|
Plagegeister aller Art und deren Bekämpfung: Krieg den Hijacker nicht weg ;-(Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.06.2004, 12:36 | #1 |
| Krieg den Hijacker nicht weg ;-( Ich kriege meine HiJacker nicht weg und verzweifle bald! Ich hab schon über Google und anderen Foren nach der Variante gesucht, alle Lösungstips habe nicht geholfe. Auch Adware und WShredder halfen nicht! Das Teil wird zwar entfernt, aber es gibt noch irgendwo etwas auf der Festplatte, weil es nach einiger Zeit wieder installiert wird. Ich denke ich habe auch den Auslöser, wann das Progi wieder installiert wird gefunden. Wenn ich das Teil entferne und noch 3-4 Tagen im Internet Explorer auf Ansicht > Quelltext anzeigen gehe erhalte ich wieder die Icons "Online Pharmacia" und "Fast Loans" auf dem Desktop sowie den Favoriten Link ~VIP Free Porn~. Die Funktion Quelltext anzeigen funktioniert auch nicht mehr - sprich es wird nicht mehr Notepad geöffnet. Hier das LogFile Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zapro.exe C:\Programme\SmartSurfer2.3\SmartSurfer.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\mspaint.exe C:\Dokumente und Einstellungen\Uni\Eigene Dateien\Hijack\hijackthis\HijackThis.exe C:\Dokumente und Einstellungen\Uni\Eigene Dateien\Hijack\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Windows Resources - {2D38A51A-23C9-48a1-A33C-48675AA2B494} - C:\WINDOWS\winres.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [bgsmsnd.exe] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zapro.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.i-lookup.com O15 - Trusted Zone: *.offshoreclicks.com O15 - Trusted Zone: *.teensguru.com O15 - Trusted Zone: *.xxxtoolbar.com O16 - DPF: {0E4796D6-A990-4372-9069-72FBDB4AE868} - http://www.one2one.com/static/class/one2oneSvc.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3E8C86D1-3072-4577-9D32-B7E85C81CAB2}: NameServer = 145.253.2.81 145.253.2.203 O17 - HKLM\System\CS1\Services\Tcpip\..\{3E8C86D1-3072-4577-9D32-B7E85C81CAB2}: NameServer = 145.253.2.81 145.253.2.203 |
07.06.2004, 14:02 | #2 |
| Krieg den Hijacker nicht weg ;-( warum hast du den oberen teil des logs entfernt? da wär gestanden was du für'n betriebssystem hast!
__________________okey, also systemwiederherstellung deaktivieren vorübergehend und diese einträge fixen: oder hast du das als startseite und so oft geöffnet? sicherheitshalber weggeben, es sollte dann die microsoft homepage komen wenn du keinen eintrag (mehr)hast... R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank wie kommt sowas in die vertraulichen seiten/zone?? O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.i-lookup.com O15 - Trusted Zone: *.offshoreclicks.com O15 - Trusted Zone: *.teensguru.com O15 - Trusted Zone: *.xxxtoolbar.com auch fix checked! gruss rock [ 07. Juni 2004, 15:08: Beitrag editiert von: rock' ] |
07.06.2004, 14:23 | #3 |
| Krieg den Hijacker nicht weg ;-( Hallo und Willkommen an Board,
__________________</font><blockquote>Zitat:</font><hr />O2 - BHO: Windows Resources - {2D38A51A-23C9-48a1-A33C-48675AA2B494} - C:\WINDOWS\winres.dll</font>[/QUOTE]Das muss auch gefixt werden und die Datei C:\WINDOWS\winres.dll gelöscht werden. Eigentlich sollte ein aktueller CWShredder (Version 1.59.0) schon seit längerem in der Lage sein, diese Variante zu entfernen. Guckst Du auch hier: http://www.spywareinfo.com/%7Emerijn...es.html#winres Gruß, Lutz
__________________ |
07.06.2004, 14:31 | #4 |
| Krieg den Hijacker nicht weg ;-( Die Trusted Siten werden von dem Hijacker angelegt. (Betriebsystem ist standardmäßig wie bei den meisten WinXP und IE6, daher ist wohl echt Mozilla zu empfehlen...) Mit dem Shredder habe ich die URLs dir Rock genannt hatte entfernt und auch die Trusted Sites sowie das win.res Teil. !!!! Jedoch kommt der Hijacker wieder zurück. Und zwar habe ich festgestellt dass der Shredder wieder einen Winres eintrag entfernt wenn ich im InternetExplorer auf "Quelltext anzeigen" gehen (Wie oben gesagt funktioniert diese Funktion auch nicht mehr. Sondern wenn ich Sie aktiviere läd irgendetwas den Hijacker) Wo kriege ich raus mit was diese Funktion in der Registry verknüpft ist - bzw. wie dort der richtige Eintrag lauten müßte damit sich Notepad wieder öffnet und nicht Winres.dll geladen wird. [ 07. Juni 2004, 15:45: Beitrag editiert von: Hilfe-Hijacked ] |
07.06.2004, 15:32 | #5 |
| Krieg den Hijacker nicht weg ;-( </font><blockquote>Zitat:</font><hr />Mit dem Shredder habe ich die URLs dir Rock genannt hatte entfernt und auch die Trusted Sites sowie das win.res Teil.</font>[/QUOTE]Der CWShredder macht das 'normalerweise' selbständig, ohne das Du irgendetwas händisch entfernen musst. Bist Du sicher, dass Du dieses Tool http://www.chip.de/downloads/c_downl...5bd0d4a7b5c99e verwendet hast?!?
