|
Plagegeister aller Art und deren Bekämpfung: Browser Hijacker / MalwareWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.09.2010, 12:18 | #1 |
| Browser Hijacker / Malware Hallo und Guten Abend, anscheinend hat sich bei uns ein "Hijacker" oder Plagegeist eingenistet. Wir werden ihn einfach nicht los. Unsere Antiviren-Programme Kaspersky oder Antivir können nichts finden sowie auch nicht Spybot & Search Destroy, Malwarebytes etc. Wir benutzen im Moment Opera & den IE9. Bei Opera lässt sich die Weiterleitung in den Einstellungen nicht ändern. Versucht man sie auszuschalten, erscheint bei jedem Aufruf irgendeiner Webside: Moved permanently. The document has moved here; here ist verlinkt. Wir hatten bei dem Opera-Browser eine zeitlang immer Probleme mit dem Adobe-Player, er ließ sich nicht aufrufen und ein "Begleiter" aus "Poland" (wohl der Server, Sitz in Germany) war fast zeitgleich auf den Seiten, die wir besuchten, lt. Besucherstatistik. Außerdem erscheint teilweise bei den Whois - Abfragen diese Meldung: IP Information - 82.82.194.7 Host name dslc-082-082-194-007.pools.arcor-ip.net Country Germany Country Code DE Region Niedersachsen City Hanover Latitude 52.3667 Longitude 9.7167 Whois* Information NetRange: 82.0.0.0 - 82.255.255.255 CIDR: 82.0.0.0/8 OriginAS: NetName: 82-RIPE NetHandle: NET-82-0-0-0-1 Parent: NetType: Allocated to RIPE NCC NameServer: TINNIE.ARIN.NET NameServer: NS-PRI.RIPE.NET NameServer: SUNIC.SUNET.SE NameServer: SEC3.APNIC.NET NameServer: NS3.NIC.FR NameServer: SEC1.APNIC.NET Comment: These addresses have been further assigned to users in Comment: the RIPE NCC region. Contact information can be found in Comment: the RIPE database at hxxp://www.ripe.net/whois RegDate: 2002-11-23 Updated: 2004-03-16 Ref: hxxp://whois.arin.net/rest/net/NET-82-0-0-0-1 OrgName: RIPE Network Coordination Centre OrgId: RIPE Address: P.O. Box 10096 City: Amsterdam StateProv: PostalCode: 1001EB Country: NL RegDate: Updated: 2004-12-13 Ref: hxxp://whois.arin.net/rest/org/RIPE ReferralServer: whois://whois.ripe.net:43 --------------------------- Aber unser Standort ist weder "Hanover" noch Amsterdam etc. ------------- Außerdem schaltet sich unsere Easy-Box (Router) schon desöfteren an/aus oder wir erhielten die Nachricht im Browser: !crossnetworking: Eine Seite aus dem Internet fordert Daten aus ihrem privaten Internet. --------------------------------------------------- Wir haben das System bereits ö f t e r neu aufgesetzt - Neuinstallation- und alle Daten gelöscht und trotzdem... immer und immer wieder... -------------------------------------------------- Hier vorab der Hijack: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:27:53, on 20.09.2010 Platform: Unknown Windows (WinNT 6.01.3504) MSIE: Internet Explorer v9.00 (9.00.7930.16406) Boot mode: Normal Running processes: C:\Windows\system32\taskhost.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Opera\opera.exe C:\Program Files\Skype\Phone\Skype.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll (file missing) O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing) O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll (file missing) O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL O4 - HKLM\..\Run: [HWSetup] "C:\Program Files\TOSHIBA\Utilities\HWSetup.exe" hwSetUP O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe O4 - HKLM\..\Run: [TosSENotify] C:\Program Files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe O4 - HKLM\..\Run: [Toshiba TEMPRO] C:\Program Files\Toshiba TEMPRO\TemproTray.exe O4 - HKLM\..\Run: [TosReelTimeMonitor] %ProgramFiles%\TOSHIBA\ReelTime\TosReelTimeMonitor.exe O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SmartFaceVWatcher] %ProgramFiles%\Toshiba\SmartFaceV\SmartFaceVWatcher.exe O4 - HKLM\..\Run: [Teco] "%ProgramFiles%\TOSHIBA\TECO\Teco.exe" /r O4 - HKLM\..\Run: [ToshibaServiceStation] C:\Program Files\TOSHIBA\TOSHIBA Service Station\ToshibaServiceStation.exe /hide:60 O4 - HKLM\..\Run: [TosWaitSrv] %ProgramFiles%\TOSHIBA\TPHM\TosWaitSrv.exe O4 - HKLM\..\Run: [TWebCamera] "%ProgramFiles%\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" autorun O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaReminder.exe O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\RunOnce: [Delete USB Error Key] "C:\Program Files\Samsung\Samsung New PC Studio\USB Drivers\SPS3_USB_Driver_Setup.exe" O4 - HKCU\..\Run: [Pando Media Booster] C:\Program Files\Pando Networks\Media Booster\PMB.exe ------------------------- Für Eure Hilfe und Tipps wären wir sehr, sehr dankbar. Vielen Dank im Voraus. Viele Grüße die Belarus Hallo und Guten Morgen da wohl die o.g. Angaben für die Hilfe wohl nicht reichen, hänge ich anbei noch die von uns gemachten Auswertungen - Logfiles etc. an. Ich hoffe, so kann jemand uns schneller und besser zur Hilfe kommen. Vielen Dank. Viele Grüße, die Belarus Hallo liebes Forum-Team, ich weiß ihr habt viel zu tun, aber ich schubse einfach meinen Thread nochmal nach oben und ich hoffe, es hat jemand etwas von seiner kostbaren Zeit für mich über und schaut drüber und hat einen guten Tipp und Ratschlag. Vielen Dank im Voraus. Viele Grüße Belarus Hallo liebes Forum, ich habe seit einer Woche einen Thread bei Euch eingestellt und leider noch keine Antwort. Zeit & Lust?! Viele Grüße |
28.09.2010, 13:29 | #2 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | Browser Hijacker / Malware Hallo und
__________________Zitat:
Wurden ausführbare Dateien (*.exe, *.msi - alle Setups zu Programmen und Spielen) auf dem frischen System ausgeführt, die vom infizierten System auch verarbeitet wurden? Zitat:
__________________ |
29.09.2010, 11:21 | #3 |
| Browser Hijacker / Malware Hallo Arne und herzlichen Dank für "das Willkommen"
__________________vielen Dank für deine Antwort. Ob wir bei der Neuinstallation etwas Falsch gemacht haben?! Also wir nutzen Win7 und haben die Neuinstallation mit der Produkt-Recovery vorgenommen: Win herunterfahren, Win starten, F12 o. F2 zum Laufwerk.., Meldung: "" wollen sie alle Daten löschen /überschreiben "ja, ich will " etc. und dann Neuinstallation. Alle ausführenden Dateien und Programme haben wir neuinstalliert. Tja, warum "es" sich immer wieder einnistet?" Gute Frage. z.B Naja, kurz als Hintergrundinformation, wir haben ca. vor 1 1/2 Jahren als Helfer auf einer privaten Homepage für "Unfallopfer im Strassenverkehr bzw. Gedenkseiten verstorbener Jugendlicher im Verkehr" als Forums- und "Homepagebetreuer" mitgeholfen, weil wir selber betroffen waren. Die Internetseite war wohl " von den Betreibern" manipuliert worden. Im laufenden Chat brach bei uns "Firefox" zusammen, zu dem Zeitpunkt war uns gar nicht bewusst, was gerade passiert war. Und egal welche Internetseite besucht wurde, der "Bot" folgt uns... Wir haben nach Kenntnis, die Betreuung verlassen und aufgrund des Homepagehintergrunds der Internetseite auf eine Anzeige/Klage verzichtet. Aber seit dem... verfolgt "es" uns , aber eventuell ist auch nebenbei Leichtsinn... Naja, aber eigentliche wissen wir ca. wer dahinter steckt, das ist auch schwer zu erraten... Was sagen die Daten, Logfiles etc. ?? Vielen Dank im Vorraus. Belarus Geändert von Belarus (29.09.2010 um 11:27 Uhr) |
29.09.2010, 11:49 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Browser Hijacker / Malware Wurde der Router schon mal zurückgesetzt? Wurde das Passwort zur Administration des Routers verändert? Standardpasswörter im Router zu lassen ist sehr unsicher! Benutzt ihr WLAN und wenn ja, wie ist das verschlüsselt?
__________________ Logfiles bitte immer in CODE-Tags posten |
30.09.2010, 19:08 | #5 |
| Browser Hijacker / Malware Hallo Arne, das mit dem Router zurücksetzen, ist eine sehr gute Idee. Das Passwort zur Administration, grübel... Meinst du den Einstellungsmanager von der Easy-Box, den man online erreichen kann?! Wenn du den meinst, das ist auf Werkseinstellung, wäre dann wohl besser zu ändern, oder. Das Wlan an der Easybox habe ich deaktiviert, auch am Laptop. Oh, man , dieses Gefriemel am Computer ist wirklich hoch erotisch, genauso wie Klöppeln, grr... Hast du noch etwas Spannendes in den Logfiles gefunden ... Etwas fällt mir noch zu aktiven Programmen ein , ich werde wohl noch Mal unsere USB - Sticks checken müssen. Es kann sein, dass wir dort von den Spielen z.B. Herr der Ringe -online -Daten gespeichert haben, Spielstände etc. Ansonsten - msi - ... aktiviert sich z.B. bei Onlinespielen der Windows-Installer oder versucht es und bricht ab, bei Spielen, die nur unter Flash laufen. Lieben Gruß und danke für "die Zeit" Belarus |
Themen zu Browser Hijacker / Malware |
alert, aufrufe, avg, avgnt, avira, avp, avp.exe, bho, browser, desktop, document, einstellungen, error, explorer, hijackthis, internet, internet explorer, kaspersky, malwar, malware, moved, neu aufgesetzt, opera, pando media booster, plug-in, realtek, saver, security, seiten, server, software, standort, studio, system, usb, windows |