Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Seite free6.se startet beim IE6 automatisch? (https://www.trojaner-board.de/8861-seite-free6-se-startet-beim-ie6-automatisch.html)

MiB199 26.10.2004 21:27
Seite free6.se startet beim IE6 automatisch?
 
Hi,

seit kurzem öffnet sich beim Start des IE6 die Seite www.free6.se automatisch. Woran liegt dies?
AntiVir Personal Edition findet nichts. In der Registry finde ich auch nichts, der Security Task Manager zeigt nichts ungewöhnliches an.
Ich bin etwas ratlos.

Kann mir jemand helfen? Das wäre super nett.

Danke im Voraus.

LG

MiB199

Lidius 26.10.2004 21:29
Lade dir Hijackthis runter
http://www.trojaner-board.de/51130-a...ijackthis.html

und poste das log hier

MiB199 26.10.2004 21:40
Logfile of HijackThis v1.98.2
Scan saved at 22:39:24, on 26.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Programme\TotalCommanderV551\TOTALCMD.EXE
C:\DOKUME~1\MICHAEL\LOKALE~1\TEMP\_tc\HIJACK~1.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = hxxp://your-searcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://your-searcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://your-searcher.com/sp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://your-searcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = hxxp://your-searcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\whelper1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ProfiDialer] C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe -watchermode
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!hxxp://195.225.177.13/20646/online.chm::/on-line.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!hxxp://213.159.117.133/dl/adv74/x.chm::/load.exe
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - hxxp://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{104171AD-B841-457D-8BD4-B243CC500E13}: NameServer = 217.237.150.33 217.237.151.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5F20257-53AA-4E38-AD71-825CEA91EBFC}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{104171AD-B841-457D-8BD4-B243CC500E13}: NameServer = 217.237.150.33 217.237.151.161
O21 - SSODL: System - {6334891D-1D23-4B65-9202-2C0B915B8F4D} - C:\WINDOWS\system32\system32.dll
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll

Shadowdance 27.10.2004 05:26
Hallo MiB199,

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com

Arbeite bitte zuerst das Tutorial der Spybot-Forschung Punkt für Punkt durch, überprüfe den Rechner mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "your-searcher.com-TBOARD" und Hinweis auf diesen Thread. (Nicht im Forum posten, da zwecklos!)

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = ht*p://your-searcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ht*p://your-searcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://your-searcher.com/sp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = ht*p://your-searcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = ht*p://your-searcher.com/sp.htm

O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg

O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe

O21 - SSODL: System - {6334891D-1D23-4B65-9202-2C0B915B8F4D} - C:\WINDOWS\system32\system32.dll
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll

wenn Du folgende Einträge nicht kennst/brauchst bitte fixen:

O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/20646/online.chm::/on-line.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv74/x.chm::/load.exe
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab

lösche

C:\WINDOWS\system32\system32.dll
C:\WINDOWS\System32\vbsys.dll

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung,

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es.

SD

MiB199 27.10.2004 07:18
Hi,

das hört sich kompliziert an.

Wo hat sich das Ding denn eingenistet? In der Resgistry kann dies doch nicht sein, oder doch? Wie geht dies von statten?

Ich werde dies mal ausprobieren. Aber so langesam "kotzt" mich der Microsoft echt an. Sorry, bin ich genervt. Hatte erst im Sommer eine Dialer Attacke, obwohl ALLE MS Updates bis dahin durchgeführt wurden.
Ok, ich werde die o.g. Schritte machen. Melde mich dann wieder hier.

Dank im Voraus schon mal.

MiB

Shadowdance 27.10.2004 08:22
@ MiB199

fixen bedeutet: Häkchen setzen und fix checked klicken.

Ob und wenn ja, wo Du Viren auf dem System hast, erfahren wir, wenn Du den eScan auf Deinem System - entsprechend der gegebenen Anweisung durchlaufen läßt.

Wenn Du sicher surfen willst, musst Du künftig ein paar Schritte beachten:

Pflichtlektüre:

- Vorbeugende Maßnahmen: www.trojaner-info.de
- www.mathematik.uni-marburg.de
- IE sicher konfigurieren: www.datenschutzzentrum.de.
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- faq.underflow.de

SD

MiB199 28.10.2004 20:17
Hi

habe die Anweisungen alle befolgt. Und siehe da - das Starten der Websites von free6.se etc findet nicht mehr statt.

DAAAAAAAAAAAAAAAAANKE Euch allen.

Sagt mal, wenn ich Mozilla Firefox verwende, habe ich dann diese Probleme nicht mehr?

Escsan muss ich noch laufen lassen... Das habe ich noch nicht geschafft ==> 7 Wochen alte kleine Tochter. Da hab ich kaum noch Zeit :-)

LG

MiB199

*Christian* 28.10.2004 20:32
Firefox ist gegen solche Browser-Hijacker immun: www.firefox-browser.de
Probier den Browser doch einfach mal aus. ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:49 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131