Guten Abend zusammen

Ich benutze Opera 7.23 (imho die neuste deutsche version)und mir ist heute im verlauf des Tages etwas merkwürdiges über den weg gelaufen:
ich wollte mir für ein pc game (wc3 tft) eine map ziehen und dies auf der page h**p://www.rtsgames.com

allerdings schien mir die seite die ich unter diesem link erreicht habe nicht als die rts seite wie ich sie kannte - war sie auch nicht - im moment erreiche ich wieder eben diese seite , so wie es sich gehört

gut hab mir dann erst mal noch nichts bei gedacht
wollte mich eigneltlich morgen nochmal damit beschäftigen
aber nun im verlauf des abends hat sich ein soundfile mehrmals abgespielt - genauen wortlaut hab ich mir leider nicht aufgeschrieben - das sich etwa so anhörte "das leben soll zugrunde gehen",
in unregelmäßigen zeitabständen.
Diese beiden Sachen zusammen ließen mich dann doch sehr stutzig werden
hab erst mal mein hjt log durchsucht nichts gefunden (s.u.)
danach spybot s&d laufen lassen ebenfalls nichts

ich weiß nun auch nicht pb diese phänomene zusammenhängen oder nicht sie traten halt beide relativ schnell hintereinander auf

an meinem pc habe ich in den letzten tagen einstellungsmäßig nichts geändert, außer ein softwarepaket von logitech installier (für die maus mx-510, die ich in den letzten tagen neu angeschlossen habe)

Ich frage mich nun ob schon jemand erfahrung mit browser hijacking unter opera gemacht hat oder zu dem besagten problem mit dem soundfile etwas weiß
und ob ich die anderen tools neben spybot auch laufne lassen sollte (adaware cws-schredder) oder ob die nur für den IE zuständig sind.


hier das HjT log :

Logfile of HijackThis v1.97.7
Scan saved at 22:30:32, on 31.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Progs\Norton\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\sstray.exe
C:\WINNT\system32\carpserv.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGS\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Progs\Logitech\Mouseware\MouseWare\system\em_exec.exe
C:\WINNT\system32\wuauclt.exe
E:\Netprogs\teamspeak2_RC2\TeamSpeak.exe
C:\Progs\Opera7\opera.exe
C:\Progs\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Progs\Norton\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Progs\Norton\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGS\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\Netprogs\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ATI Launchpad] C:\Progs\ATI Multimedia\main\launchpd.exe
O4 - HKCU\..\RunOnce: [ICQ] E:\Netprogs\ICQ\ICQ.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &NeoTrace It! - E:\Netprogs\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - E:\Netprogs\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/pub...ctor/swdir.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...032.5950578704
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab


PS: Sehr schöner Artikel über das Browserhijacking unter IE [img]graemlins/daumenhoch.gif[/img] weiter so Lutz

Hi,

das Log sieht sauber aus, wenn auch etwas überfüllt..

*

wie hieß denn genau diese Datei, die du runtergeladen hast..?
war die ausführbar bzw hatte sie eine potentiell gefährliche Endung ?

Hast du die mal mit KAV & Trend gescannt ?

Ja sie war ausführbar wie gesagt das softwarepaket der mx 510 (mw980deu.exe)
heruntergeladen auf der offiziellen logitech seite

h**p://www.logitech.com/index.cfm/downloads/software/AT/DE,CRID=1792,contentid=8027
(kein direkter dl link)


und nein ich habe noch keinen scan durchlaufen lassen die zeit dazu hatte ich bisher noch nicht werde das aber im verlauf des tages nachholen

edit:

scans laufen lassen
ergibnis der beiden scans waren 5 dateien im ordner
"C:\Dokumente und Einstellungen\Olo\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar"
alle soweit ich das überblicke noch in archiven und nicht ausgeführt da entsprechende spuren nich auf dem pc anzutreffen waren

die beiden besagten phänomene traten bisher nicht wieder auf

ich denk wir begraben das thema dann erstmal bis jemand etwas neues dazu findet bzw diese probleme hier wieder auftreten sollten

mfg und danke
Thomas

[ 01. Juni 2004, 16:13: Beitrag editiert von: Olo ]