Such Hilfe beim fixen eines Problems!

jesmart · 18.08.2004, 17:58

Hi.

Habe seit ein paar Tagen das Problem, das sich ein hijacker eingeschlichen hat und mir immer wieder die Startseite verstellt.

Ich habe das folgende Log von HijackThis:

Logfile of HijackThis v1.97.7
Scan saved at 18:55:01, on 18.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\cFosNT3\cFosDNT.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\SER\SERglobalBrainPE\winStart.exe
C:\Programme\SER\SERglobalBrainPE\winQuick.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\WINDOWS\system32\sessmgr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\BRQIKMON.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
D:\WinXP-Prof\Downloads\Sicherheit\Viren\spyware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/1076/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/1076/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/1076/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/1076/sp.php
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SERtoolBar - {71821EC4-3CD6-11D6-AEC6-000102AC7057} - C:\Programme\SER\SERglobalBrainPE\SERtoolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SERtoolBar - {71821EC4-3CD6-11D6-AEC6-000102AC7057} - C:\Programme\SER\SERglobalBrainPE\SERtoolbar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\cFosNT3\cFosDNT.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKLM\..\RunServices: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: SERglobalBrain Personal Edition - Start.lnk = C:\Programme\SER\SERglobalBrainPE\winStart.exe
O4 - Global Startup: SERglobalBrain Personal Edition - SERiClick.lnk = C:\Programme\SER\SERglobalBrainPE\winQuick.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: SERresultBar (HKLM)
O9 - Extra button: SERtoolBar (HKLM)
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{62B3BF15-46CF-410D-B294-B740D7C7D739}: Domain = Wohnen.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{62B3BF15-46CF-410D-B294-B740D7C7D739}: NameServer = 192.168.6.1,192.168.6.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9F16312-E207-4D15-907C-DC6023CAC149}: NameServer = 217.237.151.225 194.25.2.129

Kann mir jemand sagen, was ich fixen muß?

Vielen Dank schon mal!

Jeff Smart

18.08.2004, 18:42

Dies fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/1076/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/1076/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/1076/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/1076/sp.php
O4 - HKLM\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKLM\..\RunServices: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab

Edit: Das SER-Programm wurde von mir irrtümlich als Spyware identifiziert ...

Lutz · 18.08.2004, 18:58

Zitat:

Zitat von *Christian*

Dieses Programm deinstallieren oder die Datei löschen: C:\Programme\SER\SERglobalBrainPE\winStart.exe Malware!
C:\Programme\SER\SERglobalBrainPE\winQuick.exe

Hallo Christian,

ist das mit der Malware eine Vermutung oder Wissen?
Ich kenne bspw. SER als 'SER Solutions Deutschland GmbH', eine durchaus seriöse Firma mit u.a. dem Themengebiet Document Management Service...

Und hier noch ein Link, der meine Vermutung verstärkt: http://www.ser.de/cgi-bin/ser-frame....oad-index.html

jesmart · 21.08.2004, 10:57

Hallo, Christian.

Das fixen der von Dir genannten Einträge hat anscheinend geholfen!!!
Vielen Dank!
Ich war schon ein bißchen am verzweifeln.

@Lutz - Mit Ser hast Du recht, das ist eine seriöse Firma! Das Ser Produkt habe ich wirklich selbst installiert.

Gruß,

JS

chaosman · 21.08.2004, 11:04

Hallo Jesmart,

downloade doch mal den aktuellsten Version von Hijackthis

chaosman

Such Hilfe beim fixen eines Problems!

Plagegeister aller Art und deren Bekämpfung: Such Hilfe beim fixen eines Problems!