|
Servus, Ich hab ein Problem mit meiner Startseite die eigendlich leer sein sollte aber ich hab immer so ne dämliche Suchseite (s. Bild) http://home.arcor.de/sebastian84/1.jpg Ich hab HijackThis durchlaufen lassen und die betroffenen Keys gefixt aber die stehen nach kurzer Zeit schon wieder in der Registry. Hab mal ne Log erstellt. Hijackthis.log Hab folgendes gefixt aber wie gesagt stehen die Einträge nach kurzer Zeit schon wieder drin: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated) O2 - BHO: (no name) - {27BD8B28-7ED0-4879-B68D-97510D4A15CC} - C:\WINDOWS\System32\mgnilef.dll Hab außerdem noch CWS Shredder und Spybot ausprobiert, hat aber leider nix genützt. Die Suchseite kommt immer wieder. Wenn ich Ad-aware (Ad-watch) laufen habe bekomm ich ständig eine Nachricht das die Registry modifizert wurde aber wenn ich auf "Blockieren" klicke nützt das nichts. Die Startseite wird trotzdem modifiert. Mein Virenschutz (AntiVir) ist auf dem neuesten Stand aber er findet keinen Trojaner. Könnt ihr mir da irgendwie helfen diesen Mist wegzubekommen? |
Hallo Sebastian und willkommen im Board, zur besseren Übersicht (für uns Helfende) poste ich Deine Log-Datei mal direkt hierein: </font><blockquote>Zitat:</font><hr />Logfile of HijackThis v1.97.7 Scan saved at 15:08:57, on 14.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\LXSUPMON.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe F:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Dokumente und Einstellungen\Sebastian Richter\Eigene Dateien\hijackthis1977\HijackThis.exe C:\WINDOWS\System32\taskmgr.exe C:\Programme\MYIE2\MyIE.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mgnilef.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {27BD8B28-7ED0-4879-B68D-97510D4A15CC} - C:\WINDOWS\System32\mgnilef.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [windows auto update] msblast.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Recherche-Assistent (HKLM) O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - h**p://akamai.downloadv3.com/binaries/IA/ia_XP.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - h**p://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38044.4679050926 O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} (EGP2ECOM Class) - h**p://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1007_1034_pack_XP.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF</font>[/QUOTE]Analyse folgt... In der Zwischenzeit kannst Du mit dieser Hilfe http://www.trojaner-board.de/51130-a...ijackthis.html selber suchen, welche Einträge suspekt sind (Neben den R-Einträgen insbesondere O2, 04 und O16). Gruß, Lutz |
O4 - HKLM\..\Run: [windows auto update] msblast.exe Der Blaster-Wurm(?) mach mal einen Online Virusscan http://de.bitdefender.com/scan/licence.php http://de.trendmicro-europe.com/ente...secall_pre.php http://www.ravantivirus.com/scan/indexie.php O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll is auch nich okinal //Edit Vergiß folgende kursive Zeilen O4 - HKLM\..\Run: [nwiz] nwiz.exe /install nwiz.exe ist eigentlich ein Nvidia-Programm, aber bin mir garnicht sicher ob es in dieser konstellation okay ist (mit dem /install). Suche die datei, Poste den Pfad und schau dir die Eigenschaften an (Klick mit rechter Maustaste) Hersteller, Version etc... //Ist so okay auch mit dem /install, habe es dagelassen damit - wenn schon gelesen - Du nicht irritiert wirst! O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - h**p://akamai.downloadv3.com/binaries/IA/ia_XP.cab O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} (EGP2ECOM Class) - h**p://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1007_1034_pack_XP.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - h**p://install.serviceurl.de/StarInstall.ocx und diese Zeile natürlich! (Die Lutz leider nicht komplett reinkopiert hatte) MyIE soll übrigens auch angeblich Spyware enthalten, war allerdings kein taufrischer Link der dies behauptete. [ 14. April 2004, 17:38: Beitrag editiert von: Shadow ] |
Ja, msblast.exe is noch drauf aber ich hab damals das Sicherheitsupdate draufgemacht und seid dem hat der Wurm nichts mehr gemacht. Mein Virenscanner spuckt da auch nichts mehr aus. O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll => War ein Trojan der sich irgendwie mal eingeschlichen hat. Hab nochmal mit AntiVir gescannt und der Trojaner wurde gelöscht. Für die Startseite war er allerdings nicht verantwortlich, die kommt immernoch. Weitere Viren wurden nicht gefunden. Gut, die Einträge die du gepostet hast hau ich noch raus, aber die Suchseite hat mit sicherheit was mit den Einträgen zu tun die ich oben gepostet habe oder? Warum kommen die wieder? Mein AntiVir findet keinen Trojaner oder sowas. Also ich nehm schon ne Weile MYIE2. Hab noch keine richtige Alternative gefunden. Der normale IE hat einige schwachstellen was die Übersicht und die Benutzerfreundlichkeit angeht. Mozilla, Firebird/fox, Opera und Netscape spinnen bei etlichen Seiten ziemlich rum. Die meisten Seite sind nun einmal für IE optimiert, da is ein Plugin nun einmal das idealste. Aber zurück zum Thema was soll ich wegen der Startseite unternehmen...Spybot,Ad-aware,CWShredder,Hijack hab ich alle schon durch [ 14. April 2004, 17:51: Beitrag editiert von: Sebastian84 ] |
Ich denk ich habs. Bitdefender hat folgendes ausgespuckt. Allerdings kann er die nicht deinfizieren. Memory unable to check C:\WINDOWS\SYSTEM32\ini.dll infected: Trojan.StartPage.FO C:\WINDOWS\SYSTEM32\ini.dll unable to disinfect C:\WINDOWS\SYSTEM32\ifmd.dll infected: Trojan.StartPage.FO C:\WINDOWS\SYSTEM32\ifmd.dll unable to disinfect Wie bekomm ich den jetzt runter? AntiVir findet den jedenfalls nicht und TREND MICRO Anti Virus och nicht. [ 14. April 2004, 18:26: Beitrag editiert von: Sebastian84 ] |
Versuchs mal im abgesicherten Modus. Beide Dateien sind aber keine original Windows-dateien, es kann also sein, dass sie selbst das Virus sind, muß aber nicht. |
So, jetzt meckert Bitdefender nicht mehr rum aber die Startseite kommt trotzdem immer wieder von neuem. So ein hartnäckiger Mist. |
So ich hab jetzt einfach die mgnilef.dll in einen anderen ordner verschoben. Er schreibt die Einträge zwar noch immer in die Registry aber der Pfad stimmt nichtmehr und die Startseite ist wieder leer (hoffentlich bleibt das so). Die Datei gehört scheinbar nicht zur OS und ist nicht weiter wichtig, allerdings muss das mit dem verschieben reichen. Löschen lässt sich die Datei nicht (wäre mir vielleicht sowieso etwas zu riskant) und ein Virus wird in der Datei och net gefunden. |
moin, </font><blockquote>Zitat:</font><hr />O2 - BHO: (no name) - {27BD8B28-7ED0-4879-B68D-97510D4A15CC} - C:\WINDOWS\System32\mgnilef.dll </font>[/QUOTE]den bitte auch fixen, via hijack. ;) bitte auch die angegebenen .dll auf deinem system suchen und erstx in den papierkorb verschieben. sollten keine weiteren probleme die tage auftauchen, dann kannst du diesen löschen. --- edit --- ach du hast die datei schon selbst gefunden. wenn keine probleme auftauchen, d.h. dein system keine fehlenden dateien anmeckert, dann solltest du diese .dll von deinem system hauen. |
Habe das gleiche Problem. Mein AntiVir zeigt mir an,das er den Trojaner Win32.StartPage.fw gefunden hat. Kann aber diesen nicht desinfizieren o. in die Quarantäne verschieben. |
