Gleiches Prob wie about:blank?

Dieses Thema im Forum "Sicherheit" wurde erstellt von Cylibergod, 2. Juli 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Cylibergod

    Cylibergod Kbyte

    Registriert seit:
    25. April 2000
    Beiträge:
    324
    Hi there,

    also ich hab einige PCs in meinem Bekanntenkreis, die Verhalten sich in Hinblick auf den Internet Explorer 6 recht merkwürdig.
    Startet man den Internet Explorer, so kommt man direkt auf die Startseite:
    res://zcqiz.dll/index.html#96676

    Man kann dann auch nicht mehr auf eine andere Seite wechseln, sollte der Explorer dies doch mal versuchen, wird ein Fehler verursacht und der Rechner möchte dann MS einen Fehlerbericht senden.

    Die PCs haben Windows XP mit SP1 installiert, Updates bis zum Mai auf jeden Fall alle gemacht, da bis dahin ich verantwortlich war.

    GEhe ich recht in der Vermutung, daß dies ein Virus oder ähnliches ist? Also Norton is drauf, findet aber nix. Ich werde morgen mal den IE neu installieren versuchen und gleichzeitig mit Spybot, Stinger und den gesammelten MS Patches ausrücken. Hoffe das hilft was.

    Wenn jemand das gleiche Problem hatte, wäre cool wenn er sich melden würde. Achja, zurücksetzen auf IE Standards bringt auch nix und die Änderung der Startseite wird auch fleißig ignoriert. Weiß vielleicht wie jemand sich sowas einfängt? Mein Netzwerk is genauso konfiguriert....aber ich hab hier nix und surf auch mit IE6

    Naja um Hilfe wäre ich sehr dankbar....

    Grüße

    Atti
     
  2. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Hallo, man spricht hier von Browser Hijacking, d.h. der Browser wird auf unerwünschte Webseiten entführt.
    Dieses Hijacking nutzt in allererster Linie bestehende Sicherheitslücken im Internet Explorer von Microsoft. Hierzu zählen insbesondere Aktive Inhalte (Javascript, Java Virtual Machine und ActiveX-Komponenten). Falsche, bzw. zu schwache Sicherheitseinstellungen in den Internetoptionen sind der Hauptgrund für die Ausführung dieser Schadprogramme. Hijacking ist zwar auch bei anderen Browsern wie z. B. Mozilla grundsätzlich möglich, es bedarf aber -im Gegensatz zum Internet Explorer- der aktiven "Unterstützung" durch den Surfer. Hier ist das gewollte Herunterladen und Installieren einer schädlichen Browsererweiterung (auch als PlugIn bekannt) erforderlich. Eine verborgene Installation aufgrund zu schwacher Sicherheitseinstellungen ist hier nicht möglich.

    Info: http://www.trojaner-info.de/hijacker/index.shtml

    Maßnahmen zur Entfernung:
    Erstelle ein Log-File mit HiJackThis und poste es hier.
    SpHjfix
    http://www.browser-hijacking******/


    Vorbeugung:
    Browserwechsel wie z.B. Mozilla, Firefox und Opera
    IE sicherer konfigurieren
     
  3. radja

    radja Byte

    Registriert seit:
    9. Juli 2003
    Beiträge:
    44
    @ Cidre Dein Link geht noch auf die alte Version von HJT HijackThis 1.98 ist die aktuelle.

    Diese Seite dürfte Dich auch interessieren!


     
  4. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    @ radja

    Der Link von Cidre verweist auf die aktuelle Version von HijackThis, lediglich der Ausschnitt des Programms verweist auf die alte Version. ;)

    Gruß
    Nevok
     
  5. radja

    radja Byte

    Registriert seit:
    9. Juli 2003
    Beiträge:
    44

    würde mich jetzt schon mal interessieren wie das funktionieren soll? Aber ich will ja nicht rechthaberisch sein....:D
     
  6. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Hallo radja,
    vielen Dank für deinen Link, aber diesen Link kannte ich schon;).
    Mit dem automatischen Auswerten des Log-Files kann ich mich nicht anfreunden, da viele Einträge schon seit längeren bekannt sind und trotzdem nicht aktualisiert werden(Quellen). Desweiteren wird die Aktualität des BS nicht überprüft und viele andere Bug´s.
    Aber für Einsteiger ne tolle Sache.

    Ps.
    Im board.protecus.de bin ich selbst vertreten.:)
     
  7. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Folge meinen Link und du kommst zu Chip und dort kannst du dir diese Version runterladen:
    SOFTWARE-INFOS
    Version: 1.98
    Sprache: Englisch
    Downloadzahl: 69502
    Autor: Merijn
    Betriebssystem: Win 98
    Win NT 4.0
    Win 2000
    Win Me
    Win 95
    Win XP
    Dateigröße: 176.7 kByte
    Kategorie: Sonstige Sicherheits-Tools
    Softwareart: Freeware

    Wie Nevok dir bereits mitteilte, verweist nur der Bild-Ausschnitt auf das alte HiJackThis.
     
  8. Cylibergod

    Cylibergod Kbyte

    Registriert seit:
    25. April 2000
    Beiträge:
    324
    Hi,

    also das mit dem Hijacking hatte ich auch vermutet. Echt bidder.

    Aber danke für Eure Hilfe, werd das Proggi ausführen und dann mal posten. Vielleicht geht ja dann noch was mit retten. Setze ungern das Zeug auf. Und upgedated wird natürlich auch gleich alles.


    Greetz

    Atti
     
  9. Cylibergod

    Cylibergod Kbyte

    Registriert seit:
    25. April 2000
    Beiträge:
    324
    Hallo

    also hier mal das Logfile

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\Programme\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\atlvh32.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\WINDOWS\SYSTEM32\Mounter.exe
    C:\Programme\Real\RealPlayer\RealPlay.exe
    C:\WINDOWS\system32\sdkuy.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
    C:\Programme\FRITZ!\FriFax32.exe
    C:\Programme\FRITZ!\IWatch.exe
    C:\Programme\Openoffice\program\soffice.exe
    C:\WINDOWS\explorer.exe
    C:\antispyware\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://thesearchmall.com/index.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Rudloff\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zcqiz.dll/sp.html#96676
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zcqiz.dll/index.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zcqiz.dll/index.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\zcqiz.dll/sp.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Rudloff\LOKALE~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zcqiz.dll/sp.html#96676
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zcqiz.dll/index.html#96676
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Rudloff\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
    R3 - Default URLSearchHook is missing
    O2 - BHO: (no name) - {069FEA99-1168-7949-95DD-D064A827ABDC} - C:\WINDOWS\sdkkp.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [Mustek MDC 3000] C:\WINDOWS\SYSTEM32\Mounter.exe
    O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe
    O4 - HKLM\..\Run: [sdkuy.exe] C:\WINDOWS\system32\sdkuy.exe
    O4 - HKLM\..\RunOnce: [msmp32.exe] C:\WINDOWS\msmp32.exe
    O4 - HKLM\..\RunOnce: [javaaz.exe] C:\WINDOWS\system32\javaaz.exe
    O4 - HKLM\..\RunOnce: [mfcti32.exe] C:\WINDOWS\mfcti32.exe
    O4 - HKLM\..\RunOnce: [javavo.exe] C:\WINDOWS\javavo.exe
    O4 - HKLM\..\RunOnce: [atlgb.exe] C:\WINDOWS\atlgb.exe
    O4 - HKLM\..\RunOnce: [sdkfk32.exe] C:\WINDOWS\sdkfk32.exe
    O4 - HKLM\..\RunOnce: [croo.exe] C:\WINDOWS\system32\croo.exe
    O4 - HKLM\..\RunOnce: [crpz.exe] C:\WINDOWS\crpz.exe
    O4 - HKLM\..\RunOnce: [sysju32.exe] C:\WINDOWS\sysju32.exe
    O4 - HKLM\..\RunOnce: [ieny32.exe] C:\WINDOWS\ieny32.exe
    O4 - HKLM\..\RunOnce: [javaot32.exe] C:\WINDOWS\javaot32.exe
    O4 - HKLM\..\RunOnce: [ieok.exe] C:\WINDOWS\system32\ieok.exe
    O4 - HKLM\..\RunOnce: [iecz.exe] C:\WINDOWS\system32\iecz.exe
    O4 - HKLM\..\RunOnce: [appxx.exe] C:\WINDOWS\appxx.exe
    O4 - HKLM\..\RunOnce: [javasg.exe] C:\WINDOWS\system32\javasg.exe
    O4 - HKLM\..\RunOnce: [msjd32.exe] C:\WINDOWS\msjd32.exe
    O4 - HKLM\..\RunOnce: [iepc32.exe] C:\WINDOWS\iepc32.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\Openoffice\program\quickstart.exe
    O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
    O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
    O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
    O4 - Global Startup: SFIRM32 Automat.lnk = C:\SFIRM32\SFAutomat.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
    O15 - Trusted Zone: http://www.portevo.de
    O16 - DPF: Logics Software LOG-WEB (Java) 5,2,2,12 - http://www.startwebclient.de/logwebhtml/classes/logjava_5_2_2_12.cab
    O16 - DPF: {08085211-9948-11D6-8489-0050DA4B0AE7} (CommunicationDispatcher Class) - https://www.portevo.de/plugins/swb/CommunicationDispatcher.cab
    O16 - DPF: {30C99D74-32A1-11D6-9A95-0050DA4B095C} (SWB_PPLoad Class) - https://www.portevo.de/plugins/swb/SWBProPrinter.cab
    O16 - DPF: {69432678-2906-2705-1128-068943397621} -
    O16 - DPF: {FE1A240F-B247-4E06-A600-30E28F5AF3A0} (iiittt Class) - file://C:\install.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B1E8DAAD-ED2F-46D4-A816-8115C04DF7F2}: NameServer = 194.25.2.129
    O17 - HKLM\System\CCS\Services\Tcpip\..\{DBEC0322-F373-4CB5-9024-00B073978B6A}: NameServer = 192.168.120.252,192.168.120.253
    O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll

    geh ich recht in der annahme, daß dann alles raus muss mit sp.html und der komischen res://zcqiz.dll/index.html#96676?

    Grüße soweit mal und schon ein dankeschön auch im voraus

    Schönes Weekend noch

    Atti
     
  10. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Hallo, ich gehe mal davon aus , das du Win XP als BS hast.

    Lade dir SpHjFix und hier die mwav.exe runter und entpacke diese in den Ordner C:\bases, danach die kavupd.exe (Online-Update) ausführen.

    Diese Prozesse im TaskManager beenden:
    C:\WINDOWS\atlvh32.exe
    C:\WINDOWS\system32\sdkuy.exe

    Diese Einträge fixen:
    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://thesearchmall.com/index.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Rudloff\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zcqiz.dll/sp.html#96676
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zcqiz.dll/index.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zcqiz.dll/index.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\zcqiz.dll/sp.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Rudloff\LOKALE~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zcqiz.dll/sp.html#96676
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zcqiz.dll/index.html#96676
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Rudloff\LOKALE~1\Temp\sp.html
    R3 - Default URLSearchHook is missing
    O2 - BHO: (no name) - {069FEA99-1168-7949-95DD-D064A827ABDC} - C:\WINDOWS\sdkkp.dll
    O4 - HKLM\..\Run: [sdkuy.exe] C:\WINDOWS\system32\sdkuy.exe
    O4 - HKLM\..\RunOnce: [msmp32.exe] C:\WINDOWS\msmp32.exe
    O4 - HKLM\..\RunOnce: [javaaz.exe] C:\WINDOWS\system32\javaaz.exe
    O4 - HKLM\..\RunOnce: [mfcti32.exe] C:\WINDOWS\mfcti32.exe
    O4 - HKLM\..\RunOnce: [javavo.exe] C:\WINDOWS\javavo.exe
    O4 - HKLM\..\RunOnce: [atlgb.exe] C:\WINDOWS\atlgb.exe
    O4 - HKLM\..\RunOnce: [sdkfk32.exe] C:\WINDOWS\sdkfk32.exe
    O4 - HKLM\..\RunOnce: [croo.exe] C:\WINDOWS\system32\croo.exe
    O4 - HKLM\..\RunOnce: [crpz.exe] C:\WINDOWS\crpz.exe
    O4 - HKLM\..\RunOnce: [sysju32.exe] C:\WINDOWS\sysju32.exe
    O4 - HKLM\..\RunOnce: [ieny32.exe] C:\WINDOWS\ieny32.exe
    O4 - HKLM\..\RunOnce: [javaot32.exe] C:\WINDOWS\javaot32.exe
    O4 - HKLM\..\RunOnce: [ieok.exe] C:\WINDOWS\system32\ieok.exe
    O4 - HKLM\..\RunOnce: [iecz.exe] C:\WINDOWS\system32\iecz.exe
    O4 - HKLM\..\RunOnce: [appxx.exe] C:\WINDOWS\appxx.exe
    O4 - HKLM\..\RunOnce: [javasg.exe] C:\WINDOWS\system32\javasg.exe
    O4 - HKLM\..\RunOnce: [msjd32.exe] C:\WINDOWS\msjd32.exe
    O4 - HKLM\..\RunOnce: [iepc32.exe] C:\WINDOWS\iepc32.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O16 - DPF: {69432678-2906-2705-1128-068943397621} -
    O16 - DPF: {FE1A240F-B247-4E06-A600-30E28F5AF3A0} (iiittt Class) - file://C:\install.cab
    O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll

    Anmelden im abgesicherten Modus und diese Dateien löschen:
    C:\WINDOWS\msopt.dll
    C:\WINDOWS\system32\sdkuy.exe
    C:\WINDOWS\msmp32.exe
    C:\WINDOWS\system32\javaaz.exe
    C:\WINDOWS\mfcti32.exe
    C:\WINDOWS\javavo.exe
    C:\WINDOWS\atlgb.exe
    C:\WINDOWS\sdkfk32.exe
    C:\WINDOWS\system32\croo.exe
    C:\WINDOWS\crpz.exe
    C:\WINDOWS\sysju32.exe
    C:\WINDOWS\ieny32.exe
    C:\WINDOWS\javaot32.exe
    C:\WINDOWS\system32\ieok.exe
    C:\WINDOWS\system32\iecz.exe
    C:\WINDOWS\appxx.exe
    C:\WINDOWS\system32\javasg.exe
    C:\WINDOWS\msjd32.exe
    C:\WINDOWS\iepc32.exe
    C:\WINDOWS\sdkkp.dll
    C:\WINDOWS\zcqiz.dll

    - Temporäre Internet Files löschen
    - mit mwav.exe (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.) und SpHjfix.exe scannen
    - Neustart
    - dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
    - neues Log-File posten (diesmal das gesamte, damit man auch erkennen kann wie dein System gepatcht ist.)
     
  11. Juve1106

    Juve1106 Halbes Megabyte

    Registriert seit:
    23. Juni 2001
    Beiträge:
    526
    Hijackthis in Kombination mit CWShredder verwenden

    Neuste Verso:
    http://winsupportcenter.com/downloads/cwshredder.zip

    CWShredder Description
    Und warum nicht Spybot S&D 1.3 mit Immunisierungsfunktion mit einbinden ¿
     
  12. Cylibergod

    Cylibergod Kbyte

    Registriert seit:
    25. April 2000
    Beiträge:
    324
    Hallo,

    vielen Dank Euch. Werd das dann mal so umsetzen und hier wieder Posten

    Euch ein schönen Sonntag noch

    Greetz

    Atti

    P.S.: Spybot hab ich schon drauf, immunisierung is also schon getan
     
  13. Cylibergod

    Cylibergod Kbyte

    Registriert seit:
    25. April 2000
    Beiträge:
    324
    Greetz alle miteinander

    es geht nun wieder. Optimal. Naja wird sich früher oder später, wenn ich Zeit habe nochmal ne Neuinstallation des OS wohl nicht vermeiden lassen. Man soll ja sicher gehen. Aber kurze Überbrückungszeit, bis ich ausm Urlaub wieder zurück bin is sicherlich gegeben durch Eure Hilfe.

    Danke Euch von ganzem Herzen,

    wünsche Euch auch so ein schönes Wochenende wie mir ;-)

    Atti
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen