Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Krieg den Hijacker nicht weg ;-(

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.06.2004, 12:36   #1
Hilfe-Hijacked
 
Krieg den Hijacker nicht weg ;-( - Unglücklich

Krieg den Hijacker nicht weg ;-(



Ich kriege meine HiJacker nicht weg und verzweifle bald!

Ich hab schon über Google und anderen Foren nach der Variante gesucht, alle Lösungstips habe nicht geholfe. Auch Adware und WShredder halfen nicht!

Das Teil wird zwar entfernt, aber es gibt noch irgendwo etwas auf der Festplatte, weil es nach einiger Zeit wieder installiert wird.

Ich denke ich habe auch den Auslöser, wann das Progi wieder installiert wird gefunden.

Wenn ich das Teil entferne und noch 3-4 Tagen im Internet Explorer auf Ansicht > Quelltext anzeigen gehe erhalte ich wieder die Icons "Online Pharmacia" und "Fast Loans" auf dem Desktop sowie den Favoriten Link ~VIP Free Porn~.
Die Funktion Quelltext anzeigen funktioniert auch nicht mehr - sprich es wird nicht mehr Notepad geöffnet.

Hier das LogFile
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zapro.exe
C:\Programme\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\mspaint.exe
C:\Dokumente und Einstellungen\Uni\Eigene Dateien\Hijack\hijackthis\HijackThis.exe
C:\Dokumente und Einstellungen\Uni\Eigene Dateien\Hijack\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Resources - {2D38A51A-23C9-48a1-A33C-48675AA2B494} - C:\WINDOWS\winres.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [bgsmsnd.exe] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zapro.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.i-lookup.com
O15 - Trusted Zone: *.offshoreclicks.com
O15 - Trusted Zone: *.teensguru.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {0E4796D6-A990-4372-9069-72FBDB4AE868} - http://www.one2one.com/static/class/one2oneSvc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E8C86D1-3072-4577-9D32-B7E85C81CAB2}: NameServer = 145.253.2.81 145.253.2.203
O17 - HKLM\System\CS1\Services\Tcpip\..\{3E8C86D1-3072-4577-9D32-B7E85C81CAB2}: NameServer = 145.253.2.81 145.253.2.203

Alt 07.06.2004, 14:02   #2
rock
 
Krieg den Hijacker nicht weg ;-( - Beitrag

Krieg den Hijacker nicht weg ;-(



warum hast du den oberen teil des logs entfernt? da wär gestanden was du für'n betriebssystem hast!

okey, also systemwiederherstellung deaktivieren vorübergehend und diese einträge fixen: oder hast du das als startseite und so oft geöffnet? sicherheitshalber weggeben, es sollte dann die microsoft homepage komen wenn du keinen eintrag (mehr)hast...

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

wie kommt sowas in die vertraulichen seiten/zone??
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.i-lookup.com
O15 - Trusted Zone: *.offshoreclicks.com
O15 - Trusted Zone: *.teensguru.com
O15 - Trusted Zone: *.xxxtoolbar.com

auch fix checked!

gruss
rock

[ 07. Juni 2004, 15:08: Beitrag editiert von: rock' ]
__________________


Alt 07.06.2004, 14:23   #3
Lutz@Work
 
Krieg den Hijacker nicht weg ;-( - Beitrag

Krieg den Hijacker nicht weg ;-(



Hallo und Willkommen an Board,

</font><blockquote>Zitat:</font><hr />O2 - BHO: Windows Resources - {2D38A51A-23C9-48a1-A33C-48675AA2B494} - C:\WINDOWS\winres.dll</font>[/QUOTE]Das muss auch gefixt werden und die Datei C:\WINDOWS\winres.dll gelöscht werden.

Eigentlich sollte ein aktueller CWShredder (Version 1.59.0) schon seit längerem in der Lage sein, diese Variante zu entfernen.
Guckst Du auch hier: http://www.spywareinfo.com/%7Emerijn...es.html#winres

Gruß,
Lutz
__________________
__________________

Alt 07.06.2004, 14:31   #4
Hilfe-Hijacked
 
Krieg den Hijacker nicht weg ;-( - Beitrag

Krieg den Hijacker nicht weg ;-(



Die Trusted Siten werden von dem Hijacker angelegt. (Betriebsystem ist standardmäßig wie bei den meisten WinXP und IE6, daher ist wohl echt Mozilla zu empfehlen...)

