Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Browser Hijacking

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.03.2004, 23:23   #1
Dr.Fusel
 
Browser Hijacking - Icon17

Browser Hijacking



hallo leute, ich weiss einfach nicht mehr weiter.
ich hab schon browser-hijacker mir eingefangen, die startseite ist immer wieder die gleiche, auch wenn ich sie ändere:

http://www.searchmyrequest.com/hp.php

ich hab schon AdAware, Spybot, Antivir, Hijack This, CW Shredder, und Pest Patrol drübergeschickt, aber es geht einfach nicht weg. zudem sind meine Favoriten und mein Verlauf vollgestopft mit Pornolinks.

Was kann ich bloss tun, ausser formatieren, das hab ich nämlich erst vor ner woche getan und da hab ich nicht so bock drauf.

bitte helft mir [img]graemlins/heulen.gif[/img]

Alt 16.03.2004, 23:27   #2
Dr.Fusel
 
Browser Hijacking - Beitrag

Browser Hijacking



hier ansonsten nochmal mein logfile:

Logfile of HijackThis v1.97.7
Scan saved at 23:25:11, on 16.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\PestPatrol\PPMemCheck.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\Victoria\Desktop\Chris\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmyrequest.com/hp.php
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Office\Acrobat Reader 6\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [g4zwg8wz8c] C:\WINDOWS\23mk7j19wm.exe
O4 - HKCU\..\Run: [aimboot] %SystemRoot%\awinrar.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/154758d4...dxIE601_de.cab
__________________


Alt 16.03.2004, 23:32   #3
Dr.Fusel
 
Browser Hijacking - Beitrag

Browser Hijacking



So hab eben nochmal folgede zeilen gefixt und neu gestartet:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmyrequest.com/hp.php


und siehe da: SIE SIND SCHON WIEDER DA!
__________________

Alt 16.03.2004, 23:55   #4
mmk
 
Browser Hijacking - Idee

Browser Hijacking



Hallo, Dr.Fusel, willkommen an Board!

Lad dir das folgende Tool:
http://www.webattack.com/get/lspfix.html

Schließ den IE und führe es aus.

Geh dann in >Systemsteuerung >Ordnerpotionen und aktivier die Anzeige aller Dateien und Ordner, also auch der versteckten und der zum System gehörigen.

Such anschließend über die Windows-Suche die beiden folgenden Dateien:

awinrar.exe
23mk7j19wm.exe

Falls du sie oder auch nur eine von beiden findest, fertige eine Sicherungskopie an und lege diese in einem eigens dafür angelegten neuen Ornder ab.

Prüf sie dann beide hier:

http://www.kaspersky.com/de/remoteviruschk.html

Alt 16.03.2004, 23:56   #5
Lucky
/// Helfer-Team
 
Browser Hijacking - Beitrag

Browser Hijacking



</font><blockquote>Zitat:</font><hr />
O4 - HKLM\..\Run: [g4zwg8wz8c] C:\WINDOWS\23mk7j19wm.exe
O4 - HKCU\..\Run: [aimboot] %SystemRoot%\awinrar.exe
[...]

O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/154758d4...dxIE601_de.cab
</font>[/QUOTE]Diese beiden Zeilen finde ich komisch. Und kann damit nichts anfangen. Schon mal danach gegoogelt?

Björn

__________________
Kein Support per PM!

Alt 17.03.2004, 09:16   #6
Dr.Fusel
 
Browser Hijacking - Beitrag

Browser Hijacking



ok, es wurde folgendes gefunden:

23mk7j19wm.exe Infiziert: Trojan.Win32.StartPage.eb

awinrar.exe Ok


hab die erste nun gelöscht, hab aber noch die sicherungskopie aufm desktop

Alt 17.03.2004, 09:23   #7
Dr.Fusel
 
Browser Hijacking - Daumen hoch

Browser Hijacking



JUHUUUU, hab die datei gelöscht und jetzt ist die lästige startseite nach dem hochfahren weg.

Ich danke dir, find ich toll das ich diese geile seite gefunden hab wo einem so nett geholfen wird, dachte schon, bei mir ists aussichtslos
[img]graemlins/daumenhoch.gif[/img] [img]graemlins/daumenhoch.gif[/img] [img]graemlins/daumenhoch.gif[/img] [img]graemlins/daumenhoch.gif[/img] [img]graemlins/daumenhoch.gif[/img] [img]graemlins/daumenhoch.gif[/img] [img]graemlins/daumenhoch.gif[/img] [img]graemlins/daumenhoch.gif[/img]

Alt 17.03.2004, 12:10   #8
mmk
 
Browser Hijacking - Beitrag

Browser Hijacking



Nur um etwaigen Missverständnissen oder überstürzten Handlungen vorzubeugen: Diese Einträge

O10 - Unknown file in Winsock LSP: c:\windows\system32\ua_lsp.dll

sollten NICHT vorschnell über HijackThis "gefixed" werden, da es ansonsten Probleme mit dem Internetzugang geben könnte (Stichwort: Windows Netzwerk). Besser ist die Lösung mit LSPFix.

Alt 03.04.2004, 17:00   #9
Beowulf68
 
Browser Hijacking - Beitrag

Browser Hijacking



Hallo Leute,

ich habe dasselbe Problem. Nur habe ich die Datei awinrar.exe drauf. Sie läßt sich nicht löschen, auch nicht über DOS.

Was kann ich tun???

Beowulf

Alt 04.04.2004, 12:30   #10
Yopie
Moderator, a.D.
 
Browser Hijacking - Beitrag

Browser Hijacking



Hi Beowulf68,

willkommen an Board. [img]smile.gif[/img]

Hier gibts eine gute Anleitung, wie Du vorgehen solltest. Vielleicht hilft das ja schon weiter?

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Alt 04.04.2004, 12:35   #11
Shadow
/// Mr. Schatten
 
Browser Hijacking - Beitrag

Browser Hijacking



</font><blockquote>Zitat:</font><hr />Original erstellt von Beowulf68:
Hallo Leute,

ich habe dasselbe Problem. Nur habe ich die Datei awinrar.exe drauf. Sie läßt sich nicht löschen, auch nicht über DOS.

Was kann ich tun???

Beowulf
</font>[/QUOTE]Welche Windows-Version?
Starte Windows im abgesicherten Modus und versuche dort die Datei zu löschen
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 04.04.2004, 13:00   #12
*Christian*
Gast
 
Browser Hijacking - Beitrag

Browser Hijacking



awinrar.exe wird soeben bei Kaspersky als TrojanSpy.Win32.Conspy.g erkannt.

Alt 04.04.2004, 14:51   #13
Beowulf68
 
Browser Hijacking - Beitrag

Browser Hijacking



Hi all,

habe mich an die hier angegebene Liste gehalten. Leider kann ich die Programme CWS Shredders und HiJack This nicht laufen lassen. Jedesmal wenn ich sie starten will, keomme ich die Fehlermeldung: Die erforderliche DLL-Datei MSVBVM60.DLL wurde nicht gefunden.

Was nun????

Beowulf

Alt 04.04.2004, 15:04   #14
Yopie
Moderator, a.D.
 
Browser Hijacking - Beitrag

Browser Hijacking



Ist eine FAQ von Merijn:

Q. Why am I getting an 'Unexpected error' about a missing DLL when running HijackThis?
You need the Visual Basic Runtime Libraries to be able to run HijackThis. Most recent Windows have these installed by default, but if you don't have them, they're available from Microsoft.com.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Alt 09.04.2004, 10:10   #15
Beowulf68
 
Browser Hijacking - Beitrag

Browser Hijacking



Hallo,

ich habe immer noch ein Problem. Die Datein winrar.exe wird zwar jedesmal als Trojaner erkannt und von cwshredder und antivir gelöscht, bei jedem PC-Start ist sie allerdings wieder da. Wie kann ich diesen Trojaner endgültig entfernen?

Beowulf

Antwort

Themen zu Browser Hijacking
adaware, antivir, ausser, einfach, eingefangen, favoriten, formatiere, formatieren, gefangen, gen, helft, hijack this, immer wieder, leute, nicht, nicht mehr, patrol, seite, shredder, spybot, startseite, this, verlauf, woche, ändere




Ähnliche Themen: Browser Hijacking


  1. Überprüfung nach Reinigung von Browser Hijacking und andere Malware
    Plagegeister aller Art und deren Bekämpfung - 24.09.2014 (12)
  2. Browser-Hijacking: FBDownloader / Deltasearch / Dealply
    Log-Analyse und Auswertung - 25.08.2013 (3)
  3. Browser-Hijacking - Google-Links öffnen Schund
    Log-Analyse und Auswertung - 24.03.2011 (2)
  4. Hijackthis Logfile Auswerten; Browser Hijacking?
    Mülltonne - 02.01.2009 (0)
  5. Browser Hijacking + Trojaner? Bitte helfen...
    Mülltonne - 02.01.2009 (0)
  6. smitfraud variant hijacking browser erfolglos versucht zu entfernen gemäß Anleitung
    Log-Analyse und Auswertung - 08.03.2006 (6)
  7. Browser Hijacking
    Log-Analyse und Auswertung - 01.01.2006 (1)
  8. Browser Hijacking - Hilfe benötigt +LogFile
    Log-Analyse und Auswertung - 19.04.2005 (8)
  9. Browser-Hijacking
    Log-Analyse und Auswertung - 03.01.2005 (1)
  10. Browser Hijacking?
    Plagegeister aller Art und deren Bekämpfung - 18.09.2004 (4)
  11. browser hijacking
    Log-Analyse und Auswertung - 07.09.2004 (1)
  12. browser hijacking allgemein
    Log-Analyse und Auswertung - 29.08.2004 (1)
  13. Problem: Browser Hijacking
    Log-Analyse und Auswertung - 18.08.2004 (23)
  14. Browser Hijacking
    Log-Analyse und Auswertung - 18.08.2004 (1)
  15. Extrem hartnäckiges Browser-Hijacking!
    Log-Analyse und Auswertung - 20.06.2004 (2)
  16. Browser Hijacking mit Opera ?!
    Plagegeister aller Art und deren Bekämpfung - 01.06.2004 (2)
  17. Browser Hijacking
    Plagegeister aller Art und deren Bekämpfung - 21.03.2004 (1)

Zum Thema Browser Hijacking - hallo leute, ich weiss einfach nicht mehr weiter. ich hab schon browser-hijacker mir eingefangen, die startseite ist immer wieder die gleiche, auch wenn ich sie ändere: http://www.searchmyrequest.com/hp.php ich hab schon - Browser Hijacking...
Archiv
Du betrachtest: Browser Hijacking auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.