Zurück   Trojaner-Board > Sicherheit > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Browser Hijacker Winproc32

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen.

Antwort
Alt 29.03.2004, 16:38   #1
casto
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



Hi all!
*verzeifel*

habe winproc32 Browserhijacker am System gehabt.
Das heißt laufend Sexseiten als Favoriten und Einwahl.


Habe .exe entfernt sowie Einträge aus der Registry. Trotzdem versucht der Internetexplorer nach dem der Browser geöffnet ca. 30 sek später eine Verbindung herzustellen. Jedoch nicht mehr ein Seitenaufruf direkt, sondern halt nur Verbindung herstellen und es laufen ein paar byte.

Ich habe schon fast alle Einträge in Autostart Registry gecheckt auch CW-Shredder drüber, Spyboot detto und zum Schluß IE völlig neu installiert.

Egal irgendwo ist bei der fast erfolgreichen Löscherei eine Kleinigkeit übriggeblieben die das Verbindungsfenster aktiviert, obwohl ich keinen aussergewöhnlichen Task finden kann.

Wer hat noch eine Ahnung zu dem Winproc32 Browserhijacker...was und wo da übriggeblieben sein mag.

DANKE!
lg
casto

Alt 29.03.2004, 17:02   #2
BLACKDOG
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



Hi casto!

nicht verzweifeln.

Also mal für den Anfang:

- scan dein System mit hijack this http://www.trojaner-board.de/forum/u...c;f=6;t=004653
- poste dein log-file dann hier (Anleitung findest du als 2ten Punkt im Board)

Danach sehen wir mal weiter

greetz
Blackdog
__________________

__________________

Alt 29.03.2004, 18:06   #3
casto
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



Hi Blackdog!
Da kommt doch gleich wieder eine wenig offnung auf...

Also wie gesagt ich habe anscheinend nur 99% von Browserhijacker winproc32 erwischt.
Nach einer schwachen Minute im Leerlauf des Browsers kommt Verbindungsfenster wie oben beschrieben, jedoch keine Sexseitenanwahl mehr..

Hier das LOG File bitte:

Logfile of HijackThis v1.97.7
Scan saved at 17:56:31, on 29.03.04
Platform: Windows 95 B (Win9x 4.00.1111)
MSIE: Internet Explorer v5.00 SP2 (5.00.3314.2100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\MSWHEEL.EXE
C:\SCANJET\PRECISIONSCAN\HPSJBMGR.EXE
C:\WINDOWS\SYSTEM\LOADWC.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\MSOFFICE.EXE
D:\DOWNLOADS\ENTPACKT\HIJACKTHIS1977\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/Medien/Startseite/startsite.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://sharempeg.com/find/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;gopher=209.11.25.1:80;http=proxy.aon.at:8080;https=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;*.jet2web.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ELSAdgd] c:\windows\SYSTEM\ELSAware\ELSAdgd.exe
O4 - HKLM\..\Run: [SystemAgent] C:\WINDOWS\SYSTEM\SAGE.EXE
O4 - HKLM\..\Run: [MSWHEEL] C:\WINDOWS\SYSTEM\mswheel.exe
O4 - HKLM\..\Run: [POINTER] C:\PROGRA~1\MICROS~5\point32.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [hpsjbmgr] C:\SCANJET\PrecisionScan\hpsjbmgr.exe
O4 - HKLM\..\Run: [TIPS] C:\PROGRA~1\MICROS~5\tips\mouse\tips.exe
O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon
O4 - HKLM\..\Run: [MSCSD] C:\WINDOWS\options\MSCSD.EXE /start
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunOnce: [SteganosDirectoryGuardian:SII_9527] D:\STEGANOS II SECURITY SUITE DEUTSCH\Shredder.exe c:\windows\TEMP\SII_9527 /noreq
O4 - HKLM\..\RunOnce: [SteganosDirectoryGuardian:SII_9599] D:\STEGANOS II SECURITY SUITE DEUTSCH\Shredder.exe c:\windows\TEMP\SII_9599 /noreq
O4 - Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\OFFICE\MSOFFICE.EXE
O8 - Extra context menu item: Frame in &neuem Fenster öffnen - C:\WINDOWS\WEB\frm2new.htm
O8 - Extra context menu item: &Markieren - C:\WINDOWS\WEB\highlight.htm
O8 - Extra context menu item: &Websuche - C:\WINDOWS\WEB\selsearch.htm
O8 - Extra context menu item: &Linkliste - C:\WINDOWS\WEB\urllist.htm
O8 - Extra context menu item: Ver&größern - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Ver&kleinern - C:\WINDOWS\WEB\zoomout.htm
O8 - Extra context menu item: &Bilderliste - C:\WINDOWS\Web\imglist.htm
O9 - Extra button: Wallpaper (HKLM)
O9 - Extra 'Tools' menuitem: &Toolbar Wallpaper (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .TMP: C:\Programme\Netscape\Communicator\Program\PLUGINS\nppdf32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O13 - WWW. Prefix: http://
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
O15 - Trusted Zone: www.chip.tv
O15 - Trusted Zone: http://www.hotmail.com
O15 - Trusted Zone: http://lc3.law5.hotmail.passport.com
O15 - Trusted Zone: http://lc1.law13.hotmail.passport.com
O15 - Trusted Zone: http://lc3.law13.hotmail.passport.com
O15 - Trusted Zone: http://lc1.law5.hotmail.passport.com
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://80.240.228.234/AxisCamControl.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 195.3.96.67,195.3.96.68

Casto hofft, daß es eine Lösung gibt
__________________

Alt 29.03.2004, 19:44   #4
casto
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



Nachtrag!

Nochmals Spybot (Update 4.März 2004) über die Platte und er fand nochmal einen Eintrag:

CoolWWWSearch : IE SearchAssistent
Hkey_Current_User\Software\Microsoft\InternetExplorer\Search\SearchAssistent=about:blank

Aber leider immer noch Verbindungsfenster nach einer Minute... ;-(

Alt 29.03.2004, 20:03   #5
Yopie
Moderator, a.D.
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



</font><blockquote>Zitat:</font><hr />Original erstellt von casto:
Habe .exe entfernt sowie Einträge aus der Registry. Trotzdem versucht der Internetexplorer nach dem der Browser geöffnet ca. 30 sek später eine Verbindung herzustellen. Jedoch nicht mehr ein Seitenaufruf direkt, sondern halt nur Verbindung herstellen und es laufen ein paar byte.</font>[/QUOTE]Kannst Du denn sagen, zu welcher IP die Verbindung hergestellt wird? Evtl. mit Hilfe von TCPView. Vielleicht hilft das weiter...

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie


Alt 29.03.2004, 20:48   #6
casto
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



Hallo Thanks mal.

Beim Öffnen des Verbindungsfensters kommt ein Listening:

TCP xy:1045 xy:0 LISTENING
TCP xy:1048 xy:0 LISTENING

Bei Verbindung dann.

TCP l1140p12.dipool.highway.telekom.at:1048 81.211.105.70:80 SYN_SENT
UDP xy:1045 *:*

kann aber auch so lauten:

TCP xy:1045 xy:0 LISTENING
TCP xy:1048 xy:0 LISTENING
TCP l1140p12.dipool.highway.telekom.at:1048 81.211.105.70:80 SYN_SENT
TCP xy:1053 xy:0 LISTENING
TCP xy:1054 xy:0 LISTENING
UDP xy:1045 *:*
UDP xy:1053 *:*
UDP xy:1054 *:*

Was horcht da wohl?

Nachsatz: Vorher also heute früh war das System sauber. Erst nach CoolwwwSearch oder so einem Zeug auf jeden Fall war die winproc.exe dabei ging der Scheixx an ...

grüße
casto

Alt 29.03.2004, 21:07   #7
Yopie
Moderator, a.D.
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



Eine Whois-Anfrage für 81.211.105.70 ergibt Sovintel in St.Petersburg, evtl. ein Telekommunikationsunternehmen. Hilft uns leider nicht wirklich weiter.

