Jetzt auch bei mir(Browser Hijacker)

Dieses Thema im Forum "Sicherheit" wurde erstellt von 350sl, 6. April 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 350sl

    350sl ROM

    Registriert seit:
    6. April 2004
    Beiträge:
    2
    Hallo an alle. Mich hat es jetzt auch erwischt.

    Habe schon ad-ware 6, Spybot, cwsshredder und spoonweg durchlaufen lassen.

    Habe jetzt folgendes Problem. Es öffnet sich alle 5 min. eine Internet Explorer Fenster mit Werbung und ****o. kriege das nicht weg. Hoffe mir kann einer Helfen.

    Logfile of HijackThis v1.97.7
    Scan saved at 10:02:57, on 06.04.2004
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Sybase\SQL Anywhere 7\Win32\DbSrv7.exe
    C:\WINNT\System32\svchost.exe
    D:\Norton\Norton AntiVirus\navapsvc.exe
    D:\Norton\Norton Utilities\NPROTECT.EXE
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    D:\Norton\SPEEDD~1\nopdb.exe
    C:\WINNT\UPSWSSVC.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    D:\WorldShip\wshipservicecom.exe
    C:\WINNT\system32\svchost.exe
    C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
    C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
    C:\WINNT\Explorer.EXE
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\PROGRA~1\0190WA~1\WARN0190.EXE
    C:\WINNT\consol32.exe
    C:\WINNT\dl.exe
    C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
    C:\PROGRA~1\lite plan win\Poll Size Dent.exe
    C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
    C:\WINNT\system32\atiptaxx.exe
    C:\WINNT\dlm.exe
    C:\WINNT\system32\internat.exe
    C:\docume~1\admini~1\applic~1\services.exe
    C:\Documents and Settings\Administrator\Application Data\toaw.exe
    C:\WINNT\system32\wapiit.exe
    C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
    D:\LexwareClient\Gemeinsame Dateien\Framework\Framework.exe
    C:\Documents and Settings\Administrator\Desktop\hjt.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://prosearching.com/searchbar.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://prosearching.com/searchbar.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://prosearching.com/searchbar.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#37049
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.114.1:3128;https=192.168.114.1:3128;ftp=192.168.114.1:3128;socks=192.168.114.1:1080
    N2 - Netscape 6: user_pref("browser.startup.homepage", "prosearching.com"); (C:\Documents and Settings\Administrator\Application Data\Mozilla\Profiles\default\t25obrww.slt\prefs.js)
    N2 - Netscape 6: user_pref("browser.search.defaultengine", "http://www.google.com/"); (C:\Documents and Settings\Administrator\Application Data\Mozilla\Profiles\default\t25obrww.slt\prefs.js)
    O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - C:\WINNT\msaj\msaj32.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton\Norton AntiVirus\NavShExt.dll
    O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\WINNT\msaj\msiesh.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\Symtray.exe SetReg
    O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
    O4 - HKLM\..\Run: [HPLJ Config] C:\Program Files\Hewlett-Packard\hp LaserJet 1150_1300\SetConfig.exe -c -p -pn "hp LaserJet 1300 PCL 6" -n -l 1033 -sl 120000
    O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
    O4 - HKLM\..\Run: [Cons] C:\WINNT\consol32.exe
    O4 - HKLM\..\Run: [Dial32] C:\WINNT\dl.exe
    O4 - HKLM\..\Run: [StatusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
    O4 - HKLM\..\Run: [Great Comp] C:\PROGRA~1\lite plan win\Poll Size Dent.exe
    O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [Dial33] C:\WINNT\dlm.exe
    O4 - HKLM\..\Run: [ejsbwp] C:\WINNT\ejsbwp.exe
    O4 - HKCU\..\Run: [Quicknote] C:\Program Files\Termine\quicknote.exe
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - HKCU\..\Run: [System Update2] c:\docume~1\admini~1\applic~1\services.exe
    O4 - HKCU\..\Run: [Oati] C:\Documents and Settings\Administrator\Application Data\toaw.exe
    O4 - HKCU\..\Run: [WTSS] C:\WINNT\system32\wapiit.exe
    O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\Symtrdr.exe
    O4 - HKLM\..\RunOnce: [Ad-aware] "C:\Program Files\Lavasoft\Ad-aware 6\Ad-aware.exe" "+b1"
    O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MT....02&http://www.gameboy.com/sp/vp/content.html
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw-intl.cab
    O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
    O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...pple.com/bonnie/us/win/QuickTimeInstaller.exe
    O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38082.2941550926
    O16 - DPF: {BE95EB50-BF4C-11D2-AD93-0060087E046C} (debitel KundenService) - https://kundenservice.debitel.com/sccicci173.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{F9011C1B-B2FC-4000-BC22-D25E25E94CE3}: NameServer = 192.168.122.252,192.168.122.253

    Danke im voraus.

