Bitte um Rat! Startseite wird ständig geändert!

Liebe Forummitglieder,


Für viele von euch wohl ein altbekanntes Problem. Jedes Mal, wenn ich den Browser öffne, wird die Seite:

res://dwjmf.dll/index.html#96676

als Startseite angezeigt. Ändern bei den Internetoptionen ist zwecklos.
Nachdem ich mich in eurem Forum (etwas) schlau(er) gemacht habe, habe ich mir den Hijackthis runtergeladen und einen scan durchgeführt.

Nur weiss ich nun nicht, welche Dateien ich löschen/fixen soll.

Ich habe selbst einen Versuch gestartet und sämtliche Dateien mit dwjmf.dll drin gelöscht. Das hat aber nicht ausgereicht. Diese ***Seite kommt immer wieder!

Was ist zu tun! Wäre euch riesig dankbar für eine Durchsicht meines Scans und um eine kurze Erklärung, was ich zu tun bzw. zu löschen habe. Danke!!!


Scan:

Logfile of HijackThis v1.97.7
Scan saved at 01:48:34, on 24.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\systj.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\apidk.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\LeechGet 2004\LeechGet.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Manuel\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis1977.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\dwjmf.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://dwjmf.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://dwjmf.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\dwjmf.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://dwjmf.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\dwjmf.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.euro.dell.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6346C5AD-FF9C-DA8A-986F-964A6CD08962} - C:\WINDOWS\winwo32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [sysad32.exe] C:\WINDOWS\system32\sysad32.exe
O4 - HKLM\..\Run: [apidk.exe] C:\WINDOWS\apidk.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

8800 Treffer bei Google für 'IE Startseite ändert sich'. Was meinst Du, ist Dein Problem eine neue Variante oder hast Du nur keine Lust, die Hijack-Latte abzuarbeiten? Irgendwann solltest Du es lernen.

 

Hmm, du kommst mit deinem Log-file zu einem denkbar ungünstigen Zeitpunkt. Wenn du dich hier ein wenig umsiehst, wirst du merken, dass das Forum gerade voll und ganz damit beschäftigt ist, langsamen Selbstmord zu begehen.

Ich fürchte daher, dass im Augenblick niemand den Nerv hat, mit dir in aller Gemütsruhe deinen Hijacker zu entfernen.

Ich selbst fixe sehr ungerne in irgendwelchen HJT-Logs rum, wenn ich nicht selbst an der Kiste des Betroffenen sitze, weil ich erstens nicht weiß, was sich die Leute wissentlich installiert haben und zweitens bringt das nichts. Wenn man schon so blauäugig ist, mit unsicheren Einstellungen bzw. einem unsicheren Browser rumzusurfen, dann schadet es nichts, wenn man sich selbst mal schlau macht.

Übrigens würde ich mir mal die Datei C:\WINDOWS\systj.exe genauer ansehen. Was ist das? Ist das mit deiner Genehmigung auf der Platte? Hast du vor deiner Fix- und Lösch-Aktion die Systemwiederherstellung deaktiviert? Hast du im abgesicherten Modus gelöscht?

 

@ Zürcher

Laß mal alle Einträge mit R0 und R1 von HijackThis im abgesicherten Modus fixen.

Kannst du die folgenden Dateien irgendwelchen Programmen zuordnen?

C:\WINDOWS\systj.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\System32\DSentry.exe
C:\WINDOWS\apidk.exe

Gruß
Nevok

 

Ich würde ja auch gerne helfen aber aufgrund diverser Bugs der Forumssoftware kann ich vile der Zeilen vom HJT-Log nicht vollständig lesen .
Standardtips :
Antivirenprogramm aktualisieren und durchlaufen lassen + evtl mal ein zweites Programm z.B. http://www.free-av.de probieren .
Spybot 1.3 - http://www.spybot.info - und Ad-Aware6 - http://www.lavasoft.de - installieren + aktualisieren + immunisieren (Spybot) und dann suchen lassen .
Der CWShredder kann auch nützlich sein - aktuell 1.59

 

@Nevok

Danke für den Tip. Im habe das versucht und alle RO und R1 gefixt. Leider ist damit das Problem nicht behoben. Die dämliche Startseite zeigt sich hartnäckig.

Was die vier Dateien anbelangt:


C:\WINDOWS\systj.exe

Keine Ahnung, was das ist. Aber es wurde erst am 16. Juni 04 erstellt. Von dem her könnte es gut sein, dass dieses Programm ein Uebeltäter ist.

C:\WINDOWS\system32\dla\tfswctrl.exe

Das gehört wohl zum CD-Brenner-Programm.

C:\WINDOWS\System32\DSentry.exe

Dabei handelt es sich um eine vom Hersteller (Dell) draufgepackte Datei aus dem 2003. Von dem her wohl unverdächtig.

C:\WINDOWS\apidk.exe

Das Ding ist seit 17. 6. 04 drauf. Das hat wohl meine bessere Hälfte eingefangen. Ist nur 30 Kb gross.


Zum Schluss noch das: Ich muss ehrlich gesagt zugeben, dass ich schon etwas im Trüben fische bezüglich dieser ganzen Hijacker-Thematik. Ich wollte einfach einen Rat von jemandem hören, der damit mehr Erfahrung hat als ich (und das werden nicht wenige sein), bevor ich da was rumfixe. Im Zweifelsfalle kann ich auch mit der idiotischen Startseite leben...

Gruss, Zürcher

 

Lass die verdächtigen Dateien bei Kapersky online überprüfen.

http://www.kaspersky.com/de/remoteviruschk.html

Es besteht Trojanerverdacht bei dir. Sollte sich das bestätigen, die verdächtigen Datei im abgesicherten Modus löschen bzw. umbenennen. Vorher sollte die Systemwiederherstellung deaktiviert werden.
Danch solltest du u.U.dein System neu aufsetzen und vor dem ersten Start ins Netz richtig konfigurieren.
http://www.rokop-security.de/main/article.php?sid=703
http://schad.dyndns.org/index.php/Kompromittierung
http://www.ntsvcfg.de/

Gruß

 

Du solltest die verdächtigen Dateien bei Kapersky online untersuchen lassen:
http://www.kaspersky.com/de/remoteviruschk.html

Bestätigt sicher der Verdacht auf einen Trojaner, die entspr. Dateien im abgesicherten Modus löschen bzw. umbenennen. Die Systemwiederherstellung sollte vorher deaktiviert werden.

Sollte sicher mein Verdacht bestätigen, solltest du dir um eine Neuaufsetzen deines Systems (format:c) Gedanken machen.
Vor dem ersten Start ins Internet dein System sicher konfigurieren

Lies dazu:
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
http://oschad.info/wiki/index.php/Kompromittierung
http://www.ntsvcfg.de/

Gruß

 

Du solltest die verdächtigen Dateien bei Kapersky online untersuchen lassen:
http://www.kaspersky.com/de/remoteviruschk.html

Bestätigt sicher der Verdacht auf einen Trojaner, die entspr. Dateien im abgesicherten Modus löschen bzw. umbenennen. Die Systemwiederherstellung sollte vorher deaktiviert werden.

Sollte sicher mein Verdacht bestätigen, solltest du dir um eine Neuaufsetzen deines Systems (format:c) Gedanken machen.
Vor dem ersten Start ins Internet dein System sicher konfigurieren

Lies dazu:
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
http://oschad.info/wiki/index.php/Kompromittierung
http://www.ntsvcfg.de/

Gruß

 

Du solltest die verdächtigen Dateien bei Kapersky online untersuchen lassen:
http://www.kaspersky.com/de/remoteviruschk.html

Bestätigt sicher der Verdacht auf einen Trojaner, die entspr. Dateien im abgesicherten Modus löschen bzw. umbenennen. Die Systemwiederherstellung sollte vorher deaktiviert werden.

Sollte sicher mein Verdacht bestätigen, solltest du dir um eine Neuaufsetzen deines Systems (format:c) Gedanken machen.
Vor dem ersten Start ins Internet dein System sicher konfigurieren

Lies dazu:
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
http://oschad.info/wiki/index.php/Kompromittierung
http://www.ntsvcfg.de/

Gruß

 

Weiß leider nicht wie man hier im Forum vernünftig antworten soll.
Solange man die Software nicht im Griff hat, werde ich mich hier zurückhalten.
Schade.
Gruß

 

Du solltest die verdächtigen Dateien bei Kapersky online untersuchen lassen:
http://www.kaspersky.com/de/remoteviruschk.html

Bestätigt sicher der Verdacht auf einen Trojaner, die entspr. Dateien im abgesicherten Modus löschen bzw. umbenennen. Die Systemwiederherstellung sollte vorher deaktiviert werden.

Sollte sicher mein Verdacht bestätigen, solltest du dir um eine Neuaufsetzen deines Systems (format:c) Gedanken machen.
Vor dem ersten Start ins Internet dein System sicher konfigurieren

Lies dazu:
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
http://oschad.info/wiki/index.php/Kompromittierung
http://www.ntsvcfg.de/

Gruß

 

@Deniss und mr.b. :

Vielen Dank für eure Tipps! Habe einige davon ausprobiert (bzw. bin den Links gefolgt) und mittlerweile läuft mein System wieder stabil und v.a. ohne lästige Startseite!!

also nochmals vielen Dank für eure Hilfe!

Gruss, Zürcher