Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner Browser Hijack

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.05.2009, 16:59   #1
Benzfreak
 
Trojaner Browser Hijack - Standard

Trojaner Browser Hijack



Guten Tag liebes Forum,

nachdem ich die Forensuche bemühte und ähnliche Themen fand las ich diese fand jedoch keine passenden Antworten....

Wenn ich mit Firefox bei Google suche und dann die Suchergebnisse anklicke, werde ich ab und an redirected auf Seiten die für bestimmte Sachen werben... Manchmal kommt auch so etwas wie undefined adress oder so ähnlich.
Ich sehe auch im Hijackthisfile schon das da etwas nicht stimmt, doch weder Avast, noch Malwarebytes haben es geschafft den Trojaner zu elimieren. Nach einem Neustart trat er immer wieder auf.... Ich möchte den Pc nur ungern formatieren, gibt es eine Möglichkeit den Pc von dem Eindringling zu befreien?

Mein Hijackfile sieht aus wie folgt:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:48:26, on 10.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\umonit.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Christian\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

hp://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =

hp://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046}

- C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper -

{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame

Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer -

{C333CF63-767F-4831-94AC-E683D962C63C} -

C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper -

{DBC80044-A445-435b-BC74-9C25C1C588A9} -

C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C}

- C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class -

{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON

Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D}

- C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -

C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Veoh Browser Plug-in -

{D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh

Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Veoh Web Player Video Finder -

{0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Programme\Veoh

Networks\VeohWebPlayer\VeohIEToolbar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control

Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exe
O4 - HKLM\..\Run: [zBrowser Launcher]

C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series]

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON

Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [UVS10 Preload] C:\Programme\Ulead Systems\Ulead

VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe"

-atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched]

"C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat

7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft

ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe

-Hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

(User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

(User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

(User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

(User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk =

C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search -

res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: Mobilen Favoriten erstellen -

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft

ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} -

C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... -

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft

ActiveSync\inetrepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite -

{B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

(file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} -

C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 -

{E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: PartyPoker.net -

{F4430FE8-2638-42e5-B849-800749B94EED} -

C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net -

{F4430FE8-2638-42e5-B849-800749B94EED} -

C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) -

hp://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient

Class) -

http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software -

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -

C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner -

C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil

Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil

Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil

Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision

Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun

Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd)

- CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SmartLinkService (SLService) - Smart Link -

C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StyleXPService - Unknown owner -

C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems,

Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 8277 bytes


Und mein Malwarebytesprotokoll so:

Zitat:
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 2

10.05.2009 16:00:25
mbam-log-2009-05-10 (16-00-25).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 238971
Laufzeit: 48 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{37b85a21-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{def85c80-216a-43ab-af70-1665edbe2780} (Spyware.Sinowal) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch (Adware.BookedSpace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Zango (Adware.Zango) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\cleanup (Adware.Cinmus) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\cleanup.exe (Adware.Cinmus) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Christian\Eigene Dateien\Battlefield 2\Key genr\vtl-bf2k.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ovfsthxwbakdube.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ovfsthxdllnrvit.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ovfsthxrylkrrqu.dat (Trojan.Agent) -> Quarantined and deleted successfully.
Kann mir jemand helfen?

Vielen Dank schonmal im Voraus.

MfG Benzfreak

Alt 10.05.2009, 17:11   #2
nochdigger
 
Trojaner Browser Hijack - Standard

Trojaner Browser Hijack



Hallo

Zitat:
Ich möchte den Pc nur ungern formatieren
wer will das schon...

Zitat:
C:\Dokumente und Einstellungen\Christian\Eigene Dateien\Battlefield 2\Key genr\vtl-bf2k.exe
damit hast dir die Neuinstallation praktisch selbst bestellt.
Zu deinem Schädling, der wird wohl neben eines Rootkits auch noch ne Backdoor installiert haben.
Ändere nach der Neuinstallation oder von einem sauberen System aus alle deine Pass- und Kennwörter.
Wenn du eine Sicherung deiner Daten durchführen möchtest,
lass die Finger von ausführbare Dateien
und Dateien aus unsicheren Quellen wie P2P.
Musik, Videos, Bilder und Officedateien können i.d.R. problemlos gesichert werden,
sollten aber vor dem wiederverwenden mit einem aktuellem Antivirenprogramm überprüft werden.

MFG
__________________

__________________

Alt 10.05.2009, 17:25   #3
Benzfreak
 
Trojaner Browser Hijack - Standard

Trojaner Browser Hijack



Wenns ned anders geht dann werd ich das wohl so machen müssen. Ein paar Dateien werd ich wohl noch sichern (keine Programme, die die ich wirklich brauche sind sowieso auf Cd ) und dann die Kiste platt machen.

Werd ich wohl Morgen in Angriff nehmen, fall noch jemand bis dahin ne Idee hat her damit

Vielen Dank schonmal, ich meld mich nochmal wenn alles funktioniert hat.

MfG Benzfreak
__________________

Alt 10.05.2009, 20:25   #4
.keNNy#
 
Trojaner Browser Hijack - Standard

Trojaner Browser Hijack



Nochdigger hätte bestimmt noch ne Idee
Aber da du mutwillig Cracks benutzt hast wird er die bestimmt für sich behalten

Antwort

Themen zu Trojaner Browser Hijack
adobe, adware.mywebsearch, adware.zango, antivirus, avast, avast!, bho, browser, desktop, einstellungen, explorer, firefox, google, helper, hijack, hkus\s-1-5-18, immer wieder, internet, internet explorer, logfile, malwarebytes' anti-malware, mozilla, neustart, pdf, registrierungsschlüssel, seiten, software, system, trojaner, uleadburninghelper, usb, windows, windows xp



Ähnliche Themen: Trojaner Browser Hijack


  1. Windows 7 - Browser Hijack
    Log-Analyse und Auswertung - 25.08.2015 (13)
  2. Hijack Browser Proxy
    Log-Analyse und Auswertung - 02.02.2015 (13)
  3. Browser Hijack
    Plagegeister aller Art und deren Bekämpfung - 10.12.2014 (46)
  4. VLC.de Browser Hijack
    Plagegeister aller Art und deren Bekämpfung - 12.10.2014 (3)
  5. Browser Hijack?
    Plagegeister aller Art und deren Bekämpfung - 19.01.2014 (9)
  6. Browser hijack blueseek
    Plagegeister aller Art und deren Bekämpfung - 27.12.2013 (4)
  7. u-search browser hijack
    Plagegeister aller Art und deren Bekämpfung - 02.02.2013 (3)
  8. Browser Hijack, Windows 7
    Log-Analyse und Auswertung - 05.10.2012 (37)
  9. Browser Hijack - Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 11.03.2011 (30)
  10. 10 TAN eingeben und IE7 Browser-Hijack
    Log-Analyse und Auswertung - 26.04.2010 (31)
  11. Browser Hijack?
    Log-Analyse und Auswertung - 18.01.2010 (1)
  12. Google-Browser-Hijack
    Log-Analyse und Auswertung - 18.02.2009 (1)
  13. browser hijack, mehrere trojaner
    Log-Analyse und Auswertung - 21.02.2006 (2)
  14. Browser Hijack
    Log-Analyse und Auswertung - 07.01.2005 (2)
  15. warscheinlich browser hijack
    Log-Analyse und Auswertung - 24.09.2004 (4)
  16. Hartnäckiger Browser Hijack
    Log-Analyse und Auswertung - 12.09.2004 (10)
  17. Possible Browser Hijack attemp
    Plagegeister aller Art und deren Bekämpfung - 17.05.2004 (18)

Zum Thema Trojaner Browser Hijack - Guten Tag liebes Forum, nachdem ich die Forensuche bemühte und ähnliche Themen fand las ich diese fand jedoch keine passenden Antworten.... Wenn ich mit Firefox bei Google suche und dann - Trojaner Browser Hijack...
Archiv
Du betrachtest: Trojaner Browser Hijack auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.