Machtlos gegen Browser Hijacking... |
Willkommen, Gast ( Anmelden | Registrierung )
Machtlos gegen Browser Hijacking... |
Gast_temp_* |
04.07.2004, 09:58
Beitrag
#1
|
Gäste |
Hallo Leute
Nun hab auch ich mir einen Hijacker eingefangen. Dummerweise schaffen es auch die bei "Erste Hilfe bei Browser Hijackern (updatet)" angegebenen Programme nicht, den Hijacker zu entfernen. Ad-Aware 6 findet kurze Zeit nach einem Durchlauf mit allen angegebenen Programmen erneut diverse Einträge: ArchiveData(auto-quarantine- 04-07-2004 10-26-16.bckp) ====================================================== POSSIBLE BROWSER HIJACK ATTEMPT ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ obj[0]=RegData : Software\Microsoft\Internet Explorer\Main obj[1]=RegData : Software\Microsoft\Internet Explorer\Main obj[2]=RegData : Software\Microsoft\Internet Explorer\Main obj[3]=RegData : Software\Microsoft\Internet Explorer\Main obj[4]=RegData : Software\Microsoft\Internet Explorer\Search obj[5]=RegData : Software\Microsoft\Internet Explorer\Main obj[6]=RegData : Software\Microsoft\Internet Explorer\Main obj[7]=RegData : Software\Microsoft\Internet Explorer\Search COOLWEBSEARCH ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ obj[8]=RegKey : CLSID\{58AB48BB-58A7-4D47-92F2-1229BD520A7E} obj[9]=RegKey : CLSID\{AF7E4DAA-B09A-46E1-AED5-956372696920} obj[10]=RegKey : PROTOCOLS\Filter\text/html obj[11]=RegKey : PROTOCOLS\Filter\text/plain obj[12]=RegKey : SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{58AB48BB-58A7-4D47-92F2-1229BD520A7E} obj[13]=RegValue : Software\Microsoft\Internet Explorer\Toolbar\WebBrowser obj[14]=File : c:\windows\system32\iibeka.dll obj[25]=File : c:\temp\sp.html Ein darauf folgender Durchlauf mit Spybot Search & Destroy zeigt: DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-2018075083-3923006008-1409243687-1138\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 Wenn ich nun CWShredder updaten will heisst es nur folgendes: Current version: CWShredder v1.59.0 Connecting... Fetching CWShredder update information from merijn.org... Unable to retrieve CWShredder update information. The server might be unavailable, try again later. Fetching CWShredder update information from spywareinfo.com... Unable to retrieve CWShredder update information. The server might be unavailable, try again later. Lasse ich CWShredder ohne update laufen, meldet er mir bei fast allen Einträgen "not present". Beim Punkt "Restoring Internet Explorer pages" meldet er "none infected", bei "Restoring hidden IE Options tabs" sowie bei "Removing hosts file redirections" "not infected". HijackThis generiert darauf folgende Liste: Logfile of HijackThis v1.98.0 Scan saved at 10:46:38, on 04.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\VMware\Programs\vmware-authd.exe C:\WINDOWS\System32\vmnetdhcp.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Opera\opera.exe C:\WINDOWS\system32\rundll32.exe E:\Download\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe, O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [hcwPVRReset] C:\PROGRA~1\WinTV\hcwP1Utl.exe -Quiet -ResetHardware -NotifyResetFailure -KeepTrying O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\System32\mstask.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll Kann mir jemand sagen wie ich den Hijacker entfernen kann? Bin für jede Hilfe dankbar[FONT=Arial][SIZE=7] |
|
|
04.07.2004, 10:17
Beitrag
#2
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
Hmm, ich seh erstmal keinen Hijacker in dem Log! Welche Seite wird denn angezeigt ?
Das kannst Du übrigens fixen, ist unnötig: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) -------------------- (-- Roman --)
|
|
|
Gast_temp_* |
04.07.2004, 12:26
Beitrag
#3
|
Threadersteller Gäste |
Die folgende Seite wird angezeigt
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank egal wie oft ich die Programme ausführe, kurze Zeit später ist diese Seite wieder als Standard-Seite im IE festgelegt... |
|
|
04.07.2004, 13:27
Beitrag
#4
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Mal bitte mit der neusten CWshredder Version versuchen:
http://www.allsecpros.com/#cws BZW: nutz mal den und sage, ob es was findet: ftp://ftp.kaspersky.com/utils/clrav.com -------------------- MfG Ralf
|
|
|
Gast_temp_* |
04.07.2004, 13:52
Beitrag
#5
|
Threadersteller Gäste |
hat nichts gebracht, kurz darauf sind die oberen Einträge wieder vorhanden...
|
|
|
04.07.2004, 13:55
Beitrag
#6
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Hat der Kaspersky Cleaner etwas gefunden? und Poste bitte ein aktuelles Log.
Das hast du auch schon durch? http://www.wilderssecurity.com/showpost.ph...16&postcount=27 -------------------- MfG Ralf
|
|
|
Gast_temp_* |
05.07.2004, 15:53
Beitrag
#7
|
Threadersteller Gäste |
Ich konnte den Hijacker nun enfernen. Ist mir gelungen mit eurem Programm:
http://www.rokop-security.de/main/article.php?sid=746 Danke für eure Hilfe |
|
|
15.07.2004, 10:43
Beitrag
#8
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 2 Mitglied seit: 15.07.2004 Mitglieds-Nr.: 1.219 |
Hallo zusammen,
habe mir auch den bl.... Hijacker gefangen.... Leider läuft das Programm zum entfernen bei mir nicht Ich hab W2k Server bei mir am laufen, irgendein Tip warum das Programm SpHifix nicht will ?!? |
|
|
15.07.2004, 11:14
Beitrag
#9
|
|
Orakel-Profi Gruppe: Freunde Beiträge: 5.200 Mitglied seit: 07.12.2003 Wohnort: Weiden (Oberpfalz) Mitglieds-Nr.: 256 Betriebssystem: Linux Mint 17.1 |
Der Cleaner funktioniert nicht bei allen SP-Varianten.
Gehe doch mal bitte diese Anweisungen durch und poste anschließend in einem neuen Thread ein HJT-Logfile. -------------------- Grüße, Jörg
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 16.06.2024, 05:02 |