Hüsi Geschrieben 17. November 2004 Teilen Geschrieben 17. November 2004 Servus, habs irgendwie geschafft meinen Internet Explorer (6 mit SP2 auf Win XP Prof mit SP2) mit Spyware oder ähnlichem zu verseuchen. auf jeden fall öffnet der immer diese Seite und das hier wird ausgelöst. im Anschluss meldet Antivir diesen bzw. diesen Trojaner. Hier denk ich mal werden die von der entführten Startseite wieder aufs System geschoben. Ad-Aware findet nix mehr. Antivir schlägt nur Alarm, wenn ich den Internet Exploerer öffne und Spybot findet stetig DSO Exploit, der sich jedoch nicht entfernen lässt. Auch nachdem die oben genannten Programme ausgeführt wurden, wird immernoch eine falsche Startseite angezeigt. Hat noch jemand ne Idee, wie ich meinen Browser wiederbekomme?? Hab zwar parallel Firefox 1.0 laufen, aber für manches brauch ich den Internet Explorer halt zwingend. Schonmal danke für eure Hilfe. P.S. Wäre die Suchfunktion im Moment aktiv, hätte ich die natürlich zunächst befragt *g* Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thanks-and-Goodbye Geschrieben 17. November 2004 Teilen Geschrieben 17. November 2004 Nimm bitte mal HijackThis und poste das Logfile. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hades Geschrieben 17. November 2004 Teilen Geschrieben 17. November 2004 Nimm Adaware, Spybotsd, cwshredder und lasse sie auf Dein System los. Wenn diese auch nichts finden, dann hilft HiJackThis zur Auswertung der Systemeintraege. Bitte dann das HiJackThis-Log hier posten. Alle Tools findest Du in der Linkliste Securityforum http://forum.fachinformatiker.de/showthread.php?t=47862 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Hüsi Geschrieben 17. November 2004 Autor Teilen Geschrieben 17. November 2004 Nimm bitte mal HijackThis und poste das Logfile. Erstmal Sorry: Hab bei Erstellung zu schnell auf Thema erstellen geklickt, evtl. Ergänzungen stehen noch oben. Hier das Logfile: Logfile of HijackThis v1.98.2 Scan saved at 23:05:42, on 17.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\atiptaxx.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\NOKIAP~1\NOKIAP~1\TRAYAP~1.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\PopTray\PopTray.exe C:\Programme\Spybot\TeaTimer.exe C:\Programme\Spybot\SpybotSD.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Internet Explorer\IEXPLORE.EXE D:\Eigene Dateien\Programme\Security\HijackThis19802.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ffnjk.dll/sp.html#11111 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ffnjk.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ffnjk.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ffnjk.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ffnjk.dll/sp.html#11111 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ffnjk.dll/sp.html#11111 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ffnjk.dll/sp.html#11111 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: (no name) - {D729152E-DC8A-1818-A137-A22D8D05AA26} - C:\WINDOWS\system32\appms32.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\NOKIAP~1\NOKIAP~1\TRAYAP~1.EXE O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL Edit: cwshredder hat auch nichts gefunden... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
FISI-Azubi Geschrieben 18. November 2004 Teilen Geschrieben 18. November 2004 Sowas ist lästig .. bitte fixe folgendes : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ffnjk.dll/sp.html#11111 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ffnjk.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ffnjk.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ffnjk.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ffnjk.dll/sp.html#11111 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ffnjk.dll/sp.html#11111 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ffnjk.dll/sp.html#11111 R3 - Default URLSearchHook is missing dann gehste mal auf www.trendmicro.de , klickst auf Produkte und wählst HouseCall aus und lässt das mal laufen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Hüsi Geschrieben 18. November 2004 Autor Teilen Geschrieben 18. November 2004 Sowas ist lästig .. bitte fixe folgendes : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ffnjk.dll/sp.html#11111 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ffnjk.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ffnjk.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ffnjk.dll/sp.html#11111 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ffnjk.dll/sp.html#11111 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ffnjk.dll/sp.html#11111 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ffnjk.dll/sp.html#11111 R3 - Default URLSearchHook is missing was meinst du mit R0 R1 usw.?? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
FISI-Azubi Geschrieben 18. November 2004 Teilen Geschrieben 18. November 2004 das sollst du fixen . Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Hüsi Geschrieben 18. November 2004 Autor Teilen Geschrieben 18. November 2004 das sollst du fixen . das hast du bereits geschrieben, aber was hat R0, R1 usw für eine bedeutung? soll ich die Regestry Keys auf das angegebene Umwandeln, oder wie?? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
janlutmeh Geschrieben 18. November 2004 Teilen Geschrieben 18. November 2004 Das sind die Registry-Einträge so wie Du Sie im Log gepostet hast. Alternativ kannst Du Dich auch mal mit spysubtract dran versuchen. Das bietet auch die Möglichkeit die Einträge zu löschen die es identifiziert hat. War bei mir erfolgreicher als CWShredder, Adaware und HijackThis. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Darth_Zeus Geschrieben 18. November 2004 Teilen Geschrieben 18. November 2004 Schick uns doch mal bitte deine hosts Datei. D_Z Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Hüsi Geschrieben 18. November 2004 Autor Teilen Geschrieben 18. November 2004 Schick uns doch mal bitte deine hosts Datei. D_Z ist irgendwie komisch. ich find die hosts Datei unter C:\WINDOWS\system32\drivers\etc nicht. wenn ich die platte durchsuche find ich auch nur die lmhosts.sam im oben genannten verzeichnis.... *wunder* Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thanks-and-Goodbye Geschrieben 18. November 2004 Teilen Geschrieben 18. November 2004 Lass mal die versteckten Dateien anzeigen. Die Suchfunktion unter XP blendet auch standardmässig Systemdateien und versteckte Dateien aus. Suchfunktion, linker Bereich: Optionen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Hüsi Geschrieben 18. November 2004 Autor Teilen Geschrieben 18. November 2004 Lass mal die versteckten Dateien anzeigen. Die Suchfunktion unter XP blendet auch standardmässig Systemdateien und versteckte Dateien aus. Suchfunktion, linker Bereich: Optionen. Systemdateien und versteckte Dateien lass ich anzeigen, und auch wenn ich die Suchfuntion entsprechend veränder find ich keine host Datei.... langsam wirds ein fall für akte x... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Hüsi Geschrieben 18. November 2004 Autor Teilen Geschrieben 18. November 2004 Das sind die Registry-Einträge so wie Du Sie im Log gepostet hast. Alternativ kannst Du Dich auch mal mit spysubtract dran versuchen. Das bietet auch die Möglichkeit die Einträge zu löschen die es identifiziert hat. War bei mir erfolgreicher als CWShredder, Adaware und HijackThis. Spysubstract hat auch nichts gebracht... edit: hab unter C:\WINDOWS\system32\drivers\etc die Datei network gefunden, die mich vom Aufbau her an die hosts erinnert. Bin mir aber nicht wirklich sicher, ob die schon immer da war oder jetzt erst... Hier der Dateiinhalt:# Copyright (c) 1993-1999 Microsoft Corp. # # In dieser Datei werden einzelnen Netzwerknamen die entsprechenden # Netzwerknummern für lokale Netzwerke zugeordnet. # Bearbeiten Sie diese Datei mit einem ASCII-Editor. # # Netzwerknummern werden in der punktierten Dezimalschreibweise # angegeben. # # Format: # # <Netzwerkname> <Netzwerknummer> [Alias...] [#<Kommentar>] # # Beispiel: # # loopback 127 # standort 284.122.107 # london 284.122.108 loopback 127 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.