Neue Browser Hijacker?

Dieses Thema im Forum "Sicherheit" wurde erstellt von tha-mp, 21. Februar 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. tha-mp

    tha-mp Byte

    Registriert seit:
    31. Oktober 2000
    Beiträge:
    37
    Moin zusammen!

    Hatte heute mal wieder das nette Phänomen, daß sich irgendeine komische Seite bei mir als Startseite, Suchseite, Searchbar, usw. eingetragen hat. Änderungen in der Registry, sowie Verwendung von Spybot & Ad-Aware, jeweils mit den neuesten Updates, hat soweit auch ganz gut geholfen.

    Aber, wenn ich ne falsche URL eingebe kommt jetzt nicht mehr die msn Suchseite, sondern eine Weiterleitung zu:

    http://drxc*unt.biz/index.php?aid=20038

    In der Registry war in den diversen Feldern für Startseite, etc. http:// gefolgt von einer superlangen Zeile, offenbar ASCII-Code, eingetragen. Hab ich alle gesucht und geändert - jetzt sind laut der Suche in regedit alle diese Zeilen geändert. Trotzdem wird bei der MSN Suchseite immernoch weitergeleitet!

    Was auch noch komisch ist - unten im Internetexplorer steht sogar noch "Seite http://auto.search.msn.com....." wird geöffnet, und trotzdem erscheint diese komische drxcount.biz Seite.

    Also, weiß jemand was ich noch machen könnte? Hat jemand schon das selbe Problem?

    Grüße

    Mirko
     
  2. tha-mp

    tha-mp Byte

    Registriert seit:
    31. Oktober 2000
    Beiträge:
    37
    Das klingt doch schonmal gut! Aber... obwohl ich eigentlich des Englischen ganz gut mächtig bin - ich kapier nicht, was er meint mit dem hier:

    Thuse windows explorer in c:/windows and find a file with the string starting with http://%6b%. This will identify a regedit file called sys.?

    Ach ja, und auch ich war nicht wirklich begeistert von PestPatrol und hab es deshalb gleich wieder deinstalliert :cool:
     
  3. MissAntroph

    MissAntroph Halbes Megabyte

    Registriert seit:
    17. Februar 2004
    Beiträge:
    633
    Wieso?
    Ich bin mit der Kombination spybot+pestpatrol ganz zufrieden.

    btw. Das Problem wurde grad auf einem anderen Board gelöst:

    quelle
     
  4. Gast

    Gast Guest

    Und wen du oft genug mit dem schrott namens "PestPatrol" dein System zerschossen hast kannst du dich schon mal mit dem Gedanken des Neuaufsetzen anfreunden.
    :D
     
  5. MissAntroph

    MissAntroph Halbes Megabyte

    Registriert seit:
    17. Februar 2004
    Beiträge:
    633
    Im übrige hast du noch mehr Unsinn auf deiner Platte:
    klick
    Was stand denn vorher in der Registry, bevor du es geändert hast?
     
  6. tha-mp

    tha-mp Byte

    Registriert seit:
    31. Oktober 2000
    Beiträge:
    37
    @MissAntroph

    Danke für die Hilfe - hat aber leider nicht geklappt. Hijackthis hatte ich ja eh schon (siehe logfile oben) und den Hijacker, der auf der PestPatrol Seite beschrieben ist, den hab ich auch nicht. Lade mir jetzt aber nochmal PestPatrol runter - vielleicht findet der ja noch was, was die anderen Tools bisher nicht gefunden haben.

    Und ja, auf der ehemaligen Soulseek Seite hat sich jetzt 'ne Dialerseite breit gemacht und versucht Leute zu verarschen - die denken natürlich sie installieren Soulseek, stattdessen ist es aber ein fieser kleiner Dialer.

    Grüße

    Mirko
     
  7. MissAntroph

    MissAntroph Halbes Megabyte

    Registriert seit:
    17. Februar 2004
    Beiträge:
    633
  8. tha-mp

    tha-mp Byte

    Registriert seit:
    31. Oktober 2000
    Beiträge:
    37
    Yep!
     
  9. MissAntroph

    MissAntroph Halbes Megabyte

    Registriert seit:
    17. Februar 2004
    Beiträge:
    633
    Mal den Browsercache geleert?
     
  10. tha-mp

    tha-mp Byte

    Registriert seit:
    31. Oktober 2000
    Beiträge:
    37
    1. Werde ich von der MSN Suchseite auf die ominöse Searchpage weitergeleitet, nicht von slsk.org

    2. Besteht mein Problem seit heute - meine hosts Datei sieht aber schon seit nem halben Jahr so aus.

    3. Habe ich es jetzt trotzdem aus meiner hosts gelöscht - brauche den Eintrag nicht mehr - und trotzdem werde ich weiter umgeleitet.

    Grüße

    Mirko
     
  11. Gast

    Gast Guest

    Doch, daran liegt es.
    slsk.org löst nach 212.69.172.112 auf.
     
  12. tha-mp

    tha-mp Byte

    Registriert seit:
    31. Oktober 2000
    Beiträge:
    37
    Danke, aber daran liegt es nicht - das hab ich selber mal in die Hostfile eingetragen.
     
