NAch öffnen von Winamp 5.32 sind IE7 und Firefox2 hijacked

sj410 · 02.12.2006, 22:00

Hallo!

Das Board ist meine letzte Hoffnung.

Zeit einigen Tagen habe ich das Problem, dass ich beim surfen plötzlich auf ander Seiten verlinkt werde als ich in der Adresszeile eingegeben habe, oder es wird "No traps are allowed" oder irgendein Hinweis, dass die Seite nicht gefunden wird angezeigt. Egal ob ich mit IE 7 oder Firefox 2.0 arbeite.

Jetzt bin ich draufgekommen, dass der Fehler nur auftritt wenn ich eine mp3 min Winamp abgespielt habe, dh. neustart und alles ist wieder OK.

Ich habe daraufhin Winamp deinstalliert, neu von der offiziellen HP heruntergeladen vorher hatte der den ZUsatz e-music-7plus, nur gebracht hats nix.

Mittlerweile hab ich scans mit

escan
Gdata AVK 2007
Spybot
Spyware Doctor
Norton 360
Blacklight

durchgeführt nur die finden nichts, und auch der HijackThis log sieht für mich unverdächtig aus:

Logfile of HijackThis v1.99.1
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/showpost.php?p=171957&postcount=1

danke
GUA
[/edit]

Aber das tcpview logfile ist irgendwie verdächtig: Der Eintrag mit "80-239-170-206.customer.teliacarrier.com:http" kommt anscheinend nur vor, wenn der Hijacker aktiv ist

[System Process]:0 TCP pc1:32324 localhost:1491 TIME_WAIT
[System Process]:0 TCP pc1:32324 localhost:1489 TIME_WAIT
[System Process]:0 TCP pc1:32324 localhost:1439 TIME_WAIT
[System Process]:0 TCP pc1:1435 localhost:32324 TIME_WAIT
[System Process]:0 TCP pc1:1437 localhost:32324 TIME_WAIT
[System Process]:0 TCP pc1:1441 localhost:32324 TIME_WAIT
[System Process]:0 TCP pc1:1442 localhost:32324 TIME_WAIT
[System Process]:0 TCP pc1:32324 localhost:1429 TIME_WAIT
[System Process]:0 TCP pc1.aon:1436 80-239-170-206.customer.teliacarrier.com:http TIME_WAIT
[System Process]:0 TCP pc1.aon:1438 80-239-170-206.customer.teliacarrier.com:http TIME_WAIT
[System Process]:0 TCP pc1.aon:1444 80-239-170-206.customer.teliacarrier.com:http TIME_WAIT
[System Process]:0 TCP pc1.aon:1445 80-239-170-206.customer.teliacarrier.com:http TIME_WAIT
firefox.exe:3164 TCP pc1:1035 localhost:1036 ESTABLISHED
firefox.exe:3164 TCP pc1:1036 localhost:1035 ESTABLISHED
firefox.exe:3164 TCP pc1:1045 localhost:1046 ESTABLISHED
firefox.exe:3164 TCP pc1:1046 localhost:1045 ESTABLISHED
lsass.exe:664 UDP pc1:isakmp *:*
lsass.exe:664 UDP pc1:4500 *:*
svchost.exe:1080 UDP pc1:ntp *:*
svchost.exe:1080 UDP pc1.aon:ntp *:*
svchost.exe:1080 UDP 192.168.100.100:ntp *:*
svchost.exe:1152 UDP pc1:1087 *:*
svchost.exe:1152 UDP pc1:1025 *:*
svchost.exe:1240 UDP pc1:1900 *:*
svchost.exe:1240 UDP 192.168.100.100:1900 *:*
svchost.exe:1240 UDP pc1.aon:1900 *:*
System:4 TCP pc1:microsoft-ds pc1:0 LISTENING
System:4 TCP 192.168.100.100:netbios-ssn pc1:0 LISTENING
System:4 TCP pc1.aon:netbios-ssn pc1:0 LISTENING
System:4 UDP pc1:microsoft-ds *:*
System:4 UDP 192.168.100.100:netbios-dgm *:*
System:4 UDP pc1.aon:netbios-dgm *:*
System:4 UDP pc1.aon:netbios-ns *:*
System:4 UDP 192.168.100.100:netbios-ns *:*

Vielleicht hat irgendwer ne Ahnung was das sein kann

sj410 · 04.12.2006, 21:40

Mittllerweile hab ich den PC neu aufgesetzt ohne Winamp, nur das Problem tritt trotzdem nachdem ich eine Weile im Inet bin auf. Mir kommt es so vor, wenn ich den IE7 ein paar mal schließe und wieder öffen, gehts los. Wirklich reproduzierbar ist das ganze aber nicht.

Hier ein aktuelles HijackThis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:06:46, on 04.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Und Escan hätte ich auch noch:

Entry "HKCR\DirectAnimation.PathControl" refers to invalid object "{D7A7D7C3-D47F-11D0-89D3-00A0C90833E6}". Action Taken: No Action Taken.
Entry "HKCR\DirectAnimation.Sequence" refers to invalid object "{4F241DB1-EE9F-11D0-9824-006097C99E51}". Action Taken: No Action Taken.
Entry "HKCR\DirectAnimation.SequencerControl" refers to invalid object "{B0A6BAE2-AAF0-11D0-A152-00A0C908DB96}". Action Taken: No Action Taken.
Entry "HKCR\DirectAnimation.SpriteControl" refers to invalid object "{FD179533-D86E-11D0-89D6-00A0C90833E6}". Action Taken: No Action Taken.
Entry "HKCR\DirectAnimation.StructuredGraphicsControl" refers to invalid object "{369303C2-D7AC-11D0-89D5-00A0C90833E6}". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".PAB". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".pstB". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".pstH". Action Taken: No Action Taken.
File F:\Downloads\SmitfraudFix.zip tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken.

Hoffe jetzt passts

NAch öffnen von Winamp 5.32 sind IE7 und Firefox2 hijacked

Log-Analyse und Auswertung: NAch öffnen von Winamp 5.32 sind IE7 und Firefox2 hijacked

NAch öffnen von Winamp 5.32 sind IE7 und Firefox2 hijacked

NAch öffnen von Winamp 5.32 sind IE7 und Firefox2 hijacked

Ähnliche Themen: NAch öffnen von Winamp 5.32 sind IE7 und Firefox2 hijacked