Manitu71 Geschrieben 26. Mai 2004 Geschrieben 26. Mai 2004 Hi, ist zwar nicht das erste Mal, das ich mi´r die Art eingefangen habe, aber diesesmal ziemlich hartnäckig Versuche mit Adaware, Hijack, CW Shredder, Stinger haben nix gebracht Log von HJ ist: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated) R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Tevion Scanner Finder.lnk = C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 (HKLM) O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 (HKLM) O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38091.7215162037 O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab ich bring das Teil einfach ned weiter. Umgeleitet wird auf eine angebliche Spywareseite Zitieren
alexf10 Geschrieben 26. Mai 2004 Geschrieben 26. Mai 2004 versuche IE neu zu installieren und danach lass Spybot laufen. Zitieren
Darth_Zeus Geschrieben 26. Mai 2004 Geschrieben 26. Mai 2004 Such in deiner C Partition die hosts Datei und schau, was dort eingetragen ist. Normalerweise liegt die unter Winnt/systems32/drivers/etc. Dort dürfen diese Umleitungen nicht eingetragen sein. Wenn ja, diese Einträge rauslöschen. Vorsicht: Manchmal findest du mehrere hosts Dateien, auch in anderen Ordnern unter C. Schau dir auch diese an. Wenn da der Quatsch drinsteht, benenn die Datei um, meinetwegen in hosts.bak. Wenn der Fehler dann behoben ist, lösch die hosts, in denen der Fehler war. Frag nicht, woher ich das alles weiss, es war ein harter Abend, damals... Zitieren
Manitu71 Geschrieben 26. Mai 2004 Autor Geschrieben 26. Mai 2004 original erstellt von Darth_Zeus: Frag nicht, woher ich das alles weiss, es war ein harter Abend, damals... mit einem kleinen Schluck kühlen Weißbier Danke, ich versuchs mal so Zitieren
alexf10 Geschrieben 26. Mai 2004 Geschrieben 26. Mai 2004 @Darth_Zeus Hallo? Erstens HKCU usw deuten eher auf Registryeinträge genauso CSLID. Zweitens hat Hosts mit IE Startseite nichts zu tun. Drittens nicht alles was in Hosts steht ist schlecht 127.0.0.1 www.seitemitvielpopups.com leitet alle anfragen ins leere. Schlechte wenn dort was anderes außer 127.XXX.XXX.XXX steht. Es sei denn irgendwelche wichtige Daten stehen dort zB Mailserver1 10.x.x.x (wenn das wirklich Firmenserver sein soll). Spybot und ein paar andere Programme nutzen sogar diese Auflösung und tragen einige "böswillige Seiten" auf 127.... somit werden die ins leere weitergeleitet. Frage an @Manitu71 mit welchem Programm hast du diese Einträge bekommen? Es sind ein paar Programme die bei dir in Registry-Autostart liegen, ein Paar Toolbars wie von google zB. und andere Sachen. ActiveX ist nicht immer "böse". Genauso die Schaltflächen im IE wie ICQ kanst ruhig ignorieren. Gruß, Alex Zitieren
Darth_Zeus Geschrieben 26. Mai 2004 Geschrieben 26. Mai 2004 @alexf10 Hallo was? Ich bin nicht dein Saufkumpan, nur zur Erinnerung. Ich hab auch nicht gesagt, dass alle Einträge schlecht sind. Ich hatte das Problem mit der Umleitung von google und ähnlichem mehr und hab es so in den Griff bekommen. Deswegen steht in meiner Antwort, er soll die betreffenden Einträge löschen. Dasselbe gilt für unterschiedliche hosts Dateien. Nachdem die Symptome des Fehlers analog zu meinen damaligen sind, habe ich mir erlaubt, ihm zu schreiben, wie ich es in den Griff bekommen habe. Danke. Zitieren
