Items mit"homepage.com""efinder""%65%68%...." waren natürlich auch gefixt.
Unter www.trojaner-board.de findet sich auch einiges zum Thema.
Viel Glück, aris1

#7 @Hepcat
Es gibt dlls, welche die Tools nicht entfernen.
Deshalb sollten sie auch manuell geloescht werden.
Um zu sehen, was auf deinem Comp. los ist, lade den HijackThis, scanne, save und kopiere das Log ins Forum.
http://board.protecus.de/t9391.htm
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#8 @Gustke


Lade von dieser Site
AdAware...free
Spybot
CWShredder
Sphjfix.exe
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

.................................................................................................
scanne mit dem HijackThis, hake an, was ich poste und dann \fix\

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com
%00@www.e-finder.cc/hp/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com
%00@www.e-finder.cc/hp/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\DPE.DLL
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

neustarten

1.scanne ohne Internetverbindung mit den Tools, die du geladen hast.

2.Dann loesche unter InternetOptionen die TemporaryInternetFiles und stelle die Startseite neu ein

3.Dann lade die mwav.exe und scanne
http://www.mwti.net/antivirus/free_utilities.asp

4. Lade den Firefox als Zweit/und SurfBrowser...ist hijackerfrei
http://www.firebird-browser.de/
5. Aktualisiere den IE
http://www.microsoft.com/windows/ie_intl/de/ie6sp1.mspx

Poste das EndLog von diesem mwav.exe Scann, sowie das neuen Log vom HijackThis.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit