Problem: Browser Hijacking
 

Hi All,

bei mir hat sich irgendwie beim surfen auf Keysites eine Art Browser Hijacking Teil eingeschlichen, sprich die Seite öffnet sich von Zeit zu Zeit auf dem PC egal ob Browser gestartet ist oder nicht.


Die Site nennt sich "Gallery Previewer" ich hab es schon mit Ad-aware und Spybot - Search & Destroy drüber laufen lassen die haben leider nichts gefunden beim googeln hab ich leider auch nichts gefunden, ich hoffe einer hat nen guten Tip !

Hallo,
erstelle mit HiJackThis ein Log-File und poste es hier rein.

Hi Cidre,

hab das Logfile erstellt, die beschriebene Seite war beim erstellen des Logfiles geföffnet.

Überprüfe zunächst diese Datei C:\Dokumente und Einstellungen\Administrator\qcache.exe bei http://www.kaspersky.com/de/remoteviruschk.html
, schicke sie danach bitte gezippt an virus@rokop-security.de und poste das Ergebnis.

Hi das Ergebnis,

soll ich es trozdem weiterschicken ??


Bekannte Viren: 96282 Updated: 15-08-2004
Größe der Datei (Kb): 134
Viren-Korpus: 0
Datei: 2
Warnungen: 0
Archive: 0
Verdächtigt: 0

gruss

cux

Ja, sollst du.

Hi Cidre,

was ist den nun mit meienm Problem und was stand wichtiges in der LOG für Dich ???

Hallo darkcux,
Am besten postest du deinen Log ganz offen mit Copy-Paste ;).
Fixen unbedingt
Muss nicht sein, besser aber fixen.

Ok Rene-gad,

habs nur so gepostet wie Cidre es wollte, hab die Sachen gefixt, hoffe mal es hat geholfen, danke erstmal melde mich wenn es nicht geklappt hat ;-)

NACHTRAG: Hmmm hat leider noch nicht wirklich geholfen die Seite startet immer noch von Zeit zu Zeit, das einzigste was nun anders ist das der Text (Gallery Previewer)über dem Fenster weg ist.

Hier nun meine aktuelle Liste

Logfile of HijackThis v1.98.2
Scan saved at 11:53:17, on 16.08.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Dokumente und Einstellungen\Administrator\qcache.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\programme\steam\steam.exe
C:\Programme\Preispiraten 2.0b\preispiraten2.exe
E:\eMule0.30b-LSD13a-Bin\emule.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Canon\ZoomBrowser EX\Program\ZoomBrowser.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\fdcatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Cache] C:\Dokumente und Einstellungen\Administrator\qcache.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Preispiraten] "C:\Programme\Preispiraten 2.0b\preispiraten2.exe" /autorun
O4 - Startup: Delta Force-Black Hawk Down Team Sabre Produktregistrierung.lnk = C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\{4E42440A-CE42-4FB6-9D07-463BAF44176E}\{6164D2E7-986B-42F5-B3A6-64D5E53FB889}\NOVG.EXE
O4 - Startup: Verknüpfung mit emule.exe.lnk = E:\eMule0.30b-LSD13a-Bin\emule.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Preispiraten 2.0b - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{212BBE18-9504-4BF1-8357-E5F6DC8CCACE}: NameServer = 192.168.2.1



mfg

DarkCux

Dieser Eintrag ist noch schlecht und muss gefixed werden (Datei danach auch noch löschen, falls noch vorhanden):

O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\fdcatch.dll

Kannst du das dazgehörige Programm deinstallieren?

Hi,

ja man kann es löschen und fixen, aber gehört die Datei nicht zu dem Download Manager FreshDownload ?

MfG

DarkCux

Richtig, und dieser enthält Adware (bzw. KANN es enthalten, unter Umständen gibt es eine Share und eine Adware-Version):

http://www.pestpatrol.com/PestInfo/f/fresh_devices.asp

Ich würde zumindest mal versuchen, es zu deinstallieren und zu schauen, ob das Einfluss auf dein Problem hat.

Was mir noch kurz auffällt: System updaten! www.windowsupdate.com

@ darkcux

Hast du die Datei weitergeleitet bzw. was hat dir "raman" mitgeteilt?

Hi Cidre,
weitergeleitet = KEINE ANTWORT

@ Cidre die Datei die ich weitergeleitet habe war dafür zuständigt hatte es mit Hijackthis gefixt nun ist Ruhe !!

mfg

DarkCux