secure.html als Startseite - Hijack etc. hilft nicht!!

Hallo Zusammen,

man soll seinen Rechner nicht aus den Augen lassen - ein Bekannter surfte ein wenig auf Schmuddelseiten. Folge: Viren, Trojaner, Dialer - das volle Programm. Inkl. dem Virus lid.exe.

Alles mit Hijack this, Norton Antivirus, Spybot und ad-aware 6.0. erfolgreich vernichtet.

ABER: seither will der Explorer nach spätestens nem Neustart immer von C:\Windows\secure.html starten, selbst das direkte Löschen der Registryeinträge hilft nicht. Hijack löscht die Einträge, beim Scan gute 10 Sekunden danach ist alles wieder da?!?!?

Habe ja echt schon viel S****** erlebt, aber das hier ist echt der Hammer! Die Seite secure.html habe ich dummerweise schon gelöscht, sonst wäre das vielleicht noch ein Anhaltspunkt.

SOS!!!

???

Marco

versuch noch cwshredder, das tool kann auch einiges bereinigen...

greetz

hugo

Bekommst Du hier:
http://www.wintotal.de/Software/index.php?rb=31&id=1935

Hi,


leider hilft auch der Shredder nicht mehr - hab den Beitrag schon durchforstet und alles probiert.

Das echt komische ist ja, dass sich das Ding sofort wieder in die Reg schreibt. Hier der Log-File von Hijack:



Logfile of HijackThis v1.97.7
Scan saved at 12:14:17, on 24.01.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\dlm.exe
C:\WINDOWS\dlm.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Marco\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dlm.exe
O4 - HKLM\..\Run: [Dial33] C:\WINDOWS\dlm.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra->Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Add bid (HKCU)
O9 - Extra->Tools' menuitem: Add bid (HKCU)
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {8EDAD21C-3584-4E66-A8AB-EB0E5584767D} - http://toolbar.google.com/data/GoogleActivate.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -


Die Einträge für die IE Startseite kann ich fixen, sind aber wie gesagt ein paar Sekunden später wieder da...


???

O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dlm.exe
O4 - HKLM\..\Run: [Dial33] C:\WINDOWS\dlm.exe


Was ist das??????????????????????
Bei mir gibt es sowas nicht.......

hm.... Werd mir das Teil mal ansehen. Aber trotzdem muss ja ein Prozess ständig im Gange sein, der immer wieder die Reg ändert - oder sehe ich da was völlig falsch?

C:\WINDOWS\dlm.exe
benenn das doch mal um oder verschieb es an einen sicheren Ort.......und schau was passiert Oder versuch mal ein Dialerschutzprogramm
http://www.wintotal.de/Software/index.php?rb=11&id=970
http://www.wintotal.de/Software/index.php?rb=11&id=786

kannst Du mal in Deinem Taskmanager schauen, ob dort die dlm.exe läuft?

Bei mir läuft sowas nicht!
Und es muss auch etwas mit der Einwahl zu tun haben
manbemerke den Namen: [Dial32]
Wär die Frage, wie Du ins Netz gehst.........
Umbennen/verschieben sollte nichts kaputtmachen - kann man ja rückgängig machen

Zum Glück DSL flat, da brennt bisher nix an.

Und schau mal einer guck: dlm.exe beendet, in C: gelöscht, Einträge mit Hijack bearbeitet - es scheint wieder Ruhe zu herschen!!!

Noch ein Neustart und schon mal herzlichen Dank!!

dlm.exe hab ich auch nicht im taskmanager.... kommt mir sehr verdächtig vor.

würd ich mal beenden und umbenennen, dann neustart und sehen ob etwas nicht mehr läuft.

Und weg ist das Biest. ;D

dlm.exe, die 2 Mal läuft, dazu die Einträge, die bei Dir schon auf Skepsis stoßen...

Schon heftig, was unsere Freunde da so programmieren...


Danke & Gruss!

Dann bitte noch ( links unten!) als erledigt kennzeichnen - Danke :-*