Zum Inhalt springen

Browser entführt *HELP*


Empfohlene Beiträge

Geschrieben

Servus,

habs irgendwie geschafft meinen Internet Explorer (6 mit SP2 auf Win XP Prof mit SP2) mit Spyware oder ähnlichem zu verseuchen. auf jeden fall öffnet der immer diese Seite und das hier wird ausgelöst. im Anschluss meldet Antivir diesen bzw. diesen Trojaner. Hier denk ich mal werden die von der entführten Startseite wieder aufs System geschoben.

Ad-Aware findet nix mehr. Antivir schlägt nur Alarm, wenn ich den Internet Exploerer öffne und Spybot findet stetig DSO Exploit, der sich jedoch nicht entfernen lässt.

Auch nachdem die oben genannten Programme ausgeführt wurden, wird immernoch eine falsche Startseite angezeigt.

Hat noch jemand ne Idee, wie ich meinen Browser wiederbekomme?? Hab zwar parallel Firefox 1.0 laufen, aber für manches brauch ich den Internet Explorer halt zwingend.

Schonmal danke für eure Hilfe.

P.S. Wäre die Suchfunktion im Moment aktiv, hätte ich die natürlich zunächst befragt *g*

Geschrieben
Nimm bitte mal HijackThis und poste das Logfile.

Erstmal Sorry: Hab bei Erstellung zu schnell auf Thema erstellen geklickt, evtl. Ergänzungen stehen noch oben.

Hier das Logfile:

Logfile of HijackThis v1.98.2

Scan saved at 23:05:42, on 17.11.2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AVPersonal\AVGUARD.EXE

C:\WINDOWS\system32\Ati2evxx.exe

C:\Programme\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\SYSTEM32\GEARSEC.EXE

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\atiptaxx.exe

C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE

C:\PROGRA~1\NOKIAP~1\NOKIAP~1\TRAYAP~1.EXE

C:\Programme\AVPersonal\AVGNT.EXE

C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE

C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Programme\PopTray\PopTray.exe

C:\Programme\Spybot\TeaTimer.exe

C:\Programme\Spybot\SpybotSD.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Internet Explorer\IEXPLORE.EXE

D:\Eigene Dateien\Programme\Security\HijackThis19802.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ffnjk.dll/sp.html#11111

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ffnjk.dll/sp.html#11111

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ffnjk.dll/sp.html#11111

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ffnjk.dll/sp.html#11111

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ffnjk.dll/sp.html#11111

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ffnjk.dll/sp.html#11111

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ffnjk.dll/sp.html#11111

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: (no name) - {D729152E-DC8A-1818-A137-A22D8D05AA26} - C:\WINDOWS\system32\appms32.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\NOKIAP~1\NOKIAP~1\TRAYAP~1.EXE

O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe

O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe

O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

Edit: cwshredder hat auch nichts gefunden...

Geschrieben

Sowas ist lästig ..

bitte fixe folgendes :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ffnjk.dll/sp.html#11111

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ffnjk.dll/sp.html#11111

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ffnjk.dll/sp.html#11111

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ffnjk.dll/sp.html#11111

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ffnjk.dll/sp.html#11111

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ffnjk.dll/sp.html#11111

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ffnjk.dll/sp.html#11111

R3 - Default URLSearchHook is missing

dann gehste mal auf www.trendmicro.de , klickst auf Produkte und wählst HouseCall aus und lässt das mal laufen.

Geschrieben
Sowas ist lästig ..

bitte fixe folgendes :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ffnjk.dll/sp.html#11111

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ffnjk.dll/sp.html#11111

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ffnjk.dll/sp.html#11111

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ffnjk.dll/sp.html#11111

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ffnjk.dll/sp.html#11111

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ffnjk.dll/sp.html#11111

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ffnjk.dll/sp.html#11111

R3 - Default URLSearchHook is missing

was meinst du mit R0 R1 usw.??

Geschrieben

Das sind die Registry-Einträge so wie Du Sie im Log gepostet hast.

Alternativ kannst Du Dich auch mal mit spysubtract dran versuchen. Das bietet auch die Möglichkeit die Einträge zu löschen die es identifiziert hat. War bei mir erfolgreicher als CWShredder, Adaware und HijackThis.

Geschrieben
Schick uns doch mal bitte deine hosts Datei.

D_Z

ist irgendwie komisch. ich find die hosts Datei unter C:\WINDOWS\system32\drivers\etc nicht. wenn ich die platte durchsuche find ich auch nur die lmhosts.sam im oben genannten verzeichnis.... *wunder*

Geschrieben
Lass mal die versteckten Dateien anzeigen.

Die Suchfunktion unter XP blendet auch standardmässig Systemdateien und versteckte Dateien aus. Suchfunktion, linker Bereich: Optionen.

Systemdateien und versteckte Dateien lass ich anzeigen, und auch wenn ich die Suchfuntion entsprechend veränder find ich keine host Datei.... langsam wirds ein fall für akte x...

Geschrieben
Das sind die Registry-Einträge so wie Du Sie im Log gepostet hast.

Alternativ kannst Du Dich auch mal mit spysubtract dran versuchen. Das bietet auch die Möglichkeit die Einträge zu löschen die es identifiziert hat. War bei mir erfolgreicher als CWShredder, Adaware und HijackThis.

Spysubstract hat auch nichts gebracht...

edit:

hab unter C:\WINDOWS\system32\drivers\etc die Datei network gefunden, die mich vom Aufbau her an die hosts erinnert. Bin mir aber nicht wirklich sicher, ob die schon immer da war oder jetzt erst... Hier der Dateiinhalt:

# Copyright (c) 1993-1999 Microsoft Corp.

#

# In dieser Datei werden einzelnen Netzwerknamen die entsprechenden

# Netzwerknummern für lokale Netzwerke zugeordnet.

# Bearbeiten Sie diese Datei mit einem ASCII-Editor.

#

# Netzwerknummern werden in der punktierten Dezimalschreibweise

# angegeben.

#

# Format:

#

# <Netzwerkname>  <Netzwerknummer>     [Alias...]   [#<Kommentar>]

#

# Beispiel:

#

#    loopback     127

#    standort     284.122.107

#    london       284.122.108


loopback                 127

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...