Hi all!
*verzeifel*

habe winproc32 Browserhijacker am System gehabt.
Das heißt laufend Sexseiten als Favoriten und Einwahl.


Habe .exe entfernt sowie Einträge aus der Registry. Trotzdem versucht der Internetexplorer nach dem der Browser geöffnet ca. 30 sek später eine Verbindung herzustellen. Jedoch nicht mehr ein Seitenaufruf direkt, sondern halt nur Verbindung herstellen und es laufen ein paar byte.

Ich habe schon fast alle Einträge in Autostart Registry gecheckt auch CW-Shredder drüber, Spyboot detto und zum Schluß IE völlig neu installiert.

Egal irgendwo ist bei der fast erfolgreichen Löscherei eine Kleinigkeit übriggeblieben die das Verbindungsfenster aktiviert, obwohl ich keinen aussergewöhnlichen Task finden kann.

Wer hat noch eine Ahnung zu dem Winproc32 Browserhijacker...was und wo da übriggeblieben sein mag.

DANKE!
lg
casto

Hi casto!

nicht verzweifeln.

Also mal für den Anfang:

- scan dein System mit hijack this http://www.trojaner-board.de/forum/u...c;f=6;t=004653
- poste dein log-file dann hier (Anleitung findest du als 2ten Punkt im Board)

Danach sehen wir mal weiter

greetz
Blackdog

Hi Blackdog!
Da kommt doch gleich wieder eine wenig offnung auf...;)

Also wie gesagt ich habe anscheinend nur 99% von Browserhijacker winproc32 erwischt.
Nach einer schwachen Minute im Leerlauf des Browsers kommt Verbindungsfenster wie oben beschrieben, jedoch keine Sexseitenanwahl mehr..

Hier das LOG File bitte:

Logfile of HijackThis v1.97.7
Scan saved at 17:56:31, on 29.03.04
Platform: Windows 95 B (Win9x 4.00.1111)
MSIE: Internet Explorer v5.00 SP2 (5.00.3314.2100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\MSWHEEL.EXE
C:\SCANJET\PRECISIONSCAN\HPSJBMGR.EXE
C:\WINDOWS\SYSTEM\LOADWC.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\MSOFFICE.EXE
D:\DOWNLOADS\ENTPACKT\HIJACKTHIS1977\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/Medien/Startseite/startsite.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://sharempeg.com/find/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;gopher=209.11.25.1:80;http=proxy.aon.at:8080;https=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;*.jet2web.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ELSAdgd] c:\windows\SYSTEM\ELSAware\ELSAdgd.exe
O4 - HKLM\..\Run: [SystemAgent] C:\WINDOWS\SYSTEM\SAGE.EXE
O4 - HKLM\..\Run: [MSWHEEL] C:\WINDOWS\SYSTEM\mswheel.exe
O4 - HKLM\..\Run: [POINTER] C:\PROGRA~1\MICROS~5\point32.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [hpsjbmgr] C:\SCANJET\PrecisionScan\hpsjbmgr.exe
O4 - HKLM\..\Run: [TIPS] C:\PROGRA~1\MICROS~5\tips\mouse\tips.exe
O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon
O4 - HKLM\..\Run: [MSCSD] C:\WINDOWS\options\MSCSD.EXE /start
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunOnce: [SteganosDirectoryGuardian:SII_9527] D:\STEGANOS II SECURITY SUITE DEUTSCH\Shredder.exe c:\windows\TEMP\SII_9527 /noreq
O4 - HKLM\..\RunOnce: [SteganosDirectoryGuardian:SII_9599] D:\STEGANOS II SECURITY SUITE DEUTSCH\Shredder.exe c:\windows\TEMP\SII_9599 /noreq
O4 - Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\OFFICE\MSOFFICE.EXE
O8 - Extra context menu item: Frame in &neuem Fenster öffnen - C:\WINDOWS\WEB\frm2new.htm
O8 - Extra context menu item: &Markieren - C:\WINDOWS\WEB\highlight.htm
O8 - Extra context menu item: &Websuche - C:\WINDOWS\WEB\selsearch.htm
O8 - Extra context menu item: &Linkliste - C:\WINDOWS\WEB\urllist.htm
O8 - Extra context menu item: Ver&größern - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Ver&kleinern - C:\WINDOWS\WEB\zoomout.htm
O8 - Extra context menu item: &Bilderliste - C:\WINDOWS\Web\imglist.htm
O9 - Extra button: Wallpaper (HKLM)
O9 - Extra 'Tools' menuitem: &Toolbar Wallpaper (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .TMP: C:\Programme\Netscape\Communicator\Program\PLUGINS\nppdf32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O13 - WWW. Prefix: http://
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
O15 - Trusted Zone: www.chip.tv
O15 - Trusted Zone: http://www.hotmail.com
O15 - Trusted Zone: http://lc3.law5.hotmail.passport.com
O15 - Trusted Zone: http://lc1.law13.hotmail.passport.com
O15 - Trusted Zone: http://lc3.law13.hotmail.passport.com
O15 - Trusted Zone: http://lc1.law5.hotmail.passport.com
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://80.240.228.234/AxisCamControl.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 195.3.96.67,195.3.96.68

Casto hofft, daß es eine Lösung gibt :confused:

Nachtrag!