Was sagt denn ein Scan mit einem Virenscanner?

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Alt 29.03.2004, 21:15   #8
casto
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



Upgedateter Norton Antivirus vermeldet nichts aber auch gar nichts

Blöd aber ich kann es nur mit dem heute früh passierten Browser Hijacking in Bezug bringen, sind aus den Ergebnissen von "hijackthis" irgendwelche Schlüsse zu ziehen...?

Alt 02.04.2004, 21:34   #9
casto
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



Hi, kann denn wirklich NIEMAND mein Log von Hijack This bewerten???

casto

[img]graemlins/heulen.gif[/img] [img]graemlins/heulen.gif[/img] [img]graemlins/heulen.gif[/img]

Alt 02.04.2004, 21:53   #10
Rene-gad
 
Browser Hijacker Winproc32 - Beitrag

Browser Hijacker Winproc32



</font><blockquote>Zitat:</font><hr />...kann denn wirklich NIEMAND mein Log von Hijack This bewerten???
</font>[/QUOTE]...doch. Will aber keiner. Es gibt www.google.de, wo du selbst alle im Log dargestellten Prozesse aussuchen kannst. Wenn du zu einem oder anderen Prozess noch Fragen hast, kannst du die hier stellen.

Antwort

Stichworte zu Browser Hijacker Winproc32
.exe, ahnung, aktiviert, aufruf, autostart, browserhijacker, direkt, einträge, entfernt, explorer, favoriten, gecheckt, herstellen, installier, interne, internetexplorer, laufend, neu, nicht mehr, schluß, seitenaufruf, sexseite, sexseiten, spyboot, system, träge, verbindung, versucht



Ähnliche Themen: Browser Hijacker Winproc32


  1. Browser Hijacker?
    Plagegeister aller Art und deren Bekämpfung - 19.11.2013 (17)
  2. Qvo6 Browser-Hijacker
    Log-Analyse und Auswertung - 16.05.2013 (1)
  3. 95p.com Browser Hijacker Virus
    Log-Analyse und Auswertung - 13.01.2012 (12)
  4. Browser Hijacker ?
    Plagegeister aller Art und deren Bekämpfung - 17.06.2007 (10)
  5. browser hijacker
    Mülltonne - 09.04.2007 (1)
  6. Adlogix Browser Hijacker
    Log-Analyse und Auswertung - 18.12.2006 (1)
  7. Browser Hijacker 9991.com
    Log-Analyse und Auswertung - 29.04.2006 (7)
  8. cws.loadadv.400 Browser Hijacker
    Plagegeister aller Art und deren Bekämpfung - 11.04.2006 (2)
  9. CWS.LOADADV.400 browser hijacker
    Plagegeister aller Art und deren Bekämpfung - 21.01.2006 (4)
  10. Browser HiJacker wer weiss Rat?
    Log-Analyse und Auswertung - 18.09.2005 (5)
  11. Browser Hijacker
    Log-Analyse und Auswertung - 31.01.2005 (3)
  12. Browser-Hijacker
    Log-Analyse und Auswertung - 11.11.2004 (13)
  13. was ist das?? browser hijacker??
    Log-Analyse und Auswertung - 09.11.2004 (2)
  14. Browser Hijacker
    Log-Analyse und Auswertung - 30.06.2004 (5)

Zum Thema Browser Hijacker Winproc32 - Hi all! *verzeifel* habe winproc32 Browserhijacker am System gehabt. Das heißt laufend Sexseiten als Favoriten und Einwahl. Habe .exe entfernt sowie Einträge aus der Registry. Trotzdem versucht der Internetexplorer nach Windows 7 Browser Hijacker Winproc32...
Archiv
Du betrachtest: Browser Hijacker Winproc32 auf Trojaner-Board