Hallo Dortmunder und willkommen im Board, wo (genauer Datei-Pfad!) wird der Trojaner gefunden?? Gruß, Lutz |
Hallo Dortmunder: Bitte such ein bisserl hier im Forum. Dein Problem oder sehr ähnlich gelagerte sind in den letzten Stunden, Tagen , Wochen ständig hier abgehandelt worden. Lese Dich ein wenig hier ein, vielleicht hilft Dir dies schon, wenn nicht dann kannst ja noch mal Fragen, aber dann möchte ich etwas ausführlicher Angaben von Dir. Aber erst das Board + Suchfunktion benutzen! [img]graemlins/daumenhoch.gif[/img] Dortmunder wird jetzt >hier< weiter behandelt [ 16. April 2004, 13:33: Beitrag editiert von: Shadow ] |
So jetzt hab ich die Startseite wieder diesmal kommts aus ner bkbbe.dll. Die gehört nicht zur OS und auch zu keinem Programm. Wurde gestern angelegt und hat weder beschreibung noch firma im Infofenster. Dann muss ich diesen Dreck wohl wieder verschieben. Löschen lässt dich dieser Mist ja nicht. Das muss man doch auf entgültig wegbekommen!? PS: Das fixen mit Hijack nützt ja nix weil die Einträge ja immer wieder kommen. Nur fehlt dann die Datei in der die sp.html steht. Kann ich die DLL irgendwie editieren? |
Hallo Sebastian, löschen der dll wird Dir wenig nutzen, da die bei jedem Start offensichtlich anders heißt. Versuch mal folgendes: Starte deinen Rechner im abgesicherten Modus (siehe hierzu : http://www.trojaner-board.de/63335-w...s-starten.html ) Lass dann mal den CWShredder (Version 1.56.2) über deinen Rechner laufen und fixe die 'dll-Einträge' ebenfalls im abgesicherten Modus. Danach stelle bitte eine aktuelle Log-Datei hier herein. Das Wichtigste ist aber: Alle 'wichtigen Updates' von Microsoft installieren (und zwar regelmäßig) und vielleicht mal über einen alternativen (und zumindest sichereren) Browser und nicht nur einen Aufsatz für den IE nachdenken!?! Gruß, Lutz |
hmm also wie gesagt der CWShredder hilft hierbei recht wenig und ich glaub kaum das das im Abgesicherten anders ist. Aber ich werds nochmal probieren. Zum Browser gibts eigendlich keine richtige Alternative: - Netscape, Opera, Mozilla und was weiß ich nicht alles taugen nichts. Entweder die sind absolute Bugy oder es gibt Probleme mit der Darstellung mancher Webseiten. Das seh ich ja schon bei meinem Browsergame SpAss. Er einzige Browser der da nicht rumspinnt ist der IE. Die meisten Seiten sind nun einmal für IE optimiert. Ich hab se ja auch alle durch und ich war mit keinem zufrieden. Das Auto Update lass ich von zeit zu zeit auch immer mal durchlaufen und mein AntiVirus (AntiVir) hat mich bis jetzt auch nicht im Stich gelassen. Allerdings bin ich mir dem nicht mehr so sicher da mit sicherheit irgendwo ein Trojaner sitzt den aber einfach kein Virenschutz findet. [ 17. April 2004, 20:59: Beitrag editiert von: Sebastian84 ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von Sebastian84: Zum Browser gibts eigendlich keine richtige Alternative: - Netscape, Opera, Mozilla und was weiß ich nicht alles taugen nichts. Entweder die sind absolute Bugy oder es gibt Probleme mit der Darstellung mancher Webseiten. </font>[/QUOTE]Tja, mein Gutser, meist sind nicht die Browser der Mozilla-Familie oder Operea buggy sondern die Seiten! ("Natürlich" sind diese browser auch nicht fehlerfrei, aber eigentlich in jeder Hinsicht mit weniger ernsten Fehlern behafte wie der IE) Erstaunlicher Weise sind selbst Webseitenersteller von teuersten Internetauftritten manchmal zu dämlich (ich meine das auch so) eine einzige valide Seite zu erstellen. Deine Aussage "taugen nichts" sagt allerdings sehr viel über Dich aus :( Im besten Fall hast du keine Ahnung von dem was Du redest :D Alternative Online-AV-Scans schon mal gemacht (die funktionieren übrigens dank ActiveX fast nur mit IE)? |
