Mal wieder die Startseite - aber...

Dieses Thema im Forum "Sicherheit" wurde erstellt von Xen-Arien, 25. April 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Xen-Arien

    Xen-Arien Byte

    Registriert seit:
    24. März 2003
    Beiträge:
    50
    ...nachdem ich mich jetzt per google durch zig Seiten gefressen habe und auch hier nach 10 Threads dazu nun endgültig den Durchblick verloren habe, muss ich jetzt doch einen neuen Aufmachen - bitte ohne jetzt auf zig andere Threads hinzuweisen.

    So, das blöde Ding - die Startseite - lässt sich nicht ändern, und anstelle des "aboutBlank" bekomme ich eine "aboutBlank" mit "Search For..." Inhalt - sowohl online als offline. Der Inhalt dieser Site befindet sich in einer x-beliebigen .dll datei in Windows/System32 . Wenn man diese 36 kb große .dll im abgesicherten Modus löscht, wird sie nach einem gewissen Zeitraum mit einem zufällig generierten Dateinamen neu erstellt und lässt sich nur durch ihr Änderungsdatum ausfindig machen.

    Also hab ich Adaware, Spybot,, cwshredder laufen lassen, die kein Ergebnis vorbingen konnten. Per HijackThis hab' ich einige irreguläre EInträge gefunden und gefixt, danach in der Registry eingie IE-Such-Einträge gelöscht, sowas zum Beispiel:

    SearchAssistant REG_SZ res://%43%3a%5c%75%49..... usw.

    Nach einiger Zeit ist aber wieder alles beim alten, also muss irgendwo noch was sitzen. Achja, in vielen Hilfen ist dieses Verzeichnis in der Registry angegeben:

    HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Internet Explorer\ Control Panel

    Der InternetExplorer existiert dort unter Mircosoft bei mir gar nicht.... ( Nein, ich hab' mich nicht im Stammverzeichnis verguckt :-))
    Einweiteres Symptom, von dem ich allerdings nicht weiß, ob dies mit der Malware zusammenhängt ist, dass sich meine Auslagerungsdatei plötzlich ein riesiges Ausmaß annimmt, teilweise über 700 MB...

    Hier ist meine Hijack-Log: (Wie gesagt, die ersten Einträge kann ich fixen so oft ich will, beim erneuten Starten des IE' s, selbst offline, ist alles wieder so:


    Logfile of HijackThis v1.97.7
    Scan saved at 19:00:35, on 25.04.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Microsoft IntelliPoint\point32.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Dit.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\PROGRA~1\NORTON~1\navapw32.exe
    C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\wanmpsvc.exe
    C:\WINDOWS\DitExp.exe
    C:\Programme\AOL 8.0\waol.exe
    C:\Programme\AOL 8.0\shellmon.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Internet Explorer\iexplore.exe
    D:\Downloads\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\fpc.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\fpc.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\fpc.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\fpc.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\fpc.dll/sp.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\fpc.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R3 - Default URLSearchHook is missing
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {15593D38-0FF1-413C-9915-46A3D9277AA4} - C:\WINDOWS\System32\fpc.dll
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
    O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O2 - BHO: (no name) - {FF531B48-DE2E-466D-BA25-3DA6F4A215DB} - C:\WINDOWS\System32\doegkgb.dll (file missing)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\MSDXM.OCX
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
    O4 - HKLM\..\Run: [Dit] Dit.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
    O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O9 - Extra button: Real.com (HKLM)
    O9 - Extra button: Yahoo! Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BACDE1B5-E80E-4E90-8010-1158F7A127F6}: NameServer = 195.93.88.134




    Es wär' super, wenn mich jemand irgendwie weiterhelfen könnte.
     
  2. Xen-Arien

    Xen-Arien Byte

    Registriert seit:
    24. März 2003
    Beiträge:
    50
  3. Gast

    Gast Guest

    also von frontpage und co halte ich nicht viel.

    ein vernünftiger texteditor und das kompendium von selfhtml und dann mal los....

    dann hab ich auf jedenfall keine <br> (neue zeile) und &nbsp; (leerzeichen) zuviel!

    dauert zwar länger, aber es wird dann so wie ICH es will!

    machste IE so dicht (wenns überhaupt möglich ist), das du von der sicherheit soweit bist, wie bei mozilla & co. kannste damit bestimmt nicht mehr vernünftig surfen!
     
  4. poro

    poro Ganzes Gigabyte

    Registriert seit:
    31. Juli 2003
    Beiträge:
    13.635
    Wie kann das jetzt gehen????

