Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Search for....als Startseite (https://www.trojaner-board.de/2581-search-for-startseite.html)

chrissuperstar 13.05.2004 14:01
HAllo,

Ich bin wirklich verzweifelt und weiss nicht mehr weiter, wie ich diesen dummen Hijacker beseitigen kann...Habe schon alles versucht CWShredder, AdAware, Spybot HijackThis, die yellow-page.com Anleitung zum Entfernen einfach alles...
Poste hier nun mal die LogFile von HijackThis

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\DvzCommon\DvzMsgr.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6CD65348-56A5-43AD-80D6-6B643FC69599} - C:\WINDOWS\System32\hip.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Dataviz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...118.3722337963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE6933EB-A2D6-49B4-84A3-741214956E57}: NameServer = 192.168.1.1

Vielen Dank und Gruß

Mäc 13.05.2004 14:26
Hi Chris,

wie ich dem HijackThis-Log entnehmen kann, verwendest Du McAfee VirusScan. Ist die Virendefinition aktuell?

Wie Du diesem Beitrag entnehmen kannst, hatte ich die gleichen Symptome, gestern einen Workaround gefunden, um den Trojaner vorerst still zu legen und heute Morgen hat McAfee ihn schließlich als StartPage-CZ erkannt und gelöscht. Er tauchte dann noch mal auf, wurde aber gleich wieder gelöscht. Ich hab' jetzt Ruhe - vielleicht hilft's Dir ja auch...

PS: Bei Dir heißt die Trojaner-DLL z.Zt. hip.dll... [img]smile.gif[/img]

mmk 13.05.2004 14:29
Hallo!

</font><blockquote>Zitat:</font><hr />Original erstellt von chrissuperstar:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated)

O2 - BHO: (no name) - {6CD65348-56A5-43AD-80D6-6B643FC69599} - C:\WINDOWS\System32\hip.dll</font>[/QUOTE]Diese Einträge in HijackThis markieren, Fix checked wählen. Zuvor müssen alle IE- und Explorer-Fenster geschlossen werden.

Starte sodann Windows neu, geh in C:\WINDOWS\System32\, such nach der Datei hip.dll, sende sie bitte an die in meiner Signatur genannten Adressen und lösch sie letzlich.

Achso, ich vergaß:
- System patchen, Windows aktualisieren!
- vorbeugend Browserwechsel (auch diesen bitte stets aktuell halten), z.B. Opera, Mozilla, Firefox.

Mäc 13.05.2004 14:35
Hi Markus,

das Löschen der von Dir genannten Einträge über HijackThis bringt immer nur recht kurz etwas. Der Trojaner ist wenig später wieder da, u.U. hat die DLL dann auch einen anderen Namen... :(

Aber wie bereits gesagt: Ich bin das Problem jetzt Dank Antiviren-Update los... [img]smile.gif[/img]

[ 13. Mai 2004, 15:40: Beitrag editiert von: Mäc ]

chrissuperstar 13.05.2004 16:21
Hallo, die entsprechenden Dateien gefixt, wollte dann die hip.dll löschen, aber sie ist im Ordner System32 nicht vorhanden....vorübergehend ist der Hijacker erstmal weg...vielen Dank erstmal...

Lutz 13.05.2004 16:27
</font><blockquote>Zitat:</font><hr />...wollte dann die hip.dll löschen, aber sie ist im Ordner System32 nicht vorhanden....</font>[/QUOTE]Hallo,
die Datei ist da, allerdings versteckt. Im Moment wird forenübergreifend an einer Lösung gearbeitet. Bitte hab noch ein bisschen Geduld mit uns... ;)

Mäc 14.05.2004 08:21
Moin, das Remove-Tool ist da: Rokop Security - aber wie gesagt, ein aktuelles Antiviren-Update tut's mittlerweile auch... ;) Trotzdem: Hut ab, Rokop! [img]graemlins/daumenhoch.gif[/img]


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:14 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129