Supportnet / Forum / WindowsXP

hallo, ich habe mit hijackthis/ avast/cwshredder/search+destroy versucht, den hijacker zu löschen. ohne ergebnis. bekomme den bho und div. prefix nicht weg. komme auch nicht auf unterschiedliche seiten, die vom hijacker gesperrt werden. in der reg. habe ich auch schon rumgelöscht. hat bitte jemand einen tipp? danke im voraus.

Hi,
hilfreich wäre zu erfahren, um welche hijacker es sich handelt. Liste mal die Meldungen auf.

Gruß
Jan

Systemwiederherstellung deaktiviert und abgesicherten Modus benutzt?

Insbesondere 02 und 013 bekomme ich nicht weg:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bfrmw.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bfrmw.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bfrmw.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bfrmw.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bfrmw.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bfrmw.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bfrmw.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {B1B856A8-E2CF-6D0D-E2E2-6F519F010848} - C:\WINDOWS\wineh32.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ipaj.exe] C:\WINDOWS\ipaj.exe
O4 - HKLM\..\RunOnce: [bidgd] C:\WINDOWS\tsctv.ini:bidgd
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Oasis] regsvr32 /s "c:\Program Files\Oasis\oasis.dll"
O4 - Startup: ASE Scheduler.lnk = C:\Programme\Aluria Software\ASE\ASE Scheduler.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Preispiraten\preispiraten.exe
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F75659D-4F58-403F-A7DF-33ED364B61BF}: NameServer = 217.237.150.33 217.237.151.161

Hi!

Guggst du mal hier:

http://www.spiegel.de/netzwelt/technologie/0,1518,315883,00.html

und auch hier:

http://pcworld.com/downloads/file_description/0,fid,23611,00.asp

und tschüss

A2?

Das log ist nicht vollständig.

Hi Jan,

Du hast dir vermutlich eine "about blank" Variante gefangen (sieh mal den 3. R1 Eintrag.)
Vorgehensweise:
Systemwiederherstellung deaktivieren
Im abgesicherten Modus
alle Temporäre Ordner leeren
alle Cookies löschen
Adaware laufen lassen (Hijackereinträge löschen)
Hijack this laufen lassen (Eintrag zu abut blank fixen)
Noch mal Spybot dann
CW Shredder und adaware laufen lassen
Neustart im abgesicherten Modus.
Noch mal alles laufen lassen (adaware, Spybot, Hijack this und CWShredder.
Systemneustart.

Die entsprechenden Programme und Tools findest du hier: (Updaten nicht vergessen!)

http://www.trojaner-info.de/hijacker/entfernung.shtml

http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

Gruß Anno

Rückmeldung wäre nett.

@ anno

habe mir das alles mal durchgelesen, systemwiederherstellung ist deaktiviert.

noch eine dumme frage: wie komme ich in den abges. modus? mit f8 komme ich nur zu 1st boot device (disk/cd etc., aber kein abges. modus)
habe mir auch mal nach dem artikel sphjfix runtergeladen. sagt mir aber "keine infizierung"...tolles programm...

Dann nimm mal F5, neustarten, F5, Finger so lange drauf lassen bis der Auswahlbildschirm kommt.

Das sollte auch mit F8 gehen, scheinst aber im Bios zu sein.

habe jetzt einen umweg herausgefunden: über "msconfig" unter reiter boot.ini.
habe im abgesicherten modus search+destroy laufen lassen: dieses mal (nicht wie sonst) ist gar nichts gefunden worden. im normalen modus habe ich immer nich den hijacker drauf...

Adaware und Hijackthis auch.

Fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bfrmw.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bfrmw.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bfrmw.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bfrmw.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bfrmw.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bfrmw.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bfrmw.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:

O2 ist unklar, von welchem Programm das BHO stammt und ob es unbedingt weg muß.

Dann nochmal checken.

wie gesagt: habe all diese einträge mit hjt gefixt. das bho kommt jedoch immer wieder und alle 013 kommen auch wieder(nicht zu löschen)....

versuche es mal mit eScan
http://www.rokop-security.de/board/index.php?showtopic=3867

Hallo!!

haste schon bei www.symantec.de nachgesehen? da gibt es auch für den hijacker ein entfernungsprogramm....

Hi!

Wenn ihr den Artikel bei spiegel.de gelesen hättet, hättet ihr gewußt, daß Hijackthis diesen Hijacker nicht entfernen kann da dieses Programm nicht weiterentwickelt wird und ihr hättet auch den Link zu einem Programm gesehen mit dem es angeblich noch möglich ist diesen Hijacker zu entfernen.
Falls nicht, dann viel Spaß beim Neuinstallieren!

und tschüss

macm,
falls Du Online bist, komm mal in den chat. Ich habe noch Programminformationen für Dich. Hier schreibt man sich sonst tot.

Jan

Hallo
Habe dank unten aufgeführter Antwort, meine "about blank" Seite, nach ca.1 Monat endlich losbekommen!
(Ich habe das Icon, unten 2. von links, für eine komplette Suche genommen!)

Danke an
alina9898 und das Forum

@ uwe,

hab ich auch schon probiert mit adaware away. ich hab das programm seit 6 tagen und schon muss ich mich registrieren lassen, sonst läuft das programm nicht mehr.

@ lokalhorst: hab ich gelesen, und wie oben geschrieben, auch das empfohlene programm installiert. ging jedoch auch nicht!

scheint wohl eine langwierige sache zu werden...

Und die Systemwiederherstellung war deaktiviert?

Kannst auch mal die Variante versuchen(im abgesicherten Modus):

Alles fixen, anschließend einen Wiederherstellungspunkt erstellen mit beliebigem Namen, über die Datenträgerbereinigung alle Wiederherstellungspunkte außer dem letzten löschen, neu starten, checken.

Escan auch mal benutzt?

@uwei

habe eben mal escan benutzt...war eine intensive prüfung. beim rebooten habe ich den hj nicht mehr....aber mal sehen wie lange noch..werde euch informieren (spätestens wenn er wieder da ist)

• footer entfernen
• Programme entfernen
• Ordner entfernen ?