    Ich habe bei mir nichts gelöscht oder von irgendwelche programmen was entfernen lassen.
    Ich habe ja immer gleich auf X geklickt, der Mauspfeil ist immer in Position. Beim nächsten Mal gibt's einen Screenshot gratis dazu.



    Nächste mögliche Ursache:
    die wininit.cfg vom 12.04.2004
    Datum könnte stimmen, da ging es ungefähr los

    [Rename]
    NUL=C:\WINDOWS\bdl84126.exe

    Die .exe gibt es bei mir nicht, und ist garantiert was unanständiges.
    Infos dazu hier
    Kann ich den Eintrag löschen?
     
  5. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    @poro
    klick auf deinen link, die umleitung zu der ZIP erfolgt automatisch.
     
  6. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    @steele
    hahaaa klasse....es gibt da übrigens so ein neues windows-integriertes Werkzeug , genannt blockierleiste , wo alle diese dinge (ausführbare background-installationen über webseiten) darauf festgehalten werden und der user frei darüber entscheiden kann was damit zu geschehen hat.
    also ich fühle mich nicht unbedingt geknebelt davon. ;)
     
  7. poro

    poro Ganzes Gigabyte

    Registriert seit:
    31. Juli 2003
    Beiträge:
    13.635
    @bond7


    Dialeralarm auf Gamer-Seiten

    Gehe mal hier und klicke auf den Link zum downloaden. Mal sehen was da passiert.

    Oder hier oder hier oder hier und klicke dich durch.


    Der Pfad von deinem Link unterscheidet sich ja auch von meinem.
    Wo hast du deinen her???
     
  8. Gast

    Gast Guest

    Tja..hihi
    MyWebSearch ist ein bekannter Hijacker.
    Unverhofft kommt oft. :D

    Man kann theoretisch den IE so knebeln, dass er gegnüber einem Teil der Hijacker und sonstiger Malware unempfindlicher wird, aber dann ist er zum Surfen kaum noch zu gebrauchen. Warum also mit einer Tretmine unterwegs sein, wenns auch einfacher geht?
    Und was das "zu bunt" betrifft: Geschmäcker sind verschieden. Bei den Buttons kann ja von "bunt" keine Rede sein und das, was da bunt ist, sind die Favicons meiner Stammseiten. Das hat ja nichts mit dem Browser zu tun.
     
  9. poro

    poro Ganzes Gigabyte

    Registriert seit:
    31. Juli 2003
    Beiträge:
    13.635
    habe gerade was gefunden.
    Kann mich nicht erinnern mal was von denen installiert zu haben.


    [HKEY_LOCAL_MACHINE\SOFTWARE\Gemplus]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Gemplus\Cryptography]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Gemplus\Cryptography\SmartCards]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Gemplus\Cryptography\SmartCards\GemSAFE]
    "Card List"=hex:47,65,6d,53,41,46,45,20,53,6d,61,72,74,20,43,61,72,64,20,28,34, 4b,29,00,47,65,6d,53,41,46,45,20,53,6d,61,72,74,20,43,61,72,64,20,28,38,4b, 29,00,00

    Hatte nie was mit SmartCards zu tun.
    Kennt das jemand?


    Oder das hier.

    [HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive]

    [HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive\bar]

    [HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive\bar\Switches]
    "incmail.exe"="1"
    "msimn.exe"="1"
    "outlook.exe"="1"
    "waol.exe"="1"
    "aim.exe"="1"
    "msmsgs.exe"="1"
    "msnmsgr.exe"="1"
    "ypager.exe"="1"
    "mwssrcas.dll"="1"

    [HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive\Email-IM]

    [HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive\Email-IM\0]
    "Toolbar"="*Uninstalled*"
    "AppName"="MyWebSearch Email Plugin"

    [HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive\Outlook]
     
  10. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
  11. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    @Xen-Arien
    solange du deine applikationen ALLE als ungefährlich einstufst, wird sich auch nichts ändern.
     
  12. poro

    poro Ganzes Gigabyte

    Registriert seit:
    31. Juli 2003
    Beiträge:
    13.635
    Viel zu bunt.
    Was sind Mausgesten ?
    Nette HP.


    Und nun zum eigentlichen Problem.

    Vorsicht - Auf eigene Gefahr!!!!!

