Trojaner-Board - Krieg den Hijacker nicht mehr raus!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Krieg den Hijacker nicht mehr raus! (https://www.trojaner-board.de/15257-krieg-hijacker-mehr-raus.html)

Krieg den Hijacker nicht mehr raus!

Hi Leute!

Hab mir da was eingefangen, am Anfang kam was von eZula und irgendwas mit Web. Hab dann von Hand paar Sachen aus der Registry entfernt und hab immerhin die komischen Suchleisten wegbekommen.

Was allerdings geblieben ist sind tolle pop-ups mit noch tollerer Werbung, die mich wahnsinnig machen! :headbang:

AdAware, Spybot und SpySubtract haben irgendwas gefunden und entfernt aber das taucht immer wieder auf...

Hier mal mein Log aus Hijack this:

Logfile of HijackThis v1.99.1
Scan saved at 21:26:58, on 11.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\yoygoo.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
D:\Opera\opera.exe
C:\Dokumente und Einstellungen\shOr\Desktop\HijackThis.exe

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{FFCAEF06-CAB5-4D74-B5BE-A9BB15B5E7E4}: NameServer = 192.168.2.1
O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\gpj2l31o1.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

sehr seltsam finde ich den Eintrag:
- Winlogon Notify: Reliability - C:\WINDOWS\system32\gpj2l31o1.dll

die dll taucht bei jedem systemstart so ähnlich benannt wieder auf und lässt sich nicht entfernen...

weiß jemand Rat?
Vielen Dank schon mal,
sh0r

Hallo,

wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung (http://www.systemwiederherstellung-d...indows-xp.html), scanne mit HJT und fixe (Häckchen vor folgenden Einträgen und auf Fix checked klicken) folgende Einträge:

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\gpj2l31o1.dll

Lösche folgende Dateien manuell:
(Falls noch nicht enigestellt: Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "häckchen weg und "Alle Dateien und Ordner Anzeigen" anklicken)

C:\WINDOWS\System32\yoygoo.exe
C:\WINDOWS\system32\gpj2l31o1.dll (oder anderer Name)

Papierkorb leeren.

Neustart -->Systemwiederherstellung aktivieren

... und WINDOWSUPDATEN!!

dartus

systemwiederherstellung ist bei mir schon deaktiviert - muss ich die dann aktivieren (denke nicht...?)

wenn ich mir sp2 installiere, stopft das dann dieses sicherheitsloch?

dankeschön!
sh0r

also ich hab die systemwiederherstellung deaktiviert, die war seltsamerweise aktiviert hab das zeug mit hijack this gefixt und versucht es manuell zu entfernen.
die dll (die nach jedem neustart den namen ändert) kann ich aber nicht entfernen, es kommt immer die meldung dass darauf nicht zugegriffen werden kann weil ein andere benutzer oder programm darauf zugreift - welches programm ist denn das?

hier nochmal das aktuelle log:

Logfile of HijackThis v1.99.1
Scan saved at 03:23:50, on 12.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\interMute\SpySubtract\SpySub.exe
D:\Opera\opera.exe
C:\Dokumente und Einstellungen\shOr\Desktop\HijackThis.exe

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{FFCAEF06-CAB5-4D74-B5BE-A9BB15B5E7E4}: NameServer = 192.168.2.1
O20 - Winlogon Notify: policies - C:\WINDOWS\system32\fp0m03d1e.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

gruß,
sh0r

@ sh0r

Arbeite diesen Thread ab und dein Problem sollte gelöst.

Solltest du damit nicht klarkommen, dann halte uns am Laufenden und poste deine Fragen erneut hier rein.

Ah! :huepp: Scheint funktioniert zu haben!

Hier nochmal mein Hijack This Log:

Logfile of HijackThis v1.99.1
Scan saved at 13:25:21, on 12.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\shOr\Desktop\HijackThis.exe

O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{FFCAEF06-CAB5-4D74-B5BE-A9BB15B5E7E4}: NameServer = 192.168.2.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

Wenn ich auf Sp2 update - bringt das was im Bezug au Spyware?
Und wenn ich, wie in Linux nicht mehr mit einem Account mit Administratorrechten surfe, hat das nen Sinn?

Danke an alle die geholfen haben! :party:

Zitat:

Wenn ich auf Sp2 update - bringt das was im Bezug au Spyware?
Und wenn ich, wie in Linux nicht mehr mit einem Account mit Administratorrechten surfe, hat das nen Sinn?

Beide Punkte sind wichtig. Les dir mal den Link in meiner Signatur durch und handle danach, Neuaufseten brauchst du natürlich nicht.;)

ok mach ich... bin grad am sp2 insten.
und ich werd dann wohl in zukunft ohne admin rechte arbeiten.

kannst du mir eigentlich ein gutes buch zum thema systemsicherheit empfehlen?taugen die hacker's guide teile was?

edit:
ich geh hier über nen router ins netz - dann kann ich mir doch die firewall aus sp2 sparen, oder? und der nachrichtendienst könnte doch auch aktiviert bleiben - also ich hab noch nie so ne werbung erhalten... und find das teil ganz nützlich um hier in der wg rumzumailen! :)
Und was ist mit Opera also Browser - bin vor Jahren mal drauf umgestiegen - ist das Teil noch sicher oder inzwischen zu bekannt?

Hi, den Router gut konfigurieren, alle unnötigen Dienste deaktivieren, das sind bei XP+SP2 eine ganze Menge, denn Kopf halt benutzten, dann bist du schon mal auf der sicheren Seite.
LG, Charlie

so, leider ist noch ein problem übrig geblieben:
ich werde yoygoo.exe nicht los, wenn ich es lösche stellt es sich selbst wieder her und spysubtract erkennt es nicht.
es verursacht zwar keine pop-ups, aber nerven tuts trotzdem...

:heulen:

Lade KillBox und kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\System32\yoygoo.exe -> füge diesen in KillBox ein -> wähle die Option "Delete on reboot" -> rotes X anklicken -> die beiden folgenden Fragen jeweils mit JA beantworten und das System wird neu gestartet

hat funktioniert!danke nochmal!

Bitte, gern geschehen.

Die Links hast du gelesen?