Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Krieg den Hijacker nicht weg ;-( (https://www.trojaner-board.de/637-krieg-hijacker-weg.html)

Hilfe-Hijacked 07.06.2004 12:36
Ich kriege meine HiJacker nicht weg und verzweifle bald!

Ich hab schon über Google und anderen Foren nach der Variante gesucht, alle Lösungstips habe nicht geholfe. Auch Adware und WShredder halfen nicht!

Das Teil wird zwar entfernt, aber es gibt noch irgendwo etwas auf der Festplatte, weil es nach einiger Zeit wieder installiert wird.

Ich denke ich habe auch den Auslöser, wann das Progi wieder installiert wird gefunden.

Wenn ich das Teil entferne und noch 3-4 Tagen im Internet Explorer auf Ansicht > Quelltext anzeigen gehe erhalte ich wieder die Icons "Online Pharmacia" und "Fast Loans" auf dem Desktop sowie den Favoriten Link ~VIP Free Porn~.
Die Funktion Quelltext anzeigen funktioniert auch nicht mehr - sprich es wird nicht mehr Notepad geöffnet.

Hier das LogFile
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zapro.exe
C:\Programme\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\mspaint.exe
C:\Dokumente und Einstellungen\Uni\Eigene Dateien\Hijack\hijackthis\HijackThis.exe
C:\Dokumente und Einstellungen\Uni\Eigene Dateien\Hijack\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Resources - {2D38A51A-23C9-48a1-A33C-48675AA2B494} - C:\WINDOWS\winres.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [bgsmsnd.exe] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zapro.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.i-lookup.com
O15 - Trusted Zone: *.offshoreclicks.com
O15 - Trusted Zone: *.teensguru.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {0E4796D6-A990-4372-9069-72FBDB4AE868} - http://www.one2one.com/static/class/one2oneSvc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E8C86D1-3072-4577-9D32-B7E85C81CAB2}: NameServer = 145.253.2.81 145.253.2.203
O17 - HKLM\System\CS1\Services\Tcpip\..\{3E8C86D1-3072-4577-9D32-B7E85C81CAB2}: NameServer = 145.253.2.81 145.253.2.203

rock 07.06.2004 14:02
warum hast du den oberen teil des logs entfernt? da wär gestanden was du für'n betriebssystem hast!

okey, also systemwiederherstellung deaktivieren vorübergehend und diese einträge fixen: oder hast du das als startseite und so oft geöffnet? sicherheitshalber weggeben, es sollte dann die microsoft homepage komen wenn du keinen eintrag (mehr)hast...

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank

wie kommt sowas in die vertraulichen seiten/zone??
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.i-lookup.com
O15 - Trusted Zone: *.offshoreclicks.com
O15 - Trusted Zone: *.teensguru.com
O15 - Trusted Zone: *.xxxtoolbar.com

auch fix checked!

gruss
rock

[ 07. Juni 2004, 15:08: Beitrag editiert von: rock' ]

Lutz@Work 07.06.2004 14:23
Hallo und Willkommen an Board,

</font><blockquote>Zitat:</font><hr />O2 - BHO: Windows Resources - {2D38A51A-23C9-48a1-A33C-48675AA2B494} - C:\WINDOWS\winres.dll</font>[/QUOTE]Das muss auch gefixt werden und die Datei C:\WINDOWS\winres.dll gelöscht werden.

Eigentlich sollte ein aktueller CWShredder (Version 1.59.0) schon seit längerem in der Lage sein, diese Variante zu entfernen.
Guckst Du auch hier: http://www.spywareinfo.com/%7Emerijn...es.html#winres

Gruß,
Lutz

Hilfe-Hijacked 07.06.2004 14:31
Die Trusted Siten werden von dem Hijacker angelegt. (Betriebsystem ist standardmäßig wie bei den meisten WinXP und IE6, daher ist wohl echt Mozilla zu empfehlen...)

Mit dem Shredder habe ich die URLs dir Rock genannt hatte entfernt und auch die Trusted Sites
sowie das win.res Teil.

!!!! Jedoch kommt der Hijacker wieder zurück. Und zwar habe ich festgestellt dass der Shredder wieder einen Winres eintrag entfernt wenn ich im InternetExplorer auf "Quelltext anzeigen" gehen (Wie oben gesagt funktioniert diese Funktion auch nicht mehr. Sondern wenn ich Sie aktiviere läd irgendetwas den Hijacker)

Wo kriege ich raus mit was diese Funktion in der Registry verknüpft ist - bzw. wie dort der richtige Eintrag lauten müßte damit sich Notepad wieder öffnet und nicht Winres.dll geladen wird.

[ 07. Juni 2004, 15:45: Beitrag editiert von: Hilfe-Hijacked ]

Lutz@Work 07.06.2004 15:32
</font><blockquote>Zitat:</font><hr />Mit dem Shredder habe ich die URLs dir Rock genannt hatte entfernt und auch die Trusted Sites sowie das win.res Teil.</font>[/QUOTE]Der CWShredder macht das 'normalerweise' selbständig, ohne das Du irgendetwas händisch entfernen musst.
Bist Du sicher, dass Du dieses Tool
http://www.chip.de/downloads/c_downl...5bd0d4a7b5c99e
verwendet hast?!?

Hilfe-Hijacked 07.06.2004 17:29
Zuerst habe ich es händisch mit HijackThis gemacht.

Anschließend auf Euer raten hin mit dem Shredder, der es automatisch entfernt.

Ich habe jetzt das Problem, dass ich mein System wieder mit dem Teil infiziere, wenn ich im Browser auf Ansicht &gt; Quelltext anzeigen gehe.

Dann findet der Shredder auch wieder das Win.res Teil.

Solange ich nicht auf Quelltext anzeigen klicke findet dere Shredder hingegen nichts...

Lutz 07.06.2004 18:09
Wenn das jetzt 'nur' noch passiert, wenn Du Dir den Quelltext anschaust, könnte u.U. der Editor (der wird ja dann gestartet) infiziert sein.

Lade Dir mal das Free eScan Antivirus Toolkit Utility herunter und scanne Deinen Rechner im abgesicherten Modus Deines Rechners. Vielleicht findet der etwas.
Wenn ja, poste bitte, was gefunden wurde

Hilfe-Hijacked 07.06.2004 22:12
Viele Dank für den super Tip!

Mon Jun 07 23:10:50 2004 =&gt; File C:\WINDOWS\System32\notepad.com infected by "TrojanDropper.Win32.Small.hi" Virus. Action


Was ist das für ein Scanner? Ist der komplett umsonst? Das Teil ist echt klasse!

Lutz@Work 08.06.2004 10:55
</font><blockquote>Zitat:</font><hr />Was ist das für ein Scanner? Ist der komplett umsonst? Das Teil ist echt klasse! </font>[/QUOTE]Hinter eScan 'verbirgt' sich die Scan-Technik sowie die Virendefinitionen von Kaspersky.
Daher erkennt eScan im Gegensatz zu manch anderem AV-Scanner auch schon wesentlich mehr Hijacker-Varianten.
In der so herunterladbaren Version ist eScan in der Tat komplett kostenlos und ich hoffe, das bleibt er auch.
Allerdings bietet eScan keinen 'Echtzeitschutz' oder 'Virenwächter' an, sondern ist ein reiner 'OnDemand-Scanner'. OnDemand-Scanner suchen nur dann nach Malware, wenn sie vom Benutzer aufgerufen werden.

Es gibt auch keine Update-Funktion für Virensignaturen. Allerdings wird eScan häufig komplett aktualisiert und kann/muss dann auch komplett ( ~4MB) heruntergeladen werden. Bis vor kurzem waren es meist wöchentliche Updates. Zu Zeit sind es tägliche...


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:04 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131