__________________ 'Lutz@Work' ist identisch mit 'Lutz' ...<br /><br />Kaspersky OnlineScan: <a href="http://www.kaspersky.com/de/remoteviruschk.html" target="_blank">http://www.kaspersky.com/de/remoteviruschk.html</a><br />eScan:<br /><a href="http://www.mwti.net/antivirus/free_utilities.asp" target="_blank">http://www.mwti.net/antivirus/free_utilities.asp</a> |
07.06.2004, 17:29 | #6 |
| Krieg den Hijacker nicht weg ;-( Zuerst habe ich es händisch mit HijackThis gemacht. Anschließend auf Euer raten hin mit dem Shredder, der es automatisch entfernt. Ich habe jetzt das Problem, dass ich mein System wieder mit dem Teil infiziere, wenn ich im Browser auf Ansicht > Quelltext anzeigen gehe. Dann findet der Shredder auch wieder das Win.res Teil. Solange ich nicht auf Quelltext anzeigen klicke findet dere Shredder hingegen nichts... |
07.06.2004, 18:09 | #7 |
Krieg den Hijacker nicht weg ;-( Wenn das jetzt 'nur' noch passiert, wenn Du Dir den Quelltext anschaust, könnte u.U. der Editor (der wird ja dann gestartet) infiziert sein. Lade Dir mal das Free eScan Antivirus Toolkit Utility herunter und scanne Deinen Rechner im abgesicherten Modus Deines Rechners. Vielleicht findet der etwas. Wenn ja, poste bitte, was gefunden wurde
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
07.06.2004, 22:12 | #8 |
| Krieg den Hijacker nicht weg ;-( Viele Dank für den super Tip! Mon Jun 07 23:10:50 2004 => File C:\WINDOWS\System32\notepad.com infected by "TrojanDropper.Win32.Small.hi" Virus. Action Was ist das für ein Scanner? Ist der komplett umsonst? Das Teil ist echt klasse! |
08.06.2004, 10:55 | #9 |
| Krieg den Hijacker nicht weg ;-( </font><blockquote>Zitat:</font><hr />Was ist das für ein Scanner? Ist der komplett umsonst? Das Teil ist echt klasse! </font>[/QUOTE]Hinter eScan 'verbirgt' sich die Scan-Technik sowie die Virendefinitionen von Kaspersky. Daher erkennt eScan im Gegensatz zu manch anderem AV-Scanner auch schon wesentlich mehr Hijacker-Varianten. In der so herunterladbaren Version ist eScan in der Tat komplett kostenlos und ich hoffe, das bleibt er auch. Allerdings bietet eScan keinen 'Echtzeitschutz' oder 'Virenwächter' an, sondern ist ein reiner 'OnDemand-Scanner'. OnDemand-Scanner suchen nur dann nach Malware, wenn sie vom Benutzer aufgerufen werden. Es gibt auch keine Update-Funktion für Virensignaturen. Allerdings wird eScan häufig komplett aktualisiert und kann/muss dann auch komplett ( ~4MB) heruntergeladen werden. Bis vor kurzem waren es meist wöchentliche Updates. Zu Zeit sind es tägliche...
__________________ 'Lutz@Work' ist identisch mit 'Lutz' ...<br /><br />Kaspersky OnlineScan: <a href="http://www.kaspersky.com/de/remoteviruschk.html" target="_blank">http://www.kaspersky.com/de/remoteviruschk.html</a><br />eScan:<br /><a href="http://www.mwti.net/antivirus/free_utilities.asp" target="_blank">http://www.mwti.net/antivirus/free_utilities.asp</a> |
Themen zu Krieg den Hijacker nicht weg ;-( |
adobe, adware, antivirus, anzeige, bho, browser, dateien, desktop, download, drivers, einstellungen, explorer, festplatte, foren, google, hijackthis, internet, internet explorer, microsoft, nicht, nvcpl.dll, object, programme, rundll, shockwave, software, sun java, symantec, system, tcpip, windows |