  13. Gast

    Gast Guest

    Das mal fixen ("Fix checked"):

    O1 - Hosts: 38.115.131.131 sk2.slsk.org
    O1 - Hosts: 38.115.131.131 http://www.slsk.org
    O1 - Hosts: 38.115.131.131 mail.slsk.org
    O1 - Hosts: 38.115.131.131 server.slsk.org
     
  14. tha-mp

    tha-mp Byte

    Registriert seit:
    31. Oktober 2000
    Beiträge:
    37
    So, habe grade noch den CWShredder einmal drüber laufen lassen - hat zwar was gefunden, aber das Problem ist immernoch da, werde nach wie vor umgeleitet :(

    Hier noch zur Info die HijackThis Logfile:

    Logfile of HijackThis v1.97.7
    Scan saved at 13:18:28, on 21.02.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\crypserv.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Programme\Microsoft Hardware\Keyboard\type32.exe
    C:\WINDOWS\System32\devldr32.exe
    C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\eMule\emule.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    D:\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Dokumente%20und%20Einstellungen/Mirko/Eigene%20Dateien/mirko/startseite/startseite.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Dokumente%20und%20Einstellungen/Mirko/Eigene%20Dateien/mirko/startseite/startseite.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de:80
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = file:///C:/Dokumente%20und%20Einstellungen/Mirko/Eigene%20Dateien/mirko/startseite/startseite.html
    O1 - Hosts: 38.115.131.131 sk2.slsk.org
    O1 - Hosts: 38.115.131.131 http://www.slsk.org
    O1 - Hosts: 38.115.131.131 mail.slsk.org
    O1 - Hosts: 38.115.131.131 server.slsk.org
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
    O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
    O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [*******ElbyCDFL] "C:\Programme\*******\ElbyCheck.exe" /L ElbyCDFL
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
    O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
    O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
    O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
    O9 - Extra button: ICQ (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ (HKLM)
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{309DF07F-A78A-486A-ADCE-49F64C8F1740}: NameServer = 217.5.115.7 194.25.2.129
     
  15. MissAntroph

    MissAntroph Halbes Megabyte

    Registriert seit:
    17. Februar 2004
    Beiträge:
    633
    ...bedeutet nur, das ICQ im Autostart steht und minimiert starten soll.
    Das kannst du mit der msconfig.exe ausstellen. (start->ausführen->msconfig)
     
  16. Gast

    Gast Guest

    zu 1)
    WENN du den IE weiter benutzen willst (oder musst...autom. Windows-Update), dann musst du ihn auch patchen.
    Wie der letzte heißt, weiß ich nicht, aber das erfährst du ja spätestens auf den Seiten von Microsoft.

    zu 2)
    Vergiss das einfach.

    zu 3)
    Eher nicht. Allerdings wäre mir persönlich ICQ zu gefährlich. Deswegen benutze ich für ICQ und AIM auch Miranda-IM.
     
  17. Scientist

    Scientist ROM

    Registriert seit:
    22. März 2004
    Beiträge:
    5
    Zunächst mal danke für die Tipps!

    Habe die entsprechenden Dateien sofort entfernen lassen.

    Ob's dauerhaft hilft, ist natürlich ne andere Frage, weswegen ich einem Browser-Tausch nicht unbedingt total abgeneigt bin.

    Ist aber auch ne Frage der Bequemlichkeit, bis zu diesem Vorfall hatte ich eigentlich noch keinerlei Probleme mit dem IE.

    Was sich mir nun stellt, sind noch drei Fragen:

    1) Bringt es mir jetzt noch was, den IE mit Patchs zu versorgen (btw: wie heißt eigentlich der neueste Patch?) oder kann ich das vergessen?

    2) Steh etwas auf dem Schlauch, was ihr mit "Locken des Spybot-Hostes" meint? Wie mach ich das?

    3) Bei meiner Hijack-Logfile hab ich auch die Datei

    "O4 - HKCU\..\Run: [Mirabilis ICQ] D:\Programme\ICQ\icq.exe -minimize"

    entdeckt. Hat diese womöglich mit meinem schwerwiegenden ICQ-Problem zu tun, das ich gerade habe? Siehe Board "Sonstiges".

    Für die Beantwortung meiner Fragen wäre ich sehr dankbar.

    MfG

    The Scientist
     
  18. Gast

    Gast Guest

    Nonsens. Kein Schutz aber besser als nichts? 0 ist größer als 0? Klar.
    Blablablubb kenn ich nicht...vermutlich wieder so ein Browseraufsatz, aber Mozilla und Opera...hmmm...tatsächlich....das könnte klappen. Da fällt mir auf, dass ich nie einen Dialer und auch kein BHO oder Hijacker auf meinem Rechner hatte, jedenfalls nicht in den letzten 10 Jahren.
    Nicht, wenn ich argumentationsloses blablablubb empfehle.
    Ja. Mehrfach. Guck mal in mein Gästebuch.
     
  19. MissAntroph

    MissAntroph Halbes Megabyte

    Registriert seit:
    17. Februar 2004
    Beiträge:
    633
    Keine Frage, aber viele nutzen die host. Kein schutz...aber besser als nix.;)
    Ich wollt mir ausnahmsweise mal die Leier ersparen ala "Leg dir nen Browser zu."^^

    Die Leute werden tausendmal gehijackt, bