Machtlos gegen Browser Hijacking... Einstellungen

[Gast_temp_*]

Hallo Leute

Nun hab auch ich mir einen Hijacker eingefangen. Dummerweise schaffen es auch die bei "Erste Hilfe bei Browser Hijackern (updatet)" angegebenen Programme nicht, den Hijacker zu entfernen. Ad-Aware 6 findet kurze Zeit nach einem Durchlauf mit allen angegebenen Programmen erneut diverse Einträge:

ArchiveData(auto-quarantine- 04-07-2004 10-26-16.bckp)
======================================================

POSSIBLE BROWSER HIJACK ATTEMPT
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[0]=RegData : Software\Microsoft\Internet Explorer\Main
obj[1]=RegData : Software\Microsoft\Internet Explorer\Main
obj[2]=RegData : Software\Microsoft\Internet Explorer\Main
obj[3]=RegData : Software\Microsoft\Internet Explorer\Main
obj[4]=RegData : Software\Microsoft\Internet Explorer\Search
obj[5]=RegData : Software\Microsoft\Internet Explorer\Main
obj[6]=RegData : Software\Microsoft\Internet Explorer\Main
obj[7]=RegData : Software\Microsoft\Internet Explorer\Search

COOLWEBSEARCH
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[8]=RegKey : CLSID\{58AB48BB-58A7-4D47-92F2-1229BD520A7E}
obj[9]=RegKey : CLSID\{AF7E4DAA-B09A-46E1-AED5-956372696920}
obj[10]=RegKey : PROTOCOLS\Filter\text/html
obj[11]=RegKey : PROTOCOLS\Filter\text/plain
obj[12]=RegKey : SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{58AB48BB-58A7-4D47-92F2-1229BD520A7E}
obj[13]=RegValue : Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
obj[14]=File : c:\windows\system32\iibeka.dll
obj[25]=File : c:\temp\sp.html


Ein darauf folgender Durchlauf mit Spybot Search & Destroy zeigt:

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-2018075083-3923006008-1409243687-1138\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3


Wenn ich nun CWShredder updaten will heisst es nur folgendes:

Current version: CWShredder v1.59.0
Connecting...
Fetching CWShredder update information from merijn.org...
Unable to retrieve CWShredder update information. The server might be unavailable, try again later.

Fetching CWShredder update information from spywareinfo.com...
Unable to retrieve CWShredder update information. The server might be unavailable, try again later.

Lasse ich CWShredder ohne update laufen, meldet er mir bei fast allen Einträgen "not present". Beim Punkt "Restoring Internet Explorer pages" meldet er "none infected", bei "Restoring hidden IE Options tabs" sowie bei "Removing hosts file redirections" "not infected".


HijackThis generiert darauf folgende Liste:

Logfile of HijackThis v1.98.0
Scan saved at 10:46:38, on 04.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\VMware\Programs\vmware-authd.exe
C:\WINDOWS\System32\vmnetdhcp.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Opera\opera.exe
C:\WINDOWS\system32\rundll32.exe
E:\Download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [hcwPVRReset] C:\PROGRA~1\WinTV\hcwP1Utl.exe -Quiet -ResetHardware -NotifyResetFailure -KeepTrying
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\System32\mstask.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll


Kann mir jemand sagen wie ich den Hijacker entfernen kann? Bin für jede Hilfe dankbar[FONT=Arial][SIZE=7]

[Rokop]

Hmm, ich seh erstmal keinen Hijacker in dem Log! Welche Seite wird denn angezeigt ?

Das kannst Du übrigens fixen, ist unnötig:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

[Gast_temp_*]

Die folgende Seite wird angezeigt

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

egal wie oft ich die Programme ausführe, kurze Zeit später ist diese Seite wieder als Standard-Seite im IE festgelegt...

[raman]

Mal bitte mit der neusten CWshredder Version versuchen:
http://www.allsecpros.com/#cws
BZW: nutz mal den und sage, ob es was findet:
ftp://ftp.kaspersky.com/utils/clrav.com

[Gast_temp_*]

hat nichts gebracht, kurz darauf sind die oberen Einträge wieder vorhanden...

[raman]

Hat der Kaspersky Cleaner etwas gefunden? und Poste bitte ein aktuelles Log.
Das hast du auch schon durch?
http://www.wilderssecurity.com/showpost.ph...16&postcount=27

[Gast_temp_*]

Ich konnte den Hijacker nun enfernen. Ist mir gelungen mit eurem Programm:

http://www.rokop-security.de/main/article.php?sid=746

Danke für eure Hilfe

[joschy]

Hallo zusammen,
habe mir auch den bl.... Hijacker gefangen....
Leider läuft das Programm zum entfernen bei mir nicht
Ich hab W2k Server bei mir am laufen, irgendein Tip warum das Programm SpHifix
nicht will ?!?

[Joerg]

Der Cleaner funktioniert nicht bei allen SP-Varianten.
Gehe doch mal bitte diese Anweisungen durch und poste anschließend in einem neuen Thread ein HJT-Logfile.