Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hab ich Besuch? http:/vbs.searchwww.com/vbi.cgi - Microsoft Internet Explorer (https://www.trojaner-board.de/7155-hab-besuch-http-vbs-searchwww-com-vbi-cgi-microsoft-internet-explorer.html)

Duck 27.08.2004 18:53
Hab ich Besuch? http:/vbs.searchwww.com/vbi.cgi - Microsoft Internet Explorer
 
Guten Tag miteinander,

bin neu und habe eine Frage:
Mein Rechner mit Win XP SP2 und Norten Internet Security 2004 sowie
den zusätzlichen Prog. Spybot S&D und ad aware 6.0, alle Aktuell, hat evtl. Besuch bekommen. Seit ich das SP2 inst. habe geht gelegentlich eine kleines Fenster mit der Bezeichnung:

http:/vbs.searchwww.com/vbi.cgi - Microsoft Internet Explorer

woher kommt das? Weiß jemand Rat? Oder Irre ich mich?

Mit freundlichen Grüßen
Duck

Rene-gad 27.08.2004 18:58
Hallo
Zitat:
Zitat von Duck

http:/vbs.searchwww.com/vbi.cgi - Microsoft Internet Explorer

woher kommt das?
Alle Probleme kommen aus dem Internet ;).
Poste mal bitte HJT-Log. Ich gehe aber davon aus, dass du ggf. selbst herausfindest, wie du deinen PC wieder sauber bekommst.
2 Links zum Thema:
http://filepony.de/download-hijackthis/
www.hijackthis.de
1 Link zum Nachdenken ;).
http://faq.underflow.de/
Wenn du nicht zurecht kommst, melde dich wieder hier.
cu

Duck 27.08.2004 19:36
Guten Abend Rene-gad,
etwas schüchtern und mit nicht allzuviel Ahnung von PC's und den Systemen, habe ich das Logfile erstellt. Kann aber keinen Grund erkennen.
Vielleicht sollte ich erwähnen, ich mußte heute Mittag zu einem Termin,
zuvor habe ich aus dem Autostart, Gott verdelli, ich weiß nicht mehr, etwas wie search.??? gelöscht.Ich denke das war mit die Ursache. Der "Fehler" kam auch bis jetzt nicht mehr.
Was war das? Was Bösses? Es kann doch nicht sein das ich dererste bin, der dieses Etwas auf dem Rechner hat? - oder doch?
Für die Hilfe seih Dank
Duck

*Christian* 27.08.2004 19:48
Poste trotzdem noch das Logfile.

Dies war ein Browser-Hijacker (Browser-Entführung).
Wie das funktioniert hast du ja miterlebt.

Bentuze zum Schutz einen anderen Browser und nicht den IE: www.firefox-browser.de ist sicher, schnell und kostenlos.

Duck 27.08.2004 20:17
Hallo Christan, bitte sehr, hier das Log File.

Logfile of HijackThis v1.98.2
Scan saved at 20:21:34, on 27.08.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\WINDOWS\Dit.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Frank\Desktop\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchwww.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchwww.com/bar.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O15 - Trusted Zone: http://www.allmusic.com
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1FD0D93-2DBF-483F-8E28-83A8D00DE52F}: NameServer = 217.237.150.141 194.25.2.129

*Christian* 27.08.2004 20:25
Dies wäre zu fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchwww.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchwww.com/bar.html
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.htm
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU)

Wenn du diese Seite nicht brauchst, dann kannst du dies auch fixen:
O15 - Trusted Zone: http://www.allmusic.com

Duck 27.08.2004 20:37
Lieber Christian,
ich bin wohl zu alt, fixen kenn ich, aber nicht bei Rechnern.
Verzeih meine Unwissenheit, mit dem Englischen.
Möchte sagen, mit dem Rechnerenglisch tu ich mich schwer.
Allmusic möchte ich behalten, die Seite ist super, für Musikfreunde...
Den Rest kann ich kicken, aber wo??? Mit Regedit?
Vielen Dank im Voraus an dich und den Kollegen
Duck

*Christian* 27.08.2004 20:47
Wiealt bist du denn? :blabla:

Mache ein Häckchen vor diese Einträge und klicke auf "Fix checked" in HijackThis.
Dies war dann schon alles.

Rene-gad 27.08.2004 20:55
Zitat:
Zitat von Duck
Lieber Christian,
ich bin wohl zu alt, fixen kenn ich, aber nicht bei Rechnern.
Es geht genauso einfach ;).
http://www.trojaner-board.de/51130-a.../hith-slog.jpg,
Gegen den Einträge, die Christian erwähnt hat, den Haken setzten,
danach die Schaltfläche "Fix checked" anklicken.
EDIT:@*Christian*
Komisch, du hast 8 Min früher gepostet, und ich habe deinen Posting nicht gesehen, er war einfach nicht da!

Duck 27.08.2004 20:58
Lieber Christian,
manchmal zu alt! Hab Dank!
Duck

*Christian* 27.08.2004 21:04
@Rene
Du bist zu wenig hier. Das ist dein Problem. :blabla: ;)

Duck 27.08.2004 21:31
Danke Danke, bis zu nächsten Mal.
Duck

Duck 27.08.2004 22:24
Meine Lieben,
eine Frage bleibt doch noch, was habe ich getan, mit dem Fixen, was wurde wo gelöscht?
Vielen Dank für die Antwort und liebe Grüße
Frank

Rene-gad 28.08.2004 11:42
Hallo
Zitat:
eine Frage bleibt doch noch, was habe ich getan, mit dem Fixen, was wurde wo gelöscht?
Fixen im Sinne von Hijackthis heißt: Löschen der Registry-Einträge, die Malware zum Start aufrufen. HJT erstellt auch eine Backup-Datei, falls einen oder anderen Eintrag versehentlich gelöscht wurde.


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55