Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Browser Hijacker Winproc32

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.03.2004, 15:38   #1
casto
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



Hi all!
*verzeifel*

habe winproc32 Browserhijacker am System gehabt.
Das heißt laufend Sexseiten als Favoriten und Einwahl.


Habe .exe entfernt sowie Einträge aus der Registry. Trotzdem versucht der Internetexplorer nach dem der Browser geöffnet ca. 30 sek später eine Verbindung herzustellen. Jedoch nicht mehr ein Seitenaufruf direkt, sondern halt nur Verbindung herstellen und es laufen ein paar byte.

Ich habe schon fast alle Einträge in Autostart Registry gecheckt auch CW-Shredder drüber, Spyboot detto und zum Schluß IE völlig neu installiert.

Egal irgendwo ist bei der fast erfolgreichen Löscherei eine Kleinigkeit übriggeblieben die das Verbindungsfenster aktiviert, obwohl ich keinen aussergewöhnlichen Task finden kann.

Wer hat noch eine Ahnung zu dem Winproc32 Browserhijacker...was und wo da übriggeblieben sein mag.

DANKE!
lg
casto

Alt 29.03.2004, 16:02   #2
BLACKDOG
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



Hi casto!

nicht verzweifeln.

Also mal für den Anfang:

- scan dein System mit hijack this http://www.trojaner-board.de/forum/u...c;f=6;t=004653
- poste dein log-file dann hier (Anleitung findest du als 2ten Punkt im Board)

Danach sehen wir mal weiter

greetz
Blackdog
__________________

__________________

Alt 29.03.2004, 17:06   #3
casto
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



Hi Blackdog!
Da kommt doch gleich wieder eine wenig offnung auf...

Also wie gesagt ich habe anscheinend nur 99% von Browserhijacker winproc32 erwischt.
Nach einer schwachen Minute im Leerlauf des Browsers kommt Verbindungsfenster wie oben beschrieben, jedoch keine Sexseitenanwahl mehr..

Hier das LOG File bitte:

Logfile of HijackThis v1.97.7
Scan saved at 17:56:31, on 29.03.04
Platform: Windows 95 B (Win9x 4.00.1111)
MSIE: Internet Explorer v5.00 SP2 (5.00.3314.2100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\MSWHEEL.EXE
C:\SCANJET\PRECISIONSCAN\HPSJBMGR.EXE
C:\WINDOWS\SYSTEM\LOADWC.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\MSOFFICE.EXE
D:\DOWNLOADS\ENTPACKT\HIJACKTHIS1977\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/Medien/Startseite/startsite.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://sharempeg.com/find/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;gopher=209.11.25.1:80;http=proxy.aon.at:8080;https=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;*.jet2web.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ELSAdgd] c:\windows\SYSTEM\ELSAware\ELSAdgd.exe
O4 - HKLM\..\Run: [SystemAgent] C:\WINDOWS\SYSTEM\SAGE.EXE
O4 - HKLM\..\Run: [MSWHEEL] C:\WINDOWS\SYSTEM\mswheel.exe
O4 - HKLM\..\Run: [POINTER] C:\PROGRA~1\MICROS~5\point32.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [hpsjbmgr] C:\SCANJET\PrecisionScan\hpsjbmgr.exe
O4 - HKLM\..\Run: [TIPS] C:\PROGRA~1\MICROS~5\tips\mouse\tips.exe
O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon
O4 - HKLM\..\Run: [MSCSD] C:\WINDOWS\options\MSCSD.EXE /start
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunOnce: [SteganosDirectoryGuardian:SII_9527] D:\STEGANOS II SECURITY SUITE DEUTSCH\Shredder.exe c:\windows\TEMP\SII_9527 /noreq
O4 - HKLM\..\RunOnce: [SteganosDirectoryGuardian:SII_9599] D:\STEGANOS II SECURITY SUITE DEUTSCH\Shredder.exe c:\windows\TEMP\SII_9599 /noreq
O4 - Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\OFFICE\MSOFFICE.EXE
O8 - Extra context menu item: Frame in &neuem Fenster öffnen - C:\WINDOWS\WEB\frm2new.htm
O8 - Extra context menu item: &Markieren - C:\WINDOWS\WEB\highlight.htm
O8 - Extra context menu item: &Websuche - C:\WINDOWS\WEB\selsearch.htm
O8 - Extra context menu item: &Linkliste - C:\WINDOWS\WEB\urllist.htm
O8 - Extra context menu item: Ver&größern - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Ver&kleinern - C:\WINDOWS\WEB\zoomout.htm
O8 - Extra context menu item: &Bilderliste - C:\WINDOWS\Web\imglist.htm
O9 - Extra button: Wallpaper (HKLM)
O9 - Extra 'Tools' menuitem: &Toolbar Wallpaper (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .TMP: C:\Programme\Netscape\Communicator\Program\PLUGINS\nppdf32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O13 - WWW. Prefix: http://
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
O15 - Trusted Zone: www.chip.tv
O15 - Trusted Zone: http://www.hotmail.com
O15 - Trusted Zone: http://lc3.law5.hotmail.passport.com
O15 - Trusted Zone: http://lc1.law13.hotmail.passport.com
O15 - Trusted Zone: http://lc3.law13.hotmail.passport.com
O15 - Trusted Zone: http://lc1.law5.hotmail.passport.com
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://80.240.228.234/AxisCamControl.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 195.3.96.67,195.3.96.68

Casto hofft, daß es eine Lösung gibt
__________________

Alt 29.03.2004, 18:44   #4
casto
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



Nachtrag!

Nochmals Spybot (Update 4.März 2004) über die Platte und er fand nochmal einen Eintrag:

CoolWWWSearch : IE SearchAssistent
Hkey_Current_User\Software\Microsoft\InternetExplorer\Search\SearchAssistent=about:blank

Aber leider immer noch Verbindungsfenster nach einer Minute... ;-(

Alt 29.03.2004, 19:03   #5
Yopie
Moderator, a.D.
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



</font><blockquote>Zitat:</font><hr />Original erstellt von casto:
Habe .exe entfernt sowie Einträge aus der Registry. Trotzdem versucht der Internetexplorer nach dem der Browser geöffnet ca. 30 sek später eine Verbindung herzustellen. Jedoch nicht mehr ein Seitenaufruf direkt, sondern halt nur Verbindung herstellen und es laufen ein paar byte.</font>[/QUOTE]Kannst Du denn sagen, zu welcher IP die Verbindung hergestellt wird? Evtl. mit Hilfe von TCPView. Vielleicht hilft das weiter...

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie


Alt 29.03.2004, 19:48   #6
casto
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



Hallo Thanks mal.

Beim Öffnen des Verbindungsfensters kommt ein Listening:

TCP xy:1045 xy:0 LISTENING
TCP xy:1048 xy:0 LISTENING

Bei Verbindung dann.

TCP l1140p12.dipool.highway.telekom.at:1048 81.211.105.70:80 SYN_SENT
UDP xy:1045 *:*

kann aber auch so lauten:

TCP xy:1045 xy:0 LISTENING
TCP xy:1048 xy:0 LISTENING
TCP l1140p12.dipool.highway.telekom.at:1048 81.211.105.70:80 SYN_SENT
TCP xy:1053 xy:0 LISTENING
TCP xy:1054 xy:0 LISTENING
UDP xy:1045 *:*
UDP xy:1053 *:*
UDP xy:1054 *:*

Was horcht da wohl?

Nachsatz: Vorher also heute früh war das System sauber. Erst nach CoolwwwSearch oder so einem Zeug auf jeden Fall war die winproc.exe dabei ging der Scheixx an ...

grüße
casto

Alt 29.03.2004, 20:07   #7
Yopie
Moderator, a.D.
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



Eine Whois-Anfrage für 81.211.105.70 ergibt Sovintel in St.Petersburg, evtl. ein Telekommunikationsunternehmen. Hilft uns leider nicht wirklich weiter.

Was sagt denn ein Scan mit einem Virenscanner?

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Alt 29.03.2004, 20:15   #8
casto
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



Upgedateter Norton Antivirus vermeldet nichts aber auch gar nichts

Blöd aber ich kann es nur mit dem heute früh passierten Browser Hijacking in Bezug bringen, sind aus den Ergebnissen von "hijackthis" irgendwelche Schlüsse zu ziehen...?

Alt 02.04.2004, 20:34   #9
casto
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



Hi, kann denn wirklich NIEMAND mein Log von Hijack This bewerten???

casto

[img]graemlins/heulen.gif[/img] [img]graemlins/heulen.gif[/img] [img]graemlins/heulen.gif[/img]

Alt 02.04.2004, 20:53   #10
Rene-gad
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



</font><blockquote>Zitat:</font><hr />...kann denn wirklich NIEMAND mein Log von Hijack This bewerten???
</font>[/QUOTE]...doch. Will aber keiner. Es gibt www.google.de, wo du selbst alle im Log dargestellten Prozesse aussuchen kannst. Wenn du zu einem oder anderen Prozess noch Fragen hast, kannst du die hier stellen.

Alt 02.04.2004, 21:02   #11
Rene-gad
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



</font><blockquote>Zitat:</font><hr />Eine Whois-Anfrage für 81.211.105.70 ergibt Sovintel in St.Petersburg, evtl. ein Telekommunikationsunternehmen</font>[/QUOTE]...und nicht von schlechten Eltern - Zugriff über Microsoft Passport ist möglich.

Alt 02.04.2004, 21:39   #12
casto
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



Danke für die Antwort. Kannst noch sagen was du mit nicht von schlechten Eltern meinst oder konkret sagen willst...?

Passport..mmhhh habe ein Hotmail Konto...

tks
casto

Alt 02.04.2004, 21:55   #13
casto
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



Nachsatz: Ich habe geduldig ein paar Tage gewartet, dass ich Infos zum LOG bekomme. Ich kenne mich noch nicht gut aus, aber wenn es NIEMAND freut wie @Rene-gad sagt kann ich natürlich nix machen :-(

Ist ja lustig wenn ich wie so nett vorgeschlagen meine eigenen LOG Zeilen eingebe, findet Google mein Posting 'standing allone' im Suchergebnis...geil :-((

Alt 02.04.2004, 22:08   #14
Yopie
Moderator, a.D.
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



Zwei Tips hätte ich noch, obs was bringt weiß ich nicht.

1.) Probier mal verschiedene AV-Scanner aus. Kostenlos sind AVPE und Bitdefender Free Edition, Trendmicro Online Scan (braucht IE und ActiveX).
2.) WindowsUpdate

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Alt 02.04.2004, 22:29   #15
casto
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



Ja mache ich, danke.

Win Update wird nix mehr werden, versuche gerade die aktualisierte Microsoft Virtual Machine VM Build 3810 zum downen aber erfolglos, der Billy hat das Update zu WIN95 ja beendet und als komplettes File für Admin finde ich sie leider nicht.

So ist das halt wenn man sein System nicht wechseln will....selber schuld [img]graemlins/heulen.gif[/img]

Antwort

Themen zu Browser Hijacker Winproc32
.exe, ahnung, aktiviert, aufruf, autostart, browserhijacker, direkt, einträge, entfernt, explorer, favoriten, gecheckt, herstellen, installier, interne, internetexplorer, laufend, neu, nicht, nicht mehr, schluß, seitenaufruf, spyboot, system, träge, verbindung, versucht



Ähnliche Themen: Browser Hijacker Winproc32


  1. Browser Hijacker? googleadservices.com
    Plagegeister aller Art und deren Bekämpfung - 20.09.2015 (9)
  2. Browser Hijacker trovi.com u.a.
    Log-Analyse und Auswertung - 21.02.2015 (25)
  3. Windows 7: Browser Hijacker
    Log-Analyse und Auswertung - 01.01.2015 (2)
  4. Browser Hijacker?
    Plagegeister aller Art und deren Bekämpfung - 19.11.2013 (17)
  5. qvo6 Hijacker-Browser?
    Plagegeister aller Art und deren Bekämpfung - 29.07.2013 (11)
  6. Qvo6 Browser-Hijacker
    Log-Analyse und Auswertung - 16.05.2013 (1)
  7. Browser Hijacker ?
    Plagegeister aller Art und deren Bekämpfung - 17.06.2007 (10)
  8. browser hijacker
    Mülltonne - 09.04.2007 (1)
  9. Adlogix Browser Hijacker
    Log-Analyse und Auswertung - 18.12.2006 (1)
  10. cws.loadadv.400 Browser Hijacker
    Plagegeister aller Art und deren Bekämpfung - 21.08.2006 (1)
  11. Browser Hijacker 9991.com
    Log-Analyse und Auswertung - 29.04.2006 (7)
  12. cws.loadadv.400 Browser Hijacker
    Plagegeister aller Art und deren Bekämpfung - 11.04.2006 (2)
  13. Browser Hijacker
    Log-Analyse und Auswertung - 31.01.2005 (3)
  14. Browser-Hijacker
    Log-Analyse und Auswertung - 11.11.2004 (13)
  15. was ist das?? browser hijacker??
    Log-Analyse und Auswertung - 09.11.2004 (2)
  16. Browser Übergreifender Hijacker ??
    Log-Analyse und Auswertung - 22.08.2004 (2)
  17. Browser Hijacker
    Log-Analyse und Auswertung - 30.06.2004 (5)

Zum Thema Browser Hijacker Winproc32 - Hi all! *verzeifel* habe winproc32 Browserhijacker am System gehabt. Das heißt laufend Sexseiten als Favoriten und Einwahl. Habe .exe entfernt sowie Einträge aus der Registry. Trotzdem versucht der Internetexplorer nach - Browser Hijacker Winproc32...
Archiv
Du betrachtest: Browser Hijacker Winproc32 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.