    ---------------------------------------------------------------------------------
    http://cod.powered-by.clanserver4u....79&PHPSESSID=a8dcafb34c28597de04b65e2ef8c3f92
    ---------------------------------------------------------------------------------

    Das sollte eigentlich ein Downloadlink zu einer CoD-Map sein.
    Ist er auch. Nur manchmal will da ein Dialer rein, oder es öffnen sich XXX-Seiten,welche auch gleich was mitbringen. Wie kann so was funktionieren? Einmal so, dann so???????
     
  13. Xen-Arien

    Xen-Arien Byte

    Registriert seit:
    24. März 2003
    Beiträge:
    50
    Um Mal wieder zum Thema zurückzukommen:

    Es gibt also scheinbar keine Lösung, wie man dieses sich immer neu erscheinende Phänomen in den Griff kriegen kann?
    Folgende Maßnahmen sind bisher also bei deaktiverter Systemwiederherstellung mehr oder weniger fehlgeschlagen:

    • Adaware+Spybot-Scan
    • CWShredder-Fix
    • HiJackThis-Fix
    • Manuelles Löschen im abgeschicherten Modus

    da das verfluchte Ding immer wieder neu auftaucht ohne dass überhaupt ne Interverbindung besteht, kann's sich ja eigentlich nur beim Booten wieder neu einnisten.

    Im Programm-Autostart ist aber auch nix. Vielleicht irgendne .dll, die sich da eingetragen hat? Kann man die irgendwie überprüfen?
     
  14. Gast

    Gast Guest

    Ja und?
    Hier mal ein Moz-Screenshot derselben Seite. BTW: Die Navigationsleiste könnte ich durchaus noch ausblenden, da ich ja mit Mausgesten navigieren kann.

    Screenshot
     
  15. poro

    poro Ganzes Gigabyte

    Registriert seit:
    31. Juli 2003
    Beiträge:
    13.635
    Habe Mozilla full mal ausprobiert. Naja.

    Der IE sieht bei mir (optisch) so aus.
    Muß auf 800x600 fahren wegen Monitor.
     
  16. Gast

    Gast Guest

    Tja...das ist nun wirklich zuuuuu blöd....
    Die von dir genannten Browser haben DUMMERWEISE alle viel mehr Schnickschnack und Features zu bieten als der IE und trotz allem sind sie leicht bedienbar und auch noch sicherer. Wirst wohl mal selbst probieren müssen. So was blödes aber auch...
     
  17. poro

    poro Ganzes Gigabyte

    Registriert seit:
    31. Juli 2003
    Beiträge:
    13.635
    Genug mit dem Gerede.

    Was soll ich installieren??
    Opera oder Mozilla oder sonstwas?
    Hab' keine Ahnung von dem Zeugs.
    Brauche auch keinen Schnickschnack an Features.

    Download - ftp - Favoriten - Quelltext sind das wichtigste.

    Ist auch egal wie groß die Installation wird, hauptsache es wird nich zuviel Systemleistung gebraucht wenn's läuft.
     
  18. Gast

    Gast Guest

    Klar. Warum nicht? Der IE rallt ja eh nicht, ob das Kommende nun wirklich ne Schriftart oder was anderes ist.
     
  19. Xen-Arien

    Xen-Arien Byte

    Registriert seit:
    24. März 2003
    Beiträge:
    50
    Das frag' ich mich auch. (wie das Zeug übern IE da drauf gekommen ist) Ich nutz' den IE normalerweise nur um zu überprüfen, ob Webseiten auch dort fehlerfrei angezeigt werden (ich sag ja, das ganze geschieht selbst offline) sonst surf ich ausschließlich mit Opera. Ich bin kein Freund unbekannten Zeugs auf meinem Rechner, daher achte ich sehr darauf, was und woher installiert wird.

    Können HiJacker eigentlich per Schriftart-Download eindringen?
     
  20. Gast

    Gast Guest

    Wie können sich via IE Hijacker auf deinem PC erfolgreich einnisten, wenn du den IE nicht benutzt?
    Einzige halbwegs befriedigende Antwort neben der, dass du den IE eben doch noch benutzt:
    Du installierst dir in regelmäßigen Abständen fragwürdige Progrämmchen, die Adware und Spyware mitbringen. Auch so können solche Hijacker auf den PC gelangen. Aber dann müsste man ja gleich nach der erfolgreichen Entfernung wieder irgendwelchen Müll installieren, um diesen oder einen anderen Hijacker wieder zu bekommen.
    Neee... für mich klingt glaubhafter, dass du den IE doch benutzt.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen