Browser hijacked

Dieses Thema im Forum "Sicherheit" wurde erstellt von riffifi, 13. Juni 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. riffifi

    riffifi ROM

    Registriert seit:
    15. Mai 2004
    Beiträge:
    6
    Liebe Leute,

    mein Browser ist schon wieder (oder immer noch?) gekidnapped. Außerdem habe ich mit dem gleichen Phänomen (gekidnappter Bildschirmhintergrund?) zu kämpfen, das SinaT in ihrem BEITRAG beschreibt.

    Hier mein Logfile (ohne Running Processes, da sonst meine Beitrag zu lang wird)of HijackThis v1.97.7
    Scan saved at 10:21:27, on 13.06.2004
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.75.100:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php
    O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINNT\twaintec.dll
    O2 - BHO: (no name) - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINNT\Downloaded Program Files\eBayBand.dll
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINNT\2_0_1browserhelper2.dll
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
    O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINNT\Downloaded Program Files\eBayBand.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
    O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtray.exe SetReg
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [CheckMedi8or] C:\Programme\Mediator 7 Pro\CheckNewUser.exe
    O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Medion\mouse32a.exe
    O4 - HKLM\..\Run: [UStorag] c:\programme\u-storage tools2.3\ustorage.exe sys_auto_run C:\Programme\U-Storage Tools2.3
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [DriveScan Plus] C:\Programme\DriveScan Plus\DriveScan.exe /SmartStart
    O4 - HKLM\..\Run: [WinTime] C:\WINNT\system32\wintime.exe
    O4 - HKLM\..\Run: [vpwunprxp] C:\WINNT\system32\xcvuik.exe
    O4 - HKLM\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
    O4 - HKLM\..\Run: [ist service uninstall] C:\WINNT\mstasks2.exe /u
    O4 - HKCU\..\Run: [HBRemind] C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
    O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [PC Notes Taker] C:\Programme\Pegasus Technologies\PC Notes Taker\PCNotesTaker.exe -silent
    O4 - HKCU\..\Run: [SMS-Manager] C:\PROGRA~1\SMSMAN~1\SMSMngr.exe
    O4 - HKCU\..\Run: [Oeec] C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\rtbt.exe
    O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtrdr.exe
    O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Alarm Manager.LNK = C:\Programme\Palm\AlarmApp.exe
    O4 - Global Startup: eBay Toolbar.LNK = C:\WINNT\Downloaded Program Files\eBayTBar.exe
    O4 - Global Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe
    O4 - Global Startup: OKI LPR Utility.lnk = C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
    O4 - Global Startup: ORiNOCO Client Manager.lnk = C:\Programme\ORiNOCO\Client Manager\CMLUC.EXE
    O4 - Global Startup: Push Client.LNK = C:\InterWise\Student\pull.exe
    O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
    O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
    O9 - Extra button: eBay Toolbar (HKLM)
    O9 - Extra 'Tools' menuitem: eBay Toolbar (HKLM)
    O9 - Extra button: OxBuy Homepage (HKLM)
    O9 - Extra 'Tools' menuitem: OxBuy Homepage (HKLM)
    O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
    O16 - DPF: Sametime Meeting Room Client ST25 - http://195.4.240.3:8088/sametime/stmeetingroomclient/STMeetingRoomClient.cab
    O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab
    O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://cashsearch.biz/legal/x.chm::/load.exe
    O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - http://lernplattform.t-online.de/ibt/content/bitmedia/ibt/bitecdl_1/it03bg/awlm/awswax.cab
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
    O16 - DPF: {328DDF23-82BE-11D0-A799-00A02488BD89} (BscwUpload Control) - http://bscw.gmd.de/bscw_resources/BscwUpload.cab
    O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
    O16 - DPF: {87067F04-DE4C-4688-BC3C-4FCF39D609E7} - http://download.websearch.com/Dnl/T_50020/QDow_AS2.cab
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (JavaBeansBridge.Object) - http://bscw.fit.fraunhofer.de/bscw_resources/java/jinstall-1_4-windows-i586.cab
    O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/CDTInc/bridge.cab
    O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37594.2590046296
    O16 - DPF: {A4639D2F-774E-11D3-A490-00C04F6843FB} - http://download.microsoft.com/download/vizact2000/Install/10/WIN98Me/EN-US/msorun.cab
    O16 - DPF: {B38B80E1-B697-11D2-BDF9-00A02454F633} (BSCW JBrowser Applet (Java classes)) - http://bscw.gmd.de/bscw_resources/JBrowser/jbrowser.cab
    O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {CA970A6F-2347-4622-AD7C-2B3CB8B659B1} (JNILoader Control) - http://195.4.240.3:8088/sametime/stmeetingroomclient/STJNILoader.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab
    O16 - DPF: {FA812081-C71E-11D2-BDFE-00A02454F633} (BSCW JBrowser Resources) - http://bscw.gmd.de/bscw_resources/JBrowser/resources.cab
    O16 - DPF: {FD1A73A1-C038-11D2-BDFD-00A02454F633} (JBrowser XML classes) - http://bscw.gmd.de/bscw_resources/JBrowser/xml.cab
    O16 - DPF: {FD1A73A3-C038-11D2-BDFD-00A02454F633} (Swing classes) - http://bscw.gmd.de/bscw_resources/JBrowser/swing.cab


