Hijacking nach "www.hotoffers.info"
 

Hallo an Alle und schon mal danke für die Hilfe vorab.

Glücklicherweise handelt es sich hierbei nicht um meinen Rechner, sondern "nur" um den eines Bekannten.... Bevor jetzt gleich auf das SP2 eingegangen wird: das habe ich auf CD und werde es ihm zur Verfügung stellen, damit er es sich installieren kann. Hier die HJT-Log-Datei:

Meines Erachtens ist der vordergründige Bösewicht direkt der R0, ich bin mir aber nicht sicher, ob das dann schon alles ist, und ob es sich hier nur um einen reinen Hijacker oder um etwas gefährlicheres handelt. Wenn Ihr das bitte checken könntet, wäre ich sehr dankbar. Ich hatte aber eben gerade noch am Telefon den Eindruck, dass mein Bekannter Probleme hatte, in den abgesicherten Modus zu booten. Das sollten wir aber eben über Telefon in den Griff bekommen haben.

Vielleicht noch am Rande: der Webroot SpySweeper hat den CWS gemeldet, kriegt ihn aber anscheinend nicht (dauerhaft gefixt). Das kann aber dann ja vermutlich auch daran liegen, dass bis eben nicht im abgesicherten Modus gearbeitet wurde. Systemwiederherstellung habe ich übrigens bereits über Telefon ausschalten lassen.

Danke schon mal im Voraus!

Logfile of HijackThis v1.99.0
Scan saved at 13:24:54, on 17.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Outlook Express\msimn.exe
E:\Sicherheit-Tools\hijackthis199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/a0002/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

@ BeanMan

Platform: Windows XP (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 (6.00.2600.0000) - Betriebssystem/Browser ungepatcht:
www.windowsupdate.com

--> boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.hotoffers.info/a0002/

Aktiviere die Systemwiederherstellung und boote neu.

Wenn Du Dein System schützen willst, lade Dir die Updates runter, aktualisiere Deinen IE und steig um auf Alternative Browser.

Hallo Shadowdance.

Danke für die schnelle Antwort.

Wie schon gesagt: SP2 bekommt er von mir, Firefox hat er sich bereits besorgt. Ich war mir auf Grund des HJT-Logs nur nicht sicher, ob R0 schon allen Übels sein würde.

Gruß, BeanMan

@BeanMan
ich würde nachdem alles gemacht würde was Shadowdance empfohlen hat, noch ein neues HJT logfile hier posten zwecks sicherheit

chaosman

Hallo chaosman, Hallo Shadowdance,

wenn alles klappt, werde ich den Rechner heute gebracht bekommen. Ich werde dann noch mal das HJT-Log posten.

Danke auf jeden Fall schon mal für die schnelle und gute Unterstützung!

Gruß, BeanMan