Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hi, ist zwar nicht das erste Mal, das ich mi´r die Art eingefangen habe, aber diesesmal ziemlich hartnäckig :(

Versuche mit Adaware, Hijack, CW Shredder, Stinger haben nix gebracht

Log von HJ ist:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated)

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load

O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Tevion Scanner Finder.lnk = C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe

O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html

O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)

O9 - Extra button: Recherchieren (HKLM)

O9 - Extra button: ICQ 4.0 (HKLM)

O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)

O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 (HKLM)

O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 (HKLM)

O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38091.7215162037

O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab

ich bring das Teil einfach ned weiter. Umgeleitet wird auf eine angebliche Spywareseite

Geschrieben

Such in deiner C Partition die hosts Datei und schau, was dort eingetragen ist.

Normalerweise liegt die unter Winnt/systems32/drivers/etc. Dort dürfen diese Umleitungen nicht eingetragen sein. Wenn ja, diese Einträge rauslöschen.

Vorsicht:

Manchmal findest du mehrere hosts Dateien, auch in anderen Ordnern unter C. Schau dir auch diese an. Wenn da der Quatsch drinsteht, benenn die Datei um, meinetwegen in hosts.bak. Wenn der Fehler dann behoben ist, lösch die hosts, in denen der Fehler war.

Frag nicht, woher ich das alles weiss, es war ein harter Abend, damals...

Geschrieben

@Darth_Zeus

Hallo?

Erstens HKCU usw deuten eher auf Registryeinträge genauso CSLID.

Zweitens hat Hosts mit IE Startseite nichts zu tun.

Drittens nicht alles was in Hosts steht ist schlecht

127.0.0.1 www.seitemitvielpopups.com leitet alle anfragen ins leere. Schlechte wenn dort was anderes außer 127.XXX.XXX.XXX steht.

Es sei denn irgendwelche wichtige Daten stehen dort zB

Mailserver1 10.x.x.x (wenn das wirklich Firmenserver sein soll).

Spybot und ein paar andere Programme nutzen sogar diese Auflösung und tragen einige "böswillige Seiten" auf 127.... somit werden die ins leere weitergeleitet.

Frage an @Manitu71

mit welchem Programm hast du diese Einträge bekommen?

Es sind ein paar Programme die bei dir in Registry-Autostart liegen, ein Paar Toolbars wie von google zB. und andere Sachen. ActiveX ist nicht immer "böse". Genauso die Schaltflächen im IE wie ICQ kanst ruhig ignorieren.

Gruß, Alex

Geschrieben

@alexf10

Hallo was? Ich bin nicht dein Saufkumpan, nur zur Erinnerung.

Ich hab auch nicht gesagt, dass alle Einträge schlecht sind. Ich hatte das Problem mit der Umleitung von google und ähnlichem mehr und hab es so in den Griff bekommen. Deswegen steht in meiner Antwort, er soll die betreffenden Einträge löschen. Dasselbe gilt für unterschiedliche hosts Dateien.

Nachdem die Symptome des Fehlers analog zu meinen damaligen sind, habe ich mir erlaubt, ihm zu schreiben, wie ich es in den Griff bekommen habe.

Danke.

Geschrieben

@ D_Z

da steht leider gar nix drin :(

@ alexf10

mit welchem Programm ich die bekommen hab :confused:

na auf irgendeiner Seite bin ich umgeleitet worden und schon hatte ichs *fg*

Google Toolbar ist okay, die brauch ich

sonst find ich aber nix aussergewöhnliches im Log bis auf die 2 fettgedruckten, und die müssen sich woanders wo wieder generieren :(

Geschrieben

Welche Windows-Version hast Du?

Wenn XP, 2K, NT etc..., dann guck in den Taskmanager und guck Dir speziell die Tasks an, die nicht von SYSTEM gestartet werden oder LOKALER DIENST oder NETZWERKDIENST sind, sprich User-Prozesse. Wenn da komisch klingende Prozesse drin sind, ohne sinnvollen Namen, ist das meist Anzeichen, dass das die Datei ist, die das Hijacking fortführt. Nach dieser Datei würd ich dann in der Registry suchen und den Key rausnehmen (vorher evtl. sichern). Dann die Datei selber im Dateisystem löschen und dann neu starten. Dann zum Abschluss die schon genannten Tools rüberpflügen lassen. Damit haben wir so ein Ding mühsam runterbekommen.

Geschrieben

Das ding sieht mir nach Favorite Man aus.

überprüfe mal deine /System32 bzw /system ordner. Nach dateien (dll's) die neuer Natur sind. Und wie oben genannt nach ungewöhnlcihen TASK suchen.

ZU empfehlen ist ne lokale kleine firewall wie kiero oder wie das heisst :) Da siehst du alle datein die aufs Internet zugreifen wollen und anderes. Könnte hilfreich sein.

Geschrieben

@ DogKult

nichts aussergewöhnlichs zu finden

@ Bako

XP

Taskmanager ist relativ.

Die Prozesse da unten laufen alle übern Administrator:

IEXPLORE.EXE (IE)

msmsgs.exe (Messenger)

taskmgr.exe (Taskmanager)

DitExp.exe

ScannerFinder.exe (Medion Scanner)

jusched.exe (Sun Java Update)

htpatch.exe

Dit.exe

atiptaxx.exe (ATI)

daemon.exe (virtuelles LW)

GhostStartTrayApp.exe (Norton)

CCAPP.exe

explorer.exe

mittlerweiles Log:

Logfile of HijackThis v1.97.7

Scan saved at 19:22:41, on 28.05.2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Ahead\InCD\InCDsrv.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe

C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

C:\Programme\D-Tools\daemon.exe

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\Dit.exe

C:\WINDOWS\htpatch.exe

C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe

C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe

C:\WINDOWS\DitExp.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe

O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe

O4 - Startup: Windows Update-Installation fortsetzen.lnk = C:\WINDOWS\Windows Update Setup-Dateien\ie6setup.exe

O4 - Global Startup: Tevion Scanner Finder.lnk = C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe

O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html

O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)

O9 - Extra button: Recherchieren (HKLM)

O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 (HKLM)

O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 (HKLM)

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38091.7215162037

O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab

die O2 - BHO" gefällt mir ned ganz und die kommt trotz löschens auch wieder

Geschrieben

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

Die kommt mir höchst verdächtig vor.

C:\WINDOWS\Dit.exe

C:\WINDOWS\htpatch.exe

Die sagen mir im Moment auch nix, evtl. auch mal prüfen.

C:\WINDOWS\DitExp.exe

Mir auch nicht bekannt.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...