    Zu fixen sind sicherlich alle Einträge, die "http://213.159.117.132" enthalten. Was noch? Und welche Einträge sind für den schwarzen Hintergrund verantwortlich?

    Grüße
    riffifi
     
  2. Gast

    Gast Guest

    Schau dir das mal an:

    http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

    Ich habe selten so ein langes, überfülltes logfile gelesen. Vorallem diese O16, ActiveX darf bei Dir aber auch wirklich jeder ausführen. Wunder Dich über nichts, dass Deine Kiste verseucht ist, ist völlig normal bei deinen IE-Einstellugen.

    Ich würde den IE neu installieren und dann folgendes konsequent abarbeiten:

    http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm

    oder


    http://www.blafusel.de/ie.html

     
  3. Gast

    Gast Guest

    Hallo,

    jede Menge Arbeit:

    bitte fixen:

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://213.159.117.132/redir.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://213.159.117.132/redir.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://213.159.117.132/redir.php
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://213.159.117.132/redir.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://213.159.117.132/redir.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://213.159.117.132/redir.php
    O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINNT\twaintec.dll


    O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!h**p://cashsearch.biz/legal/x.chm::/load.exe
    Datei enthält einen Trojan-Downloader, siehe unten

    O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - h**p://www2.flingstone.com/cab/2000XP/CDTInc/bridge.cab

    Ist ohne Gewähr auf Vollständigkeit.


    Was ist xcvuik.exe?

    Es ist u.a.Flingstone-Zeugs dabei. Also müßte man doch wissen, welche Prozesse laufen.

    Du hast dir Trojaner runtergeladen, s.o. Das Sauberste wäre, dein System neu aufzusetzen.

    Dann alle Patches aufspielen, das übliche halt.

    Einführend meinst du, du hättest dir "schon wieder" einen Hijacker eingefangen. Auch wenn hier ein paar User aufheulen, rate ich dir dringend, den Browser zu wechseln (Opera/Mozilla). Dies gilt umso mehr, als in deinem Log Adressen aus den Seitenstraßen des www auftauchen.




     
  4. Gast

    Gast Guest

    Nachtrag:

    Hatte vergessen, die Links zu editieren. Der Versuch, dies nachträglich zu ändern ist dank der neuen Forum-Software gescheitert.

    Also:

    Liebe Kinder, die Links in meinem Beiträg sind böse :bse:, nicht draufklicken.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen