Hallo,

ich habe folgendes Problem. Ich habe einen Hijacker in AOL 9.0 und im Internet Explorer, den ich nicht mehr wegkrieg.

Ich habe bereits Spybot, Ad-Aware und Hijack This ausprobiert. Die haben zwar alle eine Menge gefunden, aber nicht das was den Fehler verursacht.

Es öffnet sich so eine komische "Find the Web" Seite und ein PopUp (beim IE) beim AOL-Browser sind es gleich 30 Popups gewesen.

Nachdem ich CWShredder genutzt habe, war es weg. Dann nach ein paar neustarts war die Startseite wieder da. Dann wieder ausgeführt und weiter gearbeitet. Danach wieder da.
Dann Laptop über nacht ausgemacht, heute morgen wieder an - auf einmal ist Links beim IE so eine Toolbar mit "Find the Web page containing"

Was soll ich noch tun?

In CWShredder löscht er nur eine Datei: CWS.Searchx

Habe auch bereits euer Tool ausprobiert Hijack Fixer. Allerdings ohne Erfolg, nach einem Neustart ist es wieder da.

Habe Ihn jetzt noch einmal gestartet, allerdings läuft er irgendwie seit 15 Minuten schon durch...

Ich hoffe ihr könnt mir weiterhelfen, ich weiss nicht mehr weiter und verzweifle hier!

Gruss Markus

@mp244
Bitte lade von www.hijackthis.de die aktuelle Version von HJT herunter, erstelle den Log-File, werte ihn ebd. aus.
Die Einträge, die bei der automatischen Auswertung mit , oder vermerkt werden, aufzeichnen und die konkretten Fragen zu diesen Einträgen hier stellen

Hallo,

ich poste mal das log.... ist wohl einfacher. Ich habe zwar gehört, dass DLLs betroffen sein können, bin mir aber nicht sicher welche das genau sind.

Logfile of HijackThis v1.99.0
Scan saved at 11:18:03, on 06.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4CDE9FC1-504D-4C47-B03F-6D3A8E8395D4} - C:\WINDOWS\System32\kampa.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\AOLSP Scheduler.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {C40F8F85-3FC3-4C0C-AD91-6A204FAAD59F} (UCInstall Class) - http://ultimatecleaner.com/install/UCInst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9EF8D71-765B-4319-A88A-C67887F4ABA1}: NameServer = 192.168.0.1
O18 - Filter: text/html - {5ADEC064-B0EC-4D5B-AC39-391CF271F73E} - C:\WINDOWS\System32\kampa.dll
O18 - Filter: text/plain - {5ADEC064-B0EC-4D5B-AC39-391CF271F73E} - C:\WINDOWS\System32\kampa.dll
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AOL Privacy Protection Service - Unknown - C:\PROGRA~1\GEMEIN~1\aol\AOLPRI~1\\aolserv.exe
O23 - Service: AVK Service - Unknown - C:\Programme\Virenschutz\AVKService.exe
O23 - Service: G DATA Virenschutz Wächter - Unknown - C:\Programme\Virenschutz\AVKWCtl.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Hallo,

die gleiche Vorgehensweise, ausser Lsp-Fix, wie hier beschrieben -> http://www.trojaner-board.de/showthread.php?t=13310

Fixe:

Alle R0 und R1
O2 - BHO: (no name) - {4CDE9FC1-504D-4C47-B03F-6D3A8E8395D4} - C:\WINDOWS\System32\kampa.dll
Alle O16
O18 - Filter: text/html - {5ADEC064-B0EC-4D5B-AC39-391CF271F73E} - C:\WINDOWS\System32\kampa.dll
O18 - Filter: text/plain - {5ADEC064-B0EC-4D5B-AC39-391CF271F73E} - C:\WINDOWS\System32\kampa.dll

Lösche diese Dateien:
C:\WINDOWS\System32\kampa.dll
C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\sp.dll

@mp244

Zitat:

ich poste mal das log.... ist wohl einfacher.

Für wenn?

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

System ungepatcht -> erhöhtes Sicherheitsrisiko.
Alles anderes nach dem Posting von Cidre.

Hallo,

also ich habe jetzt mal alles so gemacht. Bei escan hat er ein paar Dateien gefunden, die versucht sind, ich mir aber unsicher bin ob es nicht Dateien sind die ich für Windows brauche:

C:\WINDOWS\System32\iglb.dll
und Jitimm.exe

Gruss Markus

Diese Dateien gehören sicher nicht zu Windows. Als was wurden sie identifiziert?