| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: browserhijackingWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
28.11.2004, 12:08
| #1 |
| |  browserhijacking Hi! Ich habe ein Problem mit meinem Rechner... Ich denke, dass ich nen Virus drauf habe, etwas größeres... nen Trojaner oder so... leider habe ich nicht so viel Ahnung von Viren, daher wende ich mich an euch... Soweit ich das sehe hat der Virus mein Norton Antivirus lahmgelegt und auch beim Ad-Aware hat er seine Hände im Spiel, sodass mein PC abstürzt, sobald ich das Programm öffne... Der Virus macht sich dadurch bemerkbar, dass ich manche Seiten (zB Ebay und auch ICQ) nicht öffnen kann, bzw. dass sich ein Spywarefenster öffnet... ich habe euch hier mein Log drunterkopiert... ich hoffe, dass ihr mir helfen könnt...... ich weiß echt nicht mehr, was ich machen soll.... DANKE!!! Christian Logfile of HijackThis v1.98.2 Scan saved at 11:11:40, on 28.11.04 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\STARTER.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\WINDOWS\SYSTEM\HPZTSB05.EXE C:\WINDOWS\SYSTEM\43DTY4UB8KKTHD.EXE C:\WINDOWS\SYSTEM\CFXNCU6EZ1D6.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\WBEM\CIMOM.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=32715 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=32715 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/sp.htm?id=32715 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=32715 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\BMIIIBA.DLL/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=32715 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\BMIIIBA.DLL/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://win-eto.com/hp.htm?id=32715 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\MB37M1~1.DLL O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\YCOMP5_3_18_0.DLL O3 - Toolbar: My &Quick Search - {0E677229-E309-4341-81BD-3CC3018BF5B3} - C:\PROGRAMME\MYQUICKSEARCH\BAR\1.BIN\MQSBAR.DLL O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [SystemTray] SysTray.ExE O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb05.exe O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\SYSTEM\43DTY4UB8KKTHD.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPROXY.EXE O4 - HKLM\..\RunServices: [SndSrvc] C:\PROGRA~1\GEMEIN~1\SYMANT~1\SNDSRVC.EXE O4 - HKCU\..\Run: [romahere3] C:\WINDOWS\SYSTEM\CFXNCU6EZ1D6.EXE O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) O9 - Extra button: Microsoft® JavaScript® Console - {92A087C0-A0D2-11D8-8A67-444553540000} - C:\WINDOWS\SYSTEM\COMDLG32.OCX O9 - Extra 'Tools' menuitem: JavaScript Console - {92A087C0-A0D2-11D8-8A67-444553540000} - C:\WINDOWS\SYSTEM\COMDLG32.OCX O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU) O9 - Extra button: Microsoft® JavaScript® Console - {92A087C0-A0D2-11D8-8A67-444553540000} - C:\WINDOWS\SYSTEM\COMDLG32.OCX (HKCU) O9 - Extra 'Tools' menuitem: JavaScript Console - {92A087C0-A0D2-11D8-8A67-444553540000} - C:\WINDOWS\SYSTEM\COMDLG32.OCX (HKCU) O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU) O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\PLUGINS\nppcaplg.dll O12 - Plugin for .pcg: C:\PROGRA~1\INTERN~1\PLUGINS\nppcgplg.dll O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll O15 - Trusted Zone: *.greg-search.com O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.comp...of5_3_18_0.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm10.chm::/ieloader.exe O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab |
|
28.11.2004, 12:34
| #2 |
| | browserhijacking kann mir denn keiner helfen hier?
__________________ |
|
28.11.2004, 12:39
| #3 |
| | browserhijacking es hat sich grad ein dos-fenster geöffnet...
__________________da steht, dass ne datei vom bloodhound.exploit6 vorus befallen ist.... |
|
28.11.2004, 12:49
| #4 |
  | browserhijacking Hallo Arin, bitte überprüfe mit virusscan.jotti.dhs.org: C:\WINDOWS\SYSTEM\43DTY4UB8KKTHD.EXE C:\WINDOWS\SYSTEM\CFXNCU6EZ1D6.EXE C:\WINDOWS\SYSTEM\WBEM\CIMOM.EXE teile uns das Ergebnis der Überprüfung mit. Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken): R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=32715 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=32715 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://win-eto.com/sp.htm?id=32715 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\BMIIIBA.DLL/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://win-eto.com/sp.htm?id=32715 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\BMIIIBA.DLL/sp.html (obfuscated) O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU) O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU) O15 - Trusted Zone: *.greg-search.com O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!h**p://greg-tut.com/G7/chm10.chm::/ieloader.exe O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - h**p://www.xxxtoolbar.com/ist/softw...006_regular.cab wenn Du diese Einträge nicht kennst/brauchst, bitte ebenfalls fixen: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://win-eto.com/hp.htm?id=32715 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://keyword.de.netscape.com/keyword/%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = h**p://win-eto.com/hp.htm?id=32715 O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\MB37M1~1.DLL O3 - Toolbar: My &Quick Search - {0E677229-E309-4341-81BD-3CC3018BF5B3} - C:\PROGRAMME\MYQUICKSEARCH\BAR\1.BIN\MQSBAR.DLL boote in den normalen Modus. lösche, wenn Du diese Prozesse nicht brauchst: MB37M1~1.DLL MQSBAR.DL Aktiviere die Systemwiederherstellung. Lade Dir den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte dazu die Anleitung. Du musst nun einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Teile uns aus der "mwav.log" NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen die Viren, wieviele Viren wurden gelöscht, wieviele Dateien umbenannt? Erstelle ein weiteres Hijack This Logfile und poste es. SD |
|
28.11.2004, 13:21
| #5 |
| | browserhijacking C:\WINDOWS\SYSTEM\43DTY4UB8KKTHD.EXE = Infected Malware C:\WINDOWS\SYSTEM\CFXNCU6EZ1D6.EXE = Infected Malware C:\WINDOWS\SYSTEM\WBEM\CIMOM.EXE = OK |
|
28.11.2004, 13:57
| #6 | |
| Administrator, a.D.  | browserhijackingZitat:
__________________ --> browserhijacking |
|
| Themen zu browserhijacking |
| ad-aware, antivirus, antivirus scan, askbar, bho, ebay, explorer, helfen, hijack, hijackthis, internet, internet explorer, internet security, mein log, meinem, monitor, nicht öffnen, obfuscated, object, pc abstürz, problem, programm, registry, rundll, security, seiten, software, symantec, system, temp, trojaner, viren, virus, windows, windows\temp |
Linear-Darstellung