    Ciao
     
  2. tobiy

    tobiy Kbyte

    Registriert seit:
    4. April 2004
    Beiträge:
    370
    Biet sie mal HIER zum Verkauf an vielleicht kommt noch ein Stäffelesrutscher und zahlt dafür.:D
     
  3. Gast

    Gast Guest

    Na das ist doch mal ein Angebot :D:D
     
  4. poro

    poro Ganzes Gigabyte

    Registriert seit:
    31. Juli 2003
    Beiträge:
    13.635
    Hier werden immer mordslange .log-Files gepostet.
    Meine ist kurz und alles läuft.
    Wenn's mal Probleme gibt, weiß ich gleich was raus muß.
    (Früher war das nicht so, bis zum ersten BrowserHijacker).
    Bei irgendwelchen Anzeichen für Unstimmigkeiten im System: AdAware+AntiVir+HijackThis. Dann Neustart und alles geht seinen geregelten Gang, bis zum nächsten Mal, dauert ca.8min.


    PS
    Habe ungefähr 10Mb gesammelte Dialer und anderes Gesocks zu verschenken.
     
  5. 350sl

    350sl ROM

    Registriert seit:
    6. April 2004
    Beiträge:
    2
    @Steele

    Vielen Dank für deine Hilfe. Ist alles wieder in Ordnung.

    Der Computer, der befallen war, ist ein Bürocomputer, wo mindestens 3 Leute mit ins Internet gehen. Keine Ahnung was da alles an dem Rechner passiert oder installiert wird.

    Habe den Browser jetzt gewechselt.

    Vielen Dank nochmal.

    Ciao

    Stefan
     
  6. Gast

    Gast Guest

    C:\WINNT\UPSWSSVC.exe
    D:\WorldShip\wshipservicecom.exe

    Verdächtig.

    C:\WINNT\consol32.exe
    C:\WINNT\dl.exe
    C:\WINNT\dlm.exe

    Hijacker

    C:\PROGRA~1\lite plan win\Poll Size Dent.exe

    Verdächtig

    C:\docume~1\admini~1\applic~1\services.exe

    Verdächtig, da untypischer Pfad.

    C:\Documents and Settings\Administrator\Application Data\toaw.exe
    C:\WINNT\system32\wapiit.exe

    Verdächtig

    R0/R1 fixen lassen

    N2 - Netscape 6: user_pref("browser.startup.homepage", "prosearching.com"); (C:\Documents and Settings\Administrator\Application Data\Mozilla\Profiles\default\t25obrww.slt\prefs.js)

    fixen lassen

    O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - C:\WINNT\msaj\msaj32.dll

    Weg

    O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\WINNT\msaj\msiesh.dll

    Weg

    O4 - HKLM\..\Run: [Cons] C:\WINNT\consol32.exe
    O4 - HKLM\..\Run: [Dial32] C:\WINNT\dl.exe

    Weg

    O4 - HKLM\..\Run: [Great Comp] C:\PROGRA~1\lite plan win\Poll Size Dent.exe
    O4 - HKLM\..\Run: [Dial33] C:\WINNT\dlm.exe
    O4 - HKLM\..\Run: [ejsbwp] C:\WINNT\ejsbwp.exe

    Weg

    O4 - HKCU\..\Run: [System Update2] c:\docume~1\admini~1\applic~1\services.exe
    O4 - HKCU\..\Run: [Oati] C:\Documents and Settings\Administrator\Application Data\toaw.exe
    O4 - HKCU\..\Run: [WTSS] C:\WINNT\system32\wapiit.exe

    Weg

    O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - h**ps://components.viewpoint.com/MT...vp/content.html

    Fragwürdig

    O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - h**p://www.mt-download.com/MediaTicketsInstaller.cab

    Weg

    Nette Sammlung. Und nun denk mal drüber nach, warum dich dein Norton-Zeugs nicht schützen konnte und ob ein endgültiger Browserwechsel nicht sinnvoll wäre.
    Den N2-Eintrag verdankst du nämlich nicht etwa dem Netscape, sondern einer Softwareinstallation, die du manuell getätigt hast oder einem Hijacker, den du dir über den IE einfingst.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen