|
Browser-HIJACK - Brauche dringend Hilfe Hallo zusammen, ich habe ein dringendes Problem. Mein IE6 zeigt absolut hartnäckig eine about:blank Seite an, die ich nicht wegbekomme: Ich habe echt Respekt vor diesen bescheuerten Browser-Hijackern / Trojanern & Co. - will aber mein System nicht um jeden Preis komplett formatieren !! Die Seite verweist jeweils auf die folgende Haupt-Adresse http://findtop.net - bitte besser nicht anklicken !! Die gängigen Programme CW-Shredder Spy Bot Search & Destroy Adaware 6.0 konnten mir bisher noch nicht weiterhelfen NoAdware meldet nur das Problem, will es aber nur gegen Geld beheben :-((( Deshalb hoffe ich hier endlich die Rettung. Anbei der aktuelle HijackThis-Log: Ich hoffe sehr, das mir irgendjemand helfen kann. Danke, Gruß Wolfram Logfile of HijackThis v1.99.0 Scan saved at 21:53:51, on 12.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe c:\programme\cognos\odi\OStore\BIN\OSCMGR6.EXE c:\programme\cognos\odi\OStore\BIN\OSSERVER.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\PrintKey2000\Printkey2000.exe C:\Programme\TraXEx\TraXEx.exe C:\Programme\PDA\PCsync\QDCTray.exe C:\Programme\Mozilla Firefox\firefox.exe D:\Download\Antivirenprogramme\hijackthis199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [WINDVDPatch] REM CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] REM "C:\brenner\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] REM "C:\brenner\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [POINTER] REM point32.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [WinampAgent] REM C:\Programme\Winamp5\winampa.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe" O4 - Startup: Quick Data Copy.lnk = C:\Programme\PDA\PCsync\QDCTray.exe O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe O4 - Global Startup: TraXEx 2.1.lnk = C:\Programme\TraXEx\TraXEx.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\OFFICE~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: (no name) - c95fe080-8f5d-112d-a20b-00aa003c157a - (no file) O9 - Extra button: Preispiraten - {94A15285-AAE6-44E8-B2D7-4A2C6CDA9185} - C:\Programme\Preispiraten\preispiraten.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/ O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - https://security.symantec.com/sscv6/...in/AvSniff.cab O16 - DPF: {41B23C28-488E-4E5C-ACE2-BB0BBABE99E8} (HHCtrl Object) - http://secunia.com/internet_explorer...est/hhctrl.ocx O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - https://security.symantec.com/sscv6/.../bin/cabsa.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.comp...bio5_1_6_0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8342D448-EB1D-4EB6-9934-8030F9BEA1F7}: NameServer = 217.237.149.161 217.237.151.225 O17 - HKLM\System\CCS\Services\Tcpip\..\{D11CC2A5-A60A-4923-8854-34C54BCD01ED}: NameServer = 192.168.120.252,192.168.120.253 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ObjectStore Cache Manager R6.0 - eXcelon Corp. - c:\programme\cognos\odi\OStore\BIN\OSCMGR6.EXE O23 - Service: ObjectStore Server R6.0 - eXcelon Corp. - c:\programme\cognos\odi\OStore\BIN\OSSERVER.EXE O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Ende des Protokolls Datei ist auch noch mal als Attachment angehängt. Ich hoffe, dass ist ok so (Nettiquette ?) Danke |
ok. ich denke ich weiß was getan werden muss... 1.escan -lade dir escan runter und gehe genau nach dieser anleitung vor 2.einträge löschen -fixe mit hijackthis diese einträge: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/ O4 - HKLM\..\Run: [WINDVDPatch] REM CTHELPER.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [POINTER] REM point32.exe O9 - Extra button: (no name) - c95fe080-8f5d-112d-a20b-00aa003c157a - (no file) O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab O16 - DPF: {41B23C28-488E-4E5C-ACE2-BB0BBABE99E8} (HHCtrl Object) - http://secunia.com/internet_explore...test/hhctrl.ocx 3.ergebnisse -gehe wieder in den normalen modus -öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen -gebe infected ein -suche weiter,markiere die treffer und kopiere sie ins forum -poste ein neues hijackthis log |
Oh, vielen Dank für die sofortige Email-Antwort. Ich habe Escan soeben downgeloaded und mache jetzt einen Scan im abgesicherten Modus. Gruß Wolfram |
Hallo zusammen, hallo Chris14, vielen Dank für deine Tips gestern abend um 22:30 Uhr. Ich habe nun 1.) im abgesicherten Modus: escan laufen lassen 2.) parallel dazu mit hijack-this Deine markierten Einträge gefixt Heute abend habe ich im Normalmodus die mwav auf infected-Einträge kontrolliert und ein neues hijack.log erstellt. Mir ist fast schlecht geworden !! Ich hoffe, Du kannst mir weiterhelfen bei den vielen Meldungen. Ich bitte um Deine Hilfe Anbei die Attachments: Vielen Dank, Gruß Wolewe |
Hallo, Zitat:
|
falls du den thread net durchlesen willst, erklär ichs nochma: der implinker ist eine neue coolwebsearchvariante die exedateien infiziert. dadurch wird eine neuinstallation unvermeidbar. beachte auch diese nette Anleitung um das gleiche diesmal aufzuhalten. |
Hallo, zusammen, hallo Chris, vielen Dank für Deine Hilfe. Leider war der Link auf die Seite bezüglich Implinker irgendwie nicht lauffähig !?. Brauche jetzt echt noch mal einen Rat: 1.) Ich habe die von escan "infected" gemeldeten Dateien in ein Quarantäne-Verzeichnis verschoben und dort gezippt. Der Rechner läuft auch ohne diese Dateien. Escan meldet diese Dateien nun auch nur noch in der ZIP als Virus. "Scheinbar" ist der Rechner doch somit wieder gesund, oder ? Als Browser würde ich ab sofort auf IE zugunsten von Firefox verzichten. Was hälst Du davon ? Ich scheue echt die Neuinstallation. 2.) Solltest Du mir doch zur Neuinstallation raten - reicht dann Format C ? Laufwerk C enthält keine eigenen Daten. Jedoch ist Laufwerk D auf der gleichen physikalischen Platte wie C und da sind eine Menge eigene Dinge drauf. Was würdest Du tun um den Rechner möglichst clean zu bekommen. Gruß Wolewe |
Eine Neuinstallation brauchst du nicht zu scheuen, wenn du die Links in der Anleitung anklickst, dann siehst du teilweise ein bebilderte Vorgehensweise, die dir das abarbeiten der einzelnen Punkte erleichtern soll. Auf ein "scheinbar" sauberes System kann man sich eben nicht verlassen. Selbst wenn du die Symptome beseitigt hättest, ist die Ursache nach wie vor vorhanden. Nur die System Partition zu löschen wird imho nicht ausreichen, da auch auf anderen Partitionen (D: und E:) laut eScan Log diverse Malware vorzufinden ist. Hinzu kommt das, was eScan AntiVirus nicht erkannt hat. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:06 Uhr. |
Copyright ©2000-2025, Trojaner-Board