Trojaner-Board - res://hdury.dll/

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - res://hdury.dll/ (https://www.trojaner-board.de/6445-res-hdury-dll.html)

res://hdury.dll/

Kennt jemand den o.a. Hijacker?
Ich habe schon alles versucht, Startseite neu eingestellt, Registry von oben nach unten durch sucht, alles gelöscht, per suche verdächtige Dateien gelöscht, Tipps im Internet gesucht, aber nichts gefunden.
Immer wenn alles gelöscht ist, und man startet den I.E. ist diese Seite wieder da und sämtliche Einträge in der Registry auch wieder inklusive der hdury.dll in c.\winnt\system32.

Wenn ich nichts finde, muss ich mal wieder den Rehner platt machen und das kostet mich jedesmal einen ganzen Tag.

Willkommen im Forum!

Bitte poste doch mal ein HijackThis-Log.

Hallo,

nachfolgend die Hijack-log-datei:Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\d3vd.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\appre.exe
C:\WINNT\System32\internat.exe
C:\WINNT\System32\wuauclt.exe
D:\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\hdury.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://hdury.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://hdury.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\hdury.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://hdury.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\hdury.dll/sp.html#37049
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1AF53680-A740-3B09-15F7-3A3AC5DA449E} - C:\WINNT\netrx32.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [appre.exe] C:\WINNT\system32\appre.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\RunOnce: [ipys.exe] C:\WINNT\system32\ipys.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F80ED86E-3A5E-48F0-B9E6-F4AA06E1BE99}: NameServer = 172.25.26.254,172.25.26.254

Die Teile aus der Registry habe ich verstanden, auch schon mehrfach entfernt, beim Rest des Log-Files fehlt es aber.

Für Hilfe wäre ich schon dankbar.

Viele Grüße
heidelberg

Du kannst das Logfile auf

http://www.hijackthis.de/

überprüfen lassen, auch wenn dies noch keine 100%ige Angelegenheit ist, würde ich in deinem Fall sagen, dass die Auswertung die kritischen files identifiziert. Die roten kannst du fixen, ebenso:

O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Bei:
netrx32.dll
appre.exe
ipys.exe
d3vd.exe

solltest du mal einen Onlinescan machen lassen:
http://www.kaspersky.com/de/scanforvirus

ich würde sehr stark darauf tippen, dass das auch schädliche files sind.

Ja, wie bereits gesagt, lass bitte die Dateien bei Kaspersky überprüfen.

Danach gehst du in den abgesicherten Modus und lässt dies fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\hdury.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://hdury.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://hdury.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\hdury.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://hdury.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\hdury.dll/sp.html#37049
O2 - BHO: (no name) - {1AF53680-A740-3B09-15F7-3A3AC5DA449E} - C:\WINNT\netrx32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Ebenfalls die Datei hier löschen: C:\WINNT\netrx32.dll

Danach lässt du noch diesen Scanner drüberlaufen: http://www.trojaner-board.de/showthread.php?t=6083
Sollte er noch was finden, poste bitte ein neues Log.
Evtl. auch mal www.windowsupate.com besuchen.

Danke für Eure Hilfe,

die Adressen mit den ganzen Dienstprogrammen waren wirklich gut.
Ich habe jetzt aber allerdings den Rechner einem Spezialiesten übergeben, der hat wohl noch 5-10 Virenprogramme darüberlaufen lassen und dann nich 450 Viren gefunden.
Das Hijack-Problem ist allerdings von einem Trojaner verursacht worden. Im Logfile steht er unter d3vd.exe.
Jetzt läuft wieder alles und dem Kollegen verpassen wir jetzt eine Firewall und regelmäßige Kontrolle darüber, wo der sich im Internet rumtreibt.

Also nochmals vielen Dank und bis zum nächsten Mal an dieser Stelle.

heidelberg

Schön, das alles wieder in Ordnung ist. :)

Zitat:

Zitat von heidelberg

Jetzt läuft wieder alles und dem Kollegen verpassen wir jetzt eine Firewall und regelmäßige Kontrolle darüber, wo der sich im Internet rumtreibt.

Und die Firewall schützt dann genau vor was? Vor Browser Hijackern jedenfalls nicht.

Du solltest v.a. auf einen anderen, sichereren Browser wechseln: Mozilla, Firefox, Opera.

Gruß :daumenhoc
Yopie