Nochmals Spybot (Update 4.März 2004) über die Platte und er fand nochmal einen Eintrag:

CoolWWWSearch : IE SearchAssistent
Hkey_Current_User\Software\Microsoft\InternetExplorer\Search\SearchAssistent=about:blank

Aber leider immer noch Verbindungsfenster nach einer Minute... ;-(

</font><blockquote>Zitat:</font><hr />Original erstellt von casto:
Habe .exe entfernt sowie Einträge aus der Registry. Trotzdem versucht der Internetexplorer nach dem der Browser geöffnet ca. 30 sek später eine Verbindung herzustellen. Jedoch nicht mehr ein Seitenaufruf direkt, sondern halt nur Verbindung herstellen und es laufen ein paar byte.</font>[/QUOTE]Kannst Du denn sagen, zu welcher IP die Verbindung hergestellt wird? Evtl. mit Hilfe von TCPView. Vielleicht hilft das weiter...

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Hallo Thanks mal.

Beim Öffnen des Verbindungsfensters kommt ein Listening:

TCP xy:1045 xy:0 LISTENING
TCP xy:1048 xy:0 LISTENING

Bei Verbindung dann.

TCP l1140p12.dipool.highway.telekom.at:1048 81.211.105.70:80 SYN_SENT
UDP xy:1045 *:*

kann aber auch so lauten:

TCP xy:1045 xy:0 LISTENING
TCP xy:1048 xy:0 LISTENING
TCP l1140p12.dipool.highway.telekom.at:1048 81.211.105.70:80 SYN_SENT
TCP xy:1053 xy:0 LISTENING
TCP xy:1054 xy:0 LISTENING
UDP xy:1045 *:*
UDP xy:1053 *:*
UDP xy:1054 *:*

Was horcht da wohl?

Nachsatz: Vorher also heute früh war das System sauber. Erst nach CoolwwwSearch oder so einem Zeug auf jeden Fall war die winproc.exe dabei ging der Scheixx an ...

grüße
casto

Eine Whois-Anfrage für 81.211.105.70 ergibt Sovintel in St.Petersburg, evtl. ein Telekommunikationsunternehmen. Hilft uns leider nicht wirklich weiter. :(

Was sagt denn ein Scan mit einem Virenscanner?

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Upgedateter Norton Antivirus vermeldet nichts aber auch gar nichts :)

Blöd aber ich kann es nur mit dem heute früh passierten Browser Hijacking in Bezug bringen, sind aus den Ergebnissen von "hijackthis" irgendwelche Schlüsse zu ziehen...?

Hi, kann denn wirklich NIEMAND mein Log von Hijack This bewerten???

casto

[img]graemlins/heulen.gif[/img] [img]graemlins/heulen.gif[/img] [img]graemlins/heulen.gif[/img]

</font><blockquote>Zitat:</font><hr />...kann denn wirklich NIEMAND mein Log von Hijack This bewerten???
</font>[/QUOTE]...doch. Will aber keiner. Es gibt www.google.de, wo du selbst alle im Log dargestellten Prozesse aussuchen kannst. Wenn du zu einem oder anderen Prozess noch Fragen hast, kannst du die hier stellen.

</font><blockquote>Zitat:</font><hr />Eine Whois-Anfrage für 81.211.105.70 ergibt Sovintel in St.Petersburg, evtl. ein Telekommunikationsunternehmen</font>[/QUOTE]...und nicht von schlechten Eltern - Zugriff über Microsoft Passport ist möglich.

Danke für die Antwort. Kannst noch sagen was du mit nicht von schlechten Eltern meinst oder konkret sagen willst...?

Passport..mmhhh habe ein Hotmail Konto...

tks
casto

Nachsatz: Ich habe geduldig ein paar Tage gewartet, dass ich Infos zum LOG bekomme. Ich kenne mich noch nicht gut aus, aber wenn es NIEMAND freut wie @Rene-gad sagt kann ich natürlich nix machen :-(

Ist ja lustig wenn ich wie so nett vorgeschlagen meine eigenen LOG Zeilen eingebe, findet Google mein Posting 'standing allone' im Suchergebnis...geil :-((
:eek:

Zwei Tips hätte ich noch, obs was bringt weiß ich nicht.

1.) Probier mal verschiedene AV-Scanner aus. Kostenlos sind AVPE und Bitdefender Free Edition, Trendmicro Online Scan (braucht IE und ActiveX).
2.) WindowsUpdate

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Ja mache ich, danke.

Win Update wird nix mehr werden, versuche gerade die aktualisierte Microsoft Virtual Machine VM Build 3810 zum downen aber erfolglos, der Billy hat das Update zu WIN95 ja beendet und als komplettes File für Admin finde ich sie leider nicht.

So ist das halt wenn man sein System nicht wechseln will....selber schuld ;) [img]graemlins/heulen.gif[/img]