Mit dem Shredder habe ich die URLs dir Rock genannt hatte entfernt und auch die Trusted Sites
sowie das win.res Teil.

!!!! Jedoch kommt der Hijacker wieder zurück. Und zwar habe ich festgestellt dass der Shredder wieder einen Winres eintrag entfernt wenn ich im InternetExplorer auf "Quelltext anzeigen" gehen (Wie oben gesagt funktioniert diese Funktion auch nicht mehr. Sondern wenn ich Sie aktiviere läd irgendetwas den Hijacker)

Wo kriege ich raus mit was diese Funktion in der Registry verknüpft ist - bzw. wie dort der richtige Eintrag lauten müßte damit sich Notepad wieder öffnet und nicht Winres.dll geladen wird.

[ 07. Juni 2004, 15:45: Beitrag editiert von: Hilfe-Hijacked ]

Alt 07.06.2004, 15:32   #5
Lutz@Work
 
Krieg den Hijacker nicht weg ;-( - Beitrag

Krieg den Hijacker nicht weg ;-(



</font><blockquote>Zitat:</font><hr />Mit dem Shredder habe ich die URLs dir Rock genannt hatte entfernt und auch die Trusted Sites sowie das win.res Teil.</font>[/QUOTE]Der CWShredder macht das 'normalerweise' selbständig, ohne das Du irgendetwas händisch entfernen musst.
Bist Du sicher, dass Du dieses Tool
http://www.chip.de/downloads/c_downl...5bd0d4a7b5c99e
verwendet hast?!?

__________________
'Lutz@Work' ist identisch mit 'Lutz' ...<br /><br />Kaspersky OnlineScan: <a href="http://www.kaspersky.com/de/remoteviruschk.html" target="_blank">http://www.kaspersky.com/de/remoteviruschk.html</a><br />eScan:<br /><a href="http://www.mwti.net/antivirus/free_utilities.asp" target="_blank">http://www.mwti.net/antivirus/free_utilities.asp</a>

Alt 07.06.2004, 17:29   #6
Hilfe-Hijacked
 
Krieg den Hijacker nicht weg ;-( - Beitrag

Krieg den Hijacker nicht weg ;-(



Zuerst habe ich es händisch mit HijackThis gemacht.

Anschließend auf Euer raten hin mit dem Shredder, der es automatisch entfernt.

Ich habe jetzt das Problem, dass ich mein System wieder mit dem Teil infiziere, wenn ich im Browser auf Ansicht &gt; Quelltext anzeigen gehe.

Dann findet der Shredder auch wieder das Win.res Teil.

Solange ich nicht auf Quelltext anzeigen klicke findet dere Shredder hingegen nichts...

Alt 07.06.2004, 18:09   #7
Lutz
 

Krieg den Hijacker nicht weg ;-( - Beitrag

Krieg den Hijacker nicht weg ;-(



Wenn das jetzt 'nur' noch passiert, wenn Du Dir den Quelltext anschaust, könnte u.U. der Editor (der wird ja dann gestartet) infiziert sein.

Lade Dir mal das Free eScan Antivirus Toolkit Utility herunter und scanne Deinen Rechner im abgesicherten Modus Deines Rechners. Vielleicht findet der etwas.
Wenn ja, poste bitte, was gefunden wurde
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 07.06.2004, 22:12   #8
Hilfe-Hijacked
 
Krieg den Hijacker nicht weg ;-( - Beitrag

Krieg den Hijacker nicht weg ;-(



Viele Dank für den super Tip!

Mon Jun 07 23:10:50 2004 =&gt; File C:\WINDOWS\System32\notepad.com infected by "TrojanDropper.Win32.Small.hi" Virus. Action


Was ist das für ein Scanner? Ist der komplett umsonst? Das Teil ist echt klasse!

Alt 08.06.2004, 10:55   #9
Lutz@Work
 
Krieg den Hijacker nicht weg ;-( - Beitrag

Krieg den Hijacker nicht weg ;-(



</font><blockquote>Zitat:</font><hr />Was ist das für ein Scanner? Ist der komplett umsonst? Das Teil ist echt klasse! </font>[/QUOTE]Hinter eScan 'verbirgt' sich die Scan-Technik sowie die Virendefinitionen von Kaspersky.
Daher erkennt eScan im Gegensatz zu manch anderem AV-Scanner auch schon wesentlich mehr Hijacker-Varianten.
In der so herunterladbaren Version ist eScan in der Tat komplett kostenlos und ich hoffe, das bleibt er auch.
Allerdings bietet eScan keinen 'Echtzeitschutz' oder 'Virenwächter' an, sondern ist ein reiner 'OnDemand-Scanner'. OnDemand-Scanner suchen nur dann nach Malware, wenn sie vom Benutzer aufgerufen werden.

Es gibt auch keine Update-Funktion für Virensignaturen. Allerdings wird eScan häufig komplett aktualisiert und kann/muss dann auch komplett ( ~4MB) heruntergeladen werden. Bis vor kurzem waren es meist wöchentliche Updates. Zu Zeit sind es tägliche...
__________________
'Lutz@Work' ist identisch mit 'Lutz' ...<br /><br />Kaspersky OnlineScan: <a href="http://www.kaspersky.com/de/remoteviruschk.html" target="_blank">http://www.kaspersky.com/de/remoteviruschk.html</a><br />eScan:<br /><a href="http://www.mwti.net/antivirus/free_utilities.asp" target="_blank">http://www.mwti.net/antivirus/free_utilities.asp</a>

Antwort

Themen zu Krieg den Hijacker nicht weg ;-(
adobe, adware, antivirus, anzeige, bho, browser, dateien, desktop, download, drivers, einstellungen, explorer, festplatte, foren, google, hijackthis, internet, internet explorer, microsoft, nicht, nvcpl.dll, object, programme, rundll, shockwave, software, sun java, symantec, system, tcpip, windows



Ähnliche Themen: Krieg den Hijacker nicht weg ;-(


  1. Hijacker deaktivier Taskmanager und Registry-Editor - Hijacker nicht entfernbar
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (2)
  2. Ich krieg den Virus nicht weg
    Plagegeister aller Art und deren Bekämpfung - 07.12.2008 (2)
  3. Trojaner - Spyware / Krieg ihn nicht los.
    Mülltonne - 23.10.2008 (0)
  4. TR/Vundo.Gen - krieg ich nicht weg
    Plagegeister aller Art und deren Bekämpfung - 13.02.2008 (26)
  5. Krieg Spyware nicht weg!
    Plagegeister aller Art und deren Bekämpfung - 18.09.2006 (2)
  6. Ich krieg's einfach nicht los
    Log-Analyse und Auswertung - 04.07.2006 (3)
  7. Krieg Registrierungs schlüssl nicht weg
    Mülltonne - 16.02.2006 (11)
  8. ich krieg's nicht weg...
    Log-Analyse und Auswertung - 10.06.2005 (4)
  9. Ich krieg nen Trojaner von ICQ nicht weg
    Log-Analyse und Auswertung - 08.04.2005 (1)
  10. Krieg den Hijacker nicht mehr raus!
    Log-Analyse und Auswertung - 13.03.2005 (12)
  11. dldr wintools krieg den nicht weg
    Log-Analyse und Auswertung - 01.03.2005 (9)
  12. krieg das biest nicht los....
    Log-Analyse und Auswertung - 21.02.2005 (3)
  13. Ich krieg ihn nicht ganz weg !
    Plagegeister aller Art und deren Bekämpfung - 09.02.2005 (2)
  14. Ich krieg es nicht los
    Log-Analyse und Auswertung - 14.01.2005 (1)
  15. Ich krieg es nicht gebacken... :<
    Log-Analyse und Auswertung - 20.12.2004 (3)
  16. Rbot.hi krieg ich nicht weg !!
    Plagegeister aller Art und deren Bekämpfung - 19.09.2004 (7)
  17. Browser Hijack - ich krieg ihn nicht weg
    Log-Analyse und Auswertung - 11.08.2004 (9)

Zum Thema Krieg den Hijacker nicht weg ;-( - Ich kriege meine HiJacker nicht weg und verzweifle bald! Ich hab schon über Google und anderen Foren nach der Variante gesucht, alle Lösungstips habe nicht geholfe. Auch Adware und WShredder - Krieg den Hijacker nicht weg ;-(...
Archiv
Du betrachtest: Krieg den Hijacker nicht weg ;-( auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.