Manitu71 Geschrieben 26. Mai 2004 Autor Geschrieben 26. Mai 2004 @ D_Z da steht leider gar nix drin @ alexf10 mit welchem Programm ich die bekommen hab :confused: na auf irgendeiner Seite bin ich umgeleitet worden und schon hatte ichs *fg* Google Toolbar ist okay, die brauch ich sonst find ich aber nix aussergewöhnliches im Log bis auf die 2 fettgedruckten, und die müssen sich woanders wo wieder generieren Zitieren
Bako Geschrieben 26. Mai 2004 Geschrieben 26. Mai 2004 Welche Windows-Version hast Du? Wenn XP, 2K, NT etc..., dann guck in den Taskmanager und guck Dir speziell die Tasks an, die nicht von SYSTEM gestartet werden oder LOKALER DIENST oder NETZWERKDIENST sind, sprich User-Prozesse. Wenn da komisch klingende Prozesse drin sind, ohne sinnvollen Namen, ist das meist Anzeichen, dass das die Datei ist, die das Hijacking fortführt. Nach dieser Datei würd ich dann in der Registry suchen und den Key rausnehmen (vorher evtl. sichern). Dann die Datei selber im Dateisystem löschen und dann neu starten. Dann zum Abschluss die schon genannten Tools rüberpflügen lassen. Damit haben wir so ein Ding mühsam runterbekommen. Zitieren
DogKult Geschrieben 28. Mai 2004 Geschrieben 28. Mai 2004 Das ding sieht mir nach Favorite Man aus. überprüfe mal deine /System32 bzw /system ordner. Nach dateien (dll's) die neuer Natur sind. Und wie oben genannt nach ungewöhnlcihen TASK suchen. ZU empfehlen ist ne lokale kleine firewall wie kiero oder wie das heisst Da siehst du alle datein die aufs Internet zugreifen wollen und anderes. Könnte hilfreich sein. Zitieren
Manitu71 Geschrieben 28. Mai 2004 Autor Geschrieben 28. Mai 2004 @ DogKult nichts aussergewöhnlichs zu finden @ Bako XP Taskmanager ist relativ. Die Prozesse da unten laufen alle übern Administrator: IEXPLORE.EXE (IE) msmsgs.exe (Messenger) taskmgr.exe (Taskmanager) DitExp.exe ScannerFinder.exe (Medion Scanner) jusched.exe (Sun Java Update) htpatch.exe Dit.exe atiptaxx.exe (ATI) daemon.exe (virtuelles LW) GhostStartTrayApp.exe (Norton) CCAPP.exe explorer.exe mittlerweiles Log: Logfile of HijackThis v1.97.7 Scan saved at 19:22:41, on 28.05.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE C:\WINDOWS\System32\inetsrv\inetinfo.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\Programme\D-Tools\daemon.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Dit.exe C:\WINDOWS\htpatch.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe C:\WINDOWS\DitExp.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - Startup: Windows Update-Installation fortsetzen.lnk = C:\WINDOWS\Windows Update Setup-Dateien\ie6setup.exe O4 - Global Startup: Tevion Scanner Finder.lnk = C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 (HKLM) O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38091.7215162037 O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab die O2 - BHO" gefällt mir ned ganz und die kommt trotz löschens auch wieder Zitieren
DogKult Geschrieben 28. Mai 2004 Geschrieben 28. Mai 2004 hmm welches Programm hast du denn in dem Ordner? Zitieren
Manitu71 Geschrieben 28. Mai 2004 Autor Geschrieben 28. Mai 2004 halt, hab mich da verguckt :floet: das ist das Seek & Destroy. Also muß es was anderes sein Zitieren
Bako Geschrieben 28. Mai 2004 Geschrieben 28. Mai 2004 C:\WINDOWS\System32\drivers\CDAC11BA.EXE Die kommt mir höchst verdächtig vor. C:\WINDOWS\Dit.exe C:\WINDOWS\htpatch.exe Die sagen mir im Moment auch nix, evtl. auch mal prüfen. C:\WINDOWS\DitExp.exe Mir auch nicht bekannt. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.