|
Plagegeister aller Art und deren Bekämpfung: Browser Hijacking mit Opera ?!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
31.05.2004, 21:35 | #1 |
Browser Hijacking mit Opera ?! Guten Abend zusammen Ich benutze Opera 7.23 (imho die neuste deutsche version)und mir ist heute im verlauf des Tages etwas merkwürdiges über den weg gelaufen: ich wollte mir für ein pc game (wc3 tft) eine map ziehen und dies auf der page h**p://www.rtsgames.com allerdings schien mir die seite die ich unter diesem link erreicht habe nicht als die rts seite wie ich sie kannte - war sie auch nicht - im moment erreiche ich wieder eben diese seite , so wie es sich gehört gut hab mir dann erst mal noch nichts bei gedacht wollte mich eigneltlich morgen nochmal damit beschäftigen aber nun im verlauf des abends hat sich ein soundfile mehrmals abgespielt - genauen wortlaut hab ich mir leider nicht aufgeschrieben - das sich etwa so anhörte "das leben soll zugrunde gehen", in unregelmäßigen zeitabständen. Diese beiden Sachen zusammen ließen mich dann doch sehr stutzig werden hab erst mal mein hjt log durchsucht nichts gefunden (s.u.) danach spybot s&d laufen lassen ebenfalls nichts ich weiß nun auch nicht pb diese phänomene zusammenhängen oder nicht sie traten halt beide relativ schnell hintereinander auf an meinem pc habe ich in den letzten tagen einstellungsmäßig nichts geändert, außer ein softwarepaket von logitech installier (für die maus mx-510, die ich in den letzten tagen neu angeschlossen habe) Ich frage mich nun ob schon jemand erfahrung mit browser hijacking unter opera gemacht hat oder zu dem besagten problem mit dem soundfile etwas weiß und ob ich die anderen tools neben spybot auch laufne lassen sollte (adaware cws-schredder) oder ob die nur für den IE zuständig sind. hier das HjT log : Logfile of HijackThis v1.97.7 Scan saved at 22:30:32, on 31.05.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\SCardSvr.exe C:\WINNT\System32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\DRIVERS\CDANTSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\GEARSEC.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Progs\Norton\navapsvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\ZONELABS\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\MsPMSPSv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\sstray.exe C:\WINNT\system32\carpserv.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGS\ZONELA~1\ZONEAL~1\zlclient.exe C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Progs\Logitech\Mouseware\MouseWare\system\em_exec.exe C:\WINNT\system32\wuauclt.exe E:\Netprogs\teamspeak2_RC2\TeamSpeak.exe C:\Progs\Opera7\opera.exe C:\Progs\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Progs\Norton\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Progs\Norton\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGS\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [Mirabilis ICQ] E:\Netprogs\ICQ\ICQNet.exe O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [ATI Launchpad] C:\Progs\ATI Multimedia\main\launchpd.exe O4 - HKCU\..\RunOnce: [ICQ] E:\Netprogs\ICQ\ICQ.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &NeoTrace It! - E:\Netprogs\NEOTRA~1\NTXcontext.htm O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Download with GetRight - E:\Netprogs\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ATI TV (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: NeoTrace It! (HKCU) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/pub...ctor/swdir.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...032.5950578704 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab PS: Sehr schöner Artikel über das Browserhijacking unter IE [img]graemlins/daumenhoch.gif[/img] weiter so Lutz
__________________ Die Suchfunktion des Boards |
31.05.2004, 21:59 | #2 |
| Browser Hijacking mit Opera ?! Hi,
__________________das Log sieht sauber aus, wenn auch etwas überfüllt.. * wie hieß denn genau diese Datei, die du runtergeladen hast..? war die ausführbar bzw hatte sie eine potentiell gefährliche Endung ? Hast du die mal mit KAV & Trend gescannt ? |
01.06.2004, 06:16 | #3 |
Browser Hijacking mit Opera ?! Ja sie war ausführbar wie gesagt das softwarepaket der mx 510 (mw980deu.exe)
__________________heruntergeladen auf der offiziellen logitech seite h**p://www.logitech.com/index.cfm/downloads/software/AT/DE,CRID=1792,contentid=8027 (kein direkter dl link) und nein ich habe noch keinen scan durchlaufen lassen die zeit dazu hatte ich bisher noch nicht werde das aber im verlauf des tages nachholen edit: scans laufen lassen ergibnis der beiden scans waren 5 dateien im ordner "C:\Dokumente und Einstellungen\Olo\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar" alle soweit ich das überblicke noch in archiven und nicht ausgeführt da entsprechende spuren nich auf dem pc anzutreffen waren die beiden besagten phänomene traten bisher nicht wieder auf ich denk wir begraben das thema dann erstmal bis jemand etwas neues dazu findet bzw diese probleme hier wieder auftreten sollten mfg und danke Thomas [ 01. Juni 2004, 16:13: Beitrag editiert von: Olo ]
__________________ |
Themen zu Browser Hijacking mit Opera ?! |
adobe, antivirus, bho, browser, browser hijacking, dateien, download, drivers, excel, explorer, frage, hijackthis, hängen, icq, internet, internet explorer, log, maus, meinem, microsoft, nicht, object, opera, problem, programme, shockwave, sun java, symantec, system, teamspeak, unter, windows |