</font><blockquote>Zitat:</font><hr />...hmm also wie gesagt der CWShredder hilft hierbei recht wenig und ich glaub kaum das das im Abgesicherten anders ist. </font>[/QUOTE]Vielleicht sollten wir das 'Glauben' auf den morgigen Kirchgang verschieben?!? </font><blockquote>Zitat:</font><hr />Zum Browser gibts eigendlich keine richtige Alternative ... Das Auto Update lass ich von zeit zu zeit auch immer mal durchlaufen... </font>[/QUOTE]Tja, bei den Sicherheitsvorkehrungen wirst Du wohl noch viel Freude an Hijackern und Co haben... [img]redface.gif[/img] Gruß, Lutz |
hmm aber die Einträge kommen auf einmal nicht mehr in die Registry und ich kann noch wieder meine eigene Startseite festlegen (hoffen bliebt das so).CWShredder hat aber eigendlich nix runtergemacht zumindest hat er nix angezeigt. Da weiß ich nu och nicht was los war. Hoffentlich ist diese Krise überstanden, nagut dann danke für eure Hilfe. |
SpAss ist mit sicherheit nicht bugy sondern nur für IE optimiert. Mir is diese Seite nun einmal sehr wichtig und ich will keine dämlichen Farbtöne haben und das die hälfe der Grafikskins fehlen bzw. nicht ordentlich angezeigt werden passt mir auch nicht. Übrigens hab ich all diese Browser schon installiert gehabt und nach kurzer Zeit wieder deinstalliert also weiß ich genau wovon ich rede. Es kann schon sein das die Programmierer einfach zu dämlich sind ne Seite für jeden Browser lauffährig zu machen aber das is ja wurst, das kommt aufs selbe an. Sicher, das der IE Sicherheitslücken hat ist unbestritten. Die ganze OS ist ne einzige Sicherheitslücke, aber deshalb steig ich ja auch nicht gleich auf Linux um. Übrigens bin ich Heide und Glaube auch am morgigen Kirchentag an nichts ;) und das mit dem Abgesichten Modus hab ich probiert... da passiert genau das gleiche wie im Normalmodus "not present,not present...usw." Die Internetvirenscanns hab ich och schon durch. Kann doch nicht sein das da kein Virenschutz was findet irgendwas muss da doch sein!?!? PS: Es wird keine neue Datei beim booten erzeugt da ich den Rechner die letzten 2 Tage weder heruntergefahren noch neugestartet habe. [ 18. April 2004, 01:15: Beitrag editiert von: Sebastian84 ] |
Dein Problemmit der Startseite hatte ich auch mal. War zum verrücktwerden. Poste mal welche Programme/Prozesse bei dir laufen (Winxp Ctrl+Alt+Del sollte in Taskmanager in vorschein treten wo alle aufgelistet sind.) Das mit der Startseite war so weil ein programm mit windows gestartet wurde und automatische alle Registry einträge wieder repariert hat. dieses programm wurde bei mir nicht von Spybot erkannt habs desshalb manuel gelöscht und war wieder alles IO. Grüsse |
Hallo an alle! Genau das gleiche Problem habe ich auch und bei mir erscheint ebenso die gleiche dämliche Homepage... Bin ja froh, dass es keine Hardcore-Seite ist. Da ich leider nicht sonderlich bewandert iS Registry etc. bin, ist dies für mich echt ein Problem. Also, ich habe Spyboot und AdAware (und AntiVir) bereits laufen lassen und zumindest Spyboot schafft es immer, das Ding für kure Zeit zu entfernen. Doch dann ist es wieder da. Wenn sich jemand meiner Erbarmen würde, wäre es wirklich super!!! Ich weiß leider auch nicht genau, welche Infos ihr als Ausgangslage alle benötigt. Schreibt es mir dann doch bitte (und wie ich selber die Daten rausfinde..). Danke! Marc |
Hallo and Welcome Mal bitte hier HijackThis downloaden ,überprüfen und das Ergebnis hier posten. Hier die Anleitung zum Nachlesen. Welches OS hast du - welches AV Programm ? |