Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   warscheinlich browser hijack (https://www.trojaner-board.de/7556-warscheinlich-browser-hijack.html)

Tiger76 14.09.2004 15:05
warscheinlich browser hijack
 
Hi Leute, bin erst vor kurzem hier auf euer Forum gestoßen, weil ich hier in der Firma wohl einen Browser Hijack habe.

Und zwar geht bei einem Anwender statt wie normal eingestellt nicht die leere Seite about:blank auf sonder eine seite mit dem Titel "Microsoft Home Search auf. Unten in der Leiste steht "www.v61.com/cgi-bin/v2/counter/hp?29126 wird geladen"

Was ich bisher versucht habe, aber ncht unter dem Anwender, weil der im Urlaub ist, sondern als Admin (dort habe ich das gleiche Problem):

Mit Hijackthis schonmal gescannt und laut der Automatischen Auswertung die roten Einträge gefixt:

Hier mal das Log vor dem Fixen:

Logfile of HijackThis v1.98.2
Scan saved at 14:56:04, on 13.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\MS\SMS\CORE\BIN\CLISVCL.EXE
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\ePOAgent\naimas32.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\iepy.exe
C:\WINNT\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\MS\SMS\CLICOMP\RemCtrl\Wuser32.exe
C:\Programme\plossys\seppstarter.exe
C:\WINNT\MS\SMS\clicomp\apa\Bin\smsapm32.exe
C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\progra~1\scansoft\paperp~1\pptd40nt.exe
C:\Programme\ePOAgent\naimag32.exe
C:\WINNT\sdksq32.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
E:\Virenscanner\about blank\Hijackthis\HijackThis.exe
C:\WINNT\MS\SMS\CLICOMP\SWDist32\bin\smsmon32.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\mikvs.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\mikvs.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\mikvs.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\mikvs.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\mikvs.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\mikvs.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.81.2.3:80
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {729CA94E-DBD4-392A-32E5-1EB6F97A649F} - C:\WINNT\system32\addjm32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SeppStarter] C:\Programme\plossys\seppstarter.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [PaperPort PTD] c:\progra~1\scansoft\paperp~1\pptd40nt.exe
O4 - HKLM\..\Run: [NaimAgent_UI] C:\Programme\ePOAgent\naimag32.exe
O4 - HKLM\..\Run: [sdksq32.exe] C:\WINNT\sdksq32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = service.root.net
O17 - HKLM\Software\..\Telephony: DomainName = service.root.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = service.root.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = service.root.net
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll (file missing)

Habe dann auch mit cwshredder versucht auch kein Erfolg.
Der SpHjfix wird immer terminiert wegen: Stealth-String not found -> Programm terminated.

HAbe dann heute noch zum Schluss mit dem aktuellsten Adaware SE gescannt und massig an Zeugs gefunden und entfernt. Sogar mit dem Addon "pltweakse.exe". Aber auch nix zu machen.
Zuerst scheint das Prob weg zu sein, aber nach erneutem klick auf den Home Button des IE kommt der Browser Hijack wieder hoch.

Bitte gebt mir doch noch eine weitere Lösung, bin hier beim Kunden schon am verzweifeln. Ansonsten wird der Rechner neu installiert.
Was mir dabei noch einfällt. Setzt sich der Browser-Hijack in das Servergespeicherte Profil ??

Vielen Dank schonmal im voraus.

p.s. hoffe neuer Thread ist in Ordnung.

MountainKing 14.09.2004 15:59
Mach mal bitte ein aktuelles Logfile, das ist sonst arg umständlich.

Tiger76 14.09.2004 19:53
Jo sorry, werd ich morgen wenn ich in der Firma bin nochmal machen...

schonmal Danke

Hans Pfaff 24.09.2004 17:52
Hallo Tiger 76,

ich habe dasselbe Problem (gehabt). Ganz plötzlich ging mein IE nicht mehr. er hing immer auf der Suchseite und war am Downloaden von Daten aus v61.com\....

Ich habe erst mal (über AOL Browser - der ging noch) im Internet nach Hilfe gesucht und auch Deine Anfrage gefunden. Leider keine Lösung.

Später habe ich dann einen Online Virenscanner gefunden (House Call von Trend Micro). Das dauerte zwar mit meinem Schnecken-Modem... aber Hurra Hurra!!! der Scanner hat mir den Trojaner entfernt. Aber Achtung da war noch VIEL Handarbeit zu machen: Der Scanner Report zeigte viele Instanzen von TROJ_AGENT.EL. All die damit infizierten Dateien müssen manuell gelöscht werden (Besser in Papierkorb, dass sie nicht ganz verloren sind falls sie doch gebraucht werden - war aber bei mir nicht der Fall ).

Bevor einige dieser Files gelöscht werden können, müssen die entsprechenden Prozesse aber vorher im Task Manager abgebrochen werden. Ausserdem ist die Registry von den entsprechenden Einträgen zu säubern.

Alles in allem ca 3-4 Stunden Arbeit. Aber hat sich gelohnt: jetzt geht alles wieder. Ich werde jetzt erstmal meine Firewall Funktionen aktivieren und den Fremdzugriff auf meinen Rechner einschränken.

Ich hoffe das hilft Dir (und vielleicht anderen)

Gruss
Hans Pfaff

Hans Pfaff 24.09.2004 17:54
Hallo Tiger76,

habe noch vergessen: Die URL des Scanners:
http://de.trendmicro-europe.com/ente...all_launch.php

Tschüss


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:36 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131