Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: warscheinlich browser hijack

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 14.09.2004, 16:05   #1
Tiger76
 
warscheinlich browser hijack - Standard

warscheinlich browser hijack



Hi Leute, bin erst vor kurzem hier auf euer Forum gestoßen, weil ich hier in der Firma wohl einen Browser Hijack habe.

Und zwar geht bei einem Anwender statt wie normal eingestellt nicht die leere Seite about:blank auf sonder eine seite mit dem Titel "Microsoft Home Search auf. Unten in der Leiste steht "www.v61.com/cgi-bin/v2/counter/hp?29126 wird geladen"

Was ich bisher versucht habe, aber ncht unter dem Anwender, weil der im Urlaub ist, sondern als Admin (dort habe ich das gleiche Problem):

Mit HijackThis schonmal gescannt und laut der Automatischen Auswertung die roten Einträge gefixt:

Hier mal das Log vor dem Fixen:

Logfile of HijackThis v1.98.2
Scan saved at 14:56:04, on 13.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\MS\SMS\CORE\BIN\CLISVCL.EXE
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\ePOAgent\naimas32.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\iepy.exe
C:\WINNT\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\MS\SMS\CLICOMP\RemCtrl\Wuser32.exe
C:\Programme\plossys\seppstarter.exe
C:\WINNT\MS\SMS\clicomp\apa\Bin\smsapm32.exe
C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\progra~1\scansoft\paperp~1\pptd40nt.exe
C:\Programme\ePOAgent\naimag32.exe
C:\WINNT\sdksq32.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
E:\Virenscanner\about blank\Hijackthis\HijackThis.exe
C:\WINNT\MS\SMS\CLICOMP\SWDist32\bin\smsmon32.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\mikvs.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\mikvs.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\mikvs.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\mikvs.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\mikvs.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\mikvs.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.81.2.3:80
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {729CA94E-DBD4-392A-32E5-1EB6F97A649F} - C:\WINNT\system32\addjm32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SeppStarter] C:\Programme\plossys\seppstarter.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [PaperPort PTD] c:\progra~1\scansoft\paperp~1\pptd40nt.exe
O4 - HKLM\..\Run: [NaimAgent_UI] C:\Programme\ePOAgent\naimag32.exe
O4 - HKLM\..\Run: [sdksq32.exe] C:\WINNT\sdksq32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = service.root.net
O17 - HKLM\Software\..\Telephony: DomainName = service.root.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = service.root.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = service.root.net
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll (file missing)

Habe dann auch mit cwshredder versucht auch kein Erfolg.
Der SpHjfix wird immer terminiert wegen: Stealth-String not found -> Programm terminated.

HAbe dann heute noch zum Schluss mit dem aktuellsten Adaware SE gescannt und massig an Zeugs gefunden und entfernt. Sogar mit dem Addon "pltweakse.exe". Aber auch nix zu machen.
Zuerst scheint das Prob weg zu sein, aber nach erneutem klick auf den Home Button des IE kommt der Browser Hijack wieder hoch.

Bitte gebt mir doch noch eine weitere Lösung, bin hier beim Kunden schon am verzweifeln. Ansonsten wird der Rechner neu installiert.
Was mir dabei noch einfällt. Setzt sich der Browser-Hijack in das Servergespeicherte Profil ??

Vielen Dank schonmal im voraus.

p.s. hoffe neuer Thread ist in Ordnung.

Alt 14.09.2004, 16:59   #2
MountainKing
 
warscheinlich browser hijack - Standard

warscheinlich browser hijack



Mach mal bitte ein aktuelles Logfile, das ist sonst arg umständlich.
__________________


Alt 14.09.2004, 20:53   #3
Tiger76
 
warscheinlich browser hijack - Standard

warscheinlich browser hijack



Jo sorry, werd ich morgen wenn ich in der Firma bin nochmal machen...

schonmal Danke
__________________

Alt 24.09.2004, 18:52   #4
Hans Pfaff
 
warscheinlich browser hijack - Standard

warscheinlich browser hijack



Hallo Tiger 76,

ich habe dasselbe Problem (gehabt). Ganz plötzlich ging mein IE nicht mehr. er hing immer auf der Suchseite und war am Downloaden von Daten aus v61.com\....

Ich habe erst mal (über AOL Browser - der ging noch) im Internet nach Hilfe gesucht und auch Deine Anfrage gefunden. Leider keine Lösung.

Später habe ich dann einen Online Virenscanner gefunden (House Call von Trend Micro). Das dauerte zwar mit meinem Schnecken-Modem... aber Hurra Hurra!!! der Scanner hat mir den Trojaner entfernt. Aber Achtung da war noch VIEL Handarbeit zu machen: Der Scanner Report zeigte viele Instanzen von TROJ_AGENT.EL. All die damit infizierten Dateien müssen manuell gelöscht werden (Besser in Papierkorb, dass sie nicht ganz verloren sind falls sie doch gebraucht werden - war aber bei mir nicht der Fall ).

Bevor einige dieser Files gelöscht werden können, müssen die entsprechenden Prozesse aber vorher im Task Manager abgebrochen werden. Ausserdem ist die Registry von den entsprechenden Einträgen zu säubern.

Alles in allem ca 3-4 Stunden Arbeit. Aber hat sich gelohnt: jetzt geht alles wieder. Ich werde jetzt erstmal meine Firewall Funktionen aktivieren und den Fremdzugriff auf meinen Rechner einschränken.

Ich hoffe das hilft Dir (und vielleicht anderen)

Gruss
Hans Pfaff

Alt 24.09.2004, 18:54   #5
Hans Pfaff
 
warscheinlich browser hijack - Standard

warscheinlich browser hijack



Hallo Tiger76,

habe noch vergessen: Die URL des Scanners:
http://de.trendmicro-europe.com/ente...all_launch.php

Tschüss


Antwort

Themen zu warscheinlich browser hijack
about blank, adobe, application, auswertung, bho, browser, c.exe, excel, explorer, file missing, forum, hijack, hijackthis, home, internet, internet explorer, kunde, launch, log, microsoft, nvcpl.dll, problem, programme, rundll, rundll32.exe, seite, software, system, system32, tcpip, träge, urlsearchhook, windows, windows xp



Ähnliche Themen: warscheinlich browser hijack


  1. Windows 7 - Browser Hijack
    Log-Analyse und Auswertung - 25.08.2015 (13)
  2. Hijack Browser Proxy
    Log-Analyse und Auswertung - 02.02.2015 (13)
  3. Browser Hijack
    Plagegeister aller Art und deren Bekämpfung - 10.12.2014 (46)
  4. VLC.de Browser Hijack
    Plagegeister aller Art und deren Bekämpfung - 12.10.2014 (3)
  5. Windows 7:wprotectmanager, Browser-Hijack?
    Log-Analyse und Auswertung - 15.06.2014 (10)
  6. Browser Hijack?
    Plagegeister aller Art und deren Bekämpfung - 19.01.2014 (9)
  7. Browser hijack blueseek
    Plagegeister aller Art und deren Bekämpfung - 27.12.2013 (4)
  8. u-search browser hijack
    Plagegeister aller Art und deren Bekämpfung - 02.02.2013 (3)
  9. Browser Hijack, Windows 7
    Log-Analyse und Auswertung - 05.10.2012 (37)
  10. Browser Hijack - Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 11.03.2011 (30)
  11. 10 TAN eingeben und IE7 Browser-Hijack
    Log-Analyse und Auswertung - 26.04.2010 (31)
  12. Browser Hijack?
    Log-Analyse und Auswertung - 18.01.2010 (1)
  13. Trojaner Browser Hijack
    Plagegeister aller Art und deren Bekämpfung - 10.05.2009 (3)
  14. Google-Browser-Hijack
    Log-Analyse und Auswertung - 18.02.2009 (1)
  15. Browser Hijack
    Log-Analyse und Auswertung - 07.01.2005 (2)
  16. Hartnäckiger Browser Hijack
    Log-Analyse und Auswertung - 12.09.2004 (10)
  17. Possible Browser Hijack attemp
    Plagegeister aller Art und deren Bekämpfung - 17.05.2004 (18)

Zum Thema warscheinlich browser hijack - Hi Leute, bin erst vor kurzem hier auf euer Forum gestoßen, weil ich hier in der Firma wohl einen Browser Hijack habe. Und zwar geht bei einem Anwender statt wie - warscheinlich browser hijack...
Archiv
Du betrachtest: warscheinlich browser hijack auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.