Browser hijacked

Liebe Leute,

mein Browser ist schon wieder (oder immer noch?) gekidnapped. Außerdem habe ich mit dem gleichen Phänomen (gekidnappter Bildschirmhintergrund?) zu kämpfen, das SinaT in ihrem BEITRAG beschreibt.

Hier mein Logfile (ohne Running Processes, da sonst meine Beitrag zu lang wird)of HijackThis v1.97.7
Scan saved at 10:21:27, on 13.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.75.100:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINNT\twaintec.dll
O2 - BHO: (no name) - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINNT\Downloaded Program Files\eBayBand.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINNT\2_0_1browserhelper2.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINNT\Downloaded Program Files\eBayBand.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtray.exe SetReg
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CheckMedi8or] C:\Programme\Mediator 7 Pro\CheckNewUser.exe
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Medion\mouse32a.exe
O4 - HKLM\..\Run: [UStorag] c:\programme\u-storage tools2.3\ustorage.exe sys_auto_run C:\Programme\U-Storage Tools2.3
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DriveScan Plus] C:\Programme\DriveScan Plus\DriveScan.exe /SmartStart
O4 - HKLM\..\Run: [WinTime] C:\WINNT\system32\wintime.exe
O4 - HKLM\..\Run: [vpwunprxp] C:\WINNT\system32\xcvuik.exe
O4 - HKLM\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKLM\..\Run: [ist service uninstall] C:\WINNT\mstasks2.exe /u
O4 - HKCU\..\Run: [HBRemind] C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [PC Notes Taker] C:\Programme\Pegasus Technologies\PC Notes Taker\PCNotesTaker.exe -silent
O4 - HKCU\..\Run: [SMS-Manager] C:\PROGRA~1\SMSMAN~1\SMSMngr.exe
O4 - HKCU\..\Run: [Oeec] C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\rtbt.exe
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtrdr.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Alarm Manager.LNK = C:\Programme\Palm\AlarmApp.exe
O4 - Global Startup: eBay Toolbar.LNK = C:\WINNT\Downloaded Program Files\eBayTBar.exe
O4 - Global Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe
O4 - Global Startup: OKI LPR Utility.lnk = C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
O4 - Global Startup: ORiNOCO Client Manager.lnk = C:\Programme\ORiNOCO\Client Manager\CMLUC.EXE
O4 - Global Startup: Push Client.LNK = C:\InterWise\Student\pull.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: eBay Toolbar (HKLM)
O9 - Extra 'Tools' menuitem: eBay Toolbar (HKLM)
O9 - Extra button: OxBuy Homepage (HKLM)
O9 - Extra 'Tools' menuitem: OxBuy Homepage (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: Sametime Meeting Room Client ST25 - http://195.4.240.3:8088/sametime/stmeetingroomclient/STMeetingRoomClient.cab
O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://cashsearch.biz/legal/x.chm::/load.exe
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - http://lernplattform.t-online.de/ibt/content/bitmedia/ibt/bitecdl_1/it03bg/awlm/awswax.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {328DDF23-82BE-11D0-A799-00A02488BD89} (BscwUpload Control) - http://bscw.gmd.de/bscw_resources/BscwUpload.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {87067F04-DE4C-4688-BC3C-4FCF39D609E7} - http://download.websearch.com/Dnl/T_50020/QDow_AS2.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (JavaBeansBridge.Object) - http://bscw.fit.fraunhofer.de/bscw_resources/java/jinstall-1_4-windows-i586.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37594.2590046296
O16 - DPF: {A4639D2F-774E-11D3-A490-00C04F6843FB} - http://download.microsoft.com/download/vizact2000/Install/10/WIN98Me/EN-US/msorun.cab
O16 - DPF: {B38B80E1-B697-11D2-BDF9-00A02454F633} (BSCW JBrowser Applet (Java classes)) - http://bscw.gmd.de/bscw_resources/JBrowser/jbrowser.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CA970A6F-2347-4622-AD7C-2B3CB8B659B1} (JNILoader Control) - http://195.4.240.3:8088/sametime/stmeetingroomclient/STJNILoader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab
O16 - DPF: {FA812081-C71E-11D2-BDFE-00A02454F633} (BSCW JBrowser Resources) - http://bscw.gmd.de/bscw_resources/JBrowser/resources.cab
O16 - DPF: {FD1A73A1-C038-11D2-BDFD-00A02454F633} (JBrowser XML classes) - http://bscw.gmd.de/bscw_resources/JBrowser/xml.cab
O16 - DPF: {FD1A73A3-C038-11D2-BDFD-00A02454F633} (Swing classes) - http://bscw.gmd.de/bscw_resources/JBrowser/swing.cab


Zu fixen sind sicherlich alle Einträge, die "http://213.159.117.132" enthalten. Was noch? Und welche Einträge sind für den schwarzen Hintergrund verantwortlich?

Grüße
riffifi

 

Schau dir das mal an:

http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

Ich habe selten so ein langes, überfülltes logfile gelesen. Vorallem diese O16, ActiveX darf bei Dir aber auch wirklich jeder ausführen. Wunder Dich über nichts, dass Deine Kiste verseucht ist, ist völlig normal bei deinen IE-Einstellugen.

Ich würde den IE neu installieren und dann folgendes konsequent abarbeiten:

http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm

oder


http://www.blafusel.de/ie.html

 

Hallo,

jede Menge Arbeit:

bitte fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://213.159.117.132/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://213.159.117.132/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://213.159.117.132/redir.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://213.159.117.132/redir.php
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINNT\twaintec.dll


O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!h**p://cashsearch.biz/legal/x.chm::/load.exe
Datei enthält einen Trojan-Downloader, siehe unten

O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - h**p://www2.flingstone.com/cab/2000XP/CDTInc/bridge.cab

Ist ohne Gewähr auf Vollständigkeit.


Was ist xcvuik.exe?

Es ist u.a.Flingstone-Zeugs dabei. Also müßte man doch wissen, welche Prozesse laufen.

Du hast dir Trojaner runtergeladen, s.o. Das Sauberste wäre, dein System neu aufzusetzen.

Dann alle Patches aufspielen, das übliche halt.

Einführend meinst du, du hättest dir "schon wieder" einen Hijacker eingefangen. Auch wenn hier ein paar User aufheulen, rate ich dir dringend, den Browser zu wechseln (Opera/Mozilla). Dies gilt umso mehr, als in deinem Log Adressen aus den Seitenstraßen des www auftauchen.

 

Nachtrag:

Hatte vergessen, die Links zu editieren. Der Versuch, dies nachträglich zu ändern ist dank der neuen Forum-Software gescheitert.

Also:

Liebe Kinder, die Links in meinem Beiträg sind böse , nicht draufklicken.