"search for..." als startseite - wie entfernen?

#1 ich habe auf einmal die seite "search for..." als startseite,
wobei im adressfeld lediglich "about:blank" steht.
es lässt sich weder mit cwshredder noch mit hijackthis beheben.
hijackthis hat jedoch folgendes ergeben:

Code

Logfile of HijackThis v1.97.7
Scan saved at 14:01:52, on 06.04.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Winamp3\winampa.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Downloads\securityfiles\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dfpaba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dfpaba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dfpaba.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dfpaba.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dfpaba.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dfpaba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.ebay.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {418B8C28-5088-4552-B333-9CAA5E1F8512} - C:\WINDOWS\System32\dfpaba.dll
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab

wie bekomm ich das wieder weg?

danke für eure hilfe

#2 Hi und wilkommen im/an Board

Code

Fixe mal bitte folgendes in HiJackThis
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dfpaba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dfpaba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dfpaba.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dfpaba.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dfpaba.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dfpaba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

dann neustart

Dieser ist noch unter Verdacht
O2 - BHO: (no name) - {418B8C28-5088-4552-B333-9CAA5E1F8512} - C:\WINDOWS\System32\dfpaba.dll

Kannst mal 'nen OnlineCheck machen oder mir schicken an
mike_hangover@gozomail.com

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#3 danke erst mal für die hilfe.
Leider hat es nicht wirklich was gebracht.
Nach dem Neustart war das logfile wieder genau dasselbe.
Ich werde dir die dll mal zuschicken.

gruß mortal

#4

Zitat

mortal postete
danke erst mal für die hilfe.
Leider hat es nicht wirklich was gebracht.
Nach dem Neustart war das logfile wieder genau dasselbe.
Ich werde dir die dll mal zuschicken.

gruß mortal

Aber bitte gezippt.
Sonst bleibt Sie unterwegs vielleicht hängen!

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#5 weiß sonst niemand wie ich das problem vielleicht beheben könnte?
so langsam geht es mir nämlich ziemlich auf die nerven.

danke für eure hilfe

gruß mortal

#6 Hast du diesen Eintrag denn schon herausgenommen?:
O2 - BHO: (no name) - {418B8C28-5088-4552-B333-9CAA5E1F8512} - C:\WINDOWS\System32\dfpaba.dll

Dann steht noch ein Windowsupdate aus. Spybot und Adaware auch. Alles vor dem Einsatz natuerlich aktualisieren.

Links zu den Programmen gibt es hier: http://board.protecus.de/t9373.htm
__________
MfG Ralf
SEO-Spam Hunter

#7 @all
In der Datei "dfpaba.dll" steht der HTML-QuellCode für die gesamte "SearchFor.." Seite.
Ist dann wohl ein HiJacker

Also, wenn ihr den Eintrag habt "FIXEN"

Gruß paff

P.S: Würde mich interessieren, ob der CWShredder das Ding findet?
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#8 ich habe das problem nun folgendermaßen gelöst:
zuerst habe ich die datei "dfpaba.dll" umbenannt, woraufhin sie
sich nach einem neustart löschen ließ.
cwshredder setzt die startseiteneinträge zwar wieder zurück,
allerdings sind diese nach einem neustart erneut vorhanden.
Adaware findet nur einige registry keys, spybot gar nichts.

nochmals danke für die hilfe

gruß mortal

#9 Hallo bei mir kommt auch immer die startseite!!

Logfile of HijackThis v1.97.7
Scan saved at 19:48:02, on 08.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
F:\Programm\AVPersonal\AVGUARD.EXE
F:\Programm\AVPersonal\AVWUPSRV.EXE
F:\teamspeak2_RC2\TeamSpeak.exe
C:\Programm\ICQLite\ICQLite.exe
F:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Programm\mozilla\mozilla.exe
F:\downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINDOWS\System32\nfgmbb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINDOWS\System32\nfgmbb.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINDOWS\System32\nfgmbb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINDOWS\System32\nfgmbb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINDOWS\System32\nfgmbb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINDOWS\System32\nfgmbb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {27652CCD-E961-4DBC-970A-FBE090A28FB8} - F:\WINDOWS\System32\nfgmbb.dll
O2 - BHO: (no name) - {7D8069E3-A3B2-4E62-AD12-DA5FB21FB885} - F:\WINDOWS\System32\nfgmbb.dll
O2 - BHO: (no name) - {8E67175D-7DF7-4B58-9DDC-BF6EF3C6B81B} - F:\WINDOWS\System32\nfgmbb.dll
O4 - HKCU\..\Run: [MsnMsgr] "F:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programm\ICQLite\ICQLite.exe -trayboot
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)

achja ich hab schon alles was ihr gesagt habt ausprobiert aber die startseite kam immer wieder!! ich hoffe ihr könnt mir helfen

#10 Fix bitte das:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINDOWS\System32\nfgmbb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINDOWS\System32\nfgmbb.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINDOWS\System32\nfgmbb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINDOWS\System32\nfgmbb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINDOWS\System32\nfgmbb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINDOWS\System32\nfgmbb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {27652CCD-E961-4DBC-970A-FBE090A28FB8} - F:\WINDOWS\System32\nfgmbb.dll
O2 - BHO: (no name) - {7D8069E3-A3B2-4E62-AD12-DA5FB21FB885} - F:\WINDOWS\System32\nfgmbb.dll
O2 - BHO: (no name) - {8E67175D-7DF7-4B58-9DDC-BF6EF3C6B81B} - F:\WINDOWS\System32\nfgmbb.dll

starte neu und poste ein neues Log(beim jetzigen scheint was zu fehlen z.B. die "O16" und ein paar "O4" Eintraege). Du solltest auch schleunigst mal www.windowsupdate.com besuchen.
__________
MfG Ralf
SEO-Spam Hunter

#11 @URMEL
Du solltest dir auch mal einen Virenscanner zulegen, http://www.free-av.com
MFG
DAFRA

#12 Der ist schon installiert:

F:\Programm\AVPersonal\AVGUARD.EXE
F:\Programm\AVPersonal\AVWUPSRV.EXE

nur ist das Log nicht komplett. Wo immer das dran liegen mag. Vieleicht ollte er das Log mal im abgesicherten Modus erstellen!?
__________
MfG Ralf
SEO-Spam Hunter

#13 Ah ne weil ich hab bei "04" geguckt und da war keiner.
Ja stimmt, da fehlt so einiges. Im Abgesicherten Modus ist ne gute Idee. Aber eigentlich sollte das "normalerweise" auch ohne gehen !?!
Oder er hat selbst so en bischen schon gefixt....

MFG
DAFRA

#14 Es koennte daran liegen, das der Internetexplorer gerade gestartet zu sein scheint, und so auch der Hijacker aktiv ist. Das ist aber nur so eine Vermutung
__________
MfG Ralf
SEO-Spam Hunter

#15 Mich hat es leider auch erwischt mit dieser Startseite.
Ich trau' mich nicht einfach irgend etwas zu fixen.
Wer kann mir helfen? Im Voraus vielen Dank.
So sieht das Logfile aus:

Logfile of HijackThis v1.97.7
Scan saved at 19:17:47, on 09.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\ahead\InCD\InCD.exe
C:\T-Online\BSW4\ISDN SpeedManager\Tomcat.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\CK Software\CK Popup Killer\PKILL.EXE
C:\WINDOWS\System\svchost.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\MDM.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Daten\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gkpl.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gkpl.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\gkpl.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\gkpl.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\gkpl.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\gkpl.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer für Herbert Leier
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.lycos.de/
O2 - BHO: (no name) - {C24DFE31-AD53-47FB-9F17-6EEC58DA9B79} - C:\WINDOWS\System32\gkpl.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] c:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\T-Online\BSW4\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [Gebuehrenzaehler] C:\Programme\pics\Geb_Zahl.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [CK POPUP KILLER] C:\Programme\CK Software\CK Popup Killer\PKILL.EXE -hide
O4 - HKCU\..\Run: [OnlineTimer Pro] C:\Programme\OnlineTimer Pro\Ontime.exe
O4 - HKCU\..\Run: [Downloadspeed] C:\Programme\Downloadspeed\DownloadSpeed.EXE
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\svchost.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{782989DD-4B9B-4052-AA10-942C73E4648C}: NameServer = 192.168.1.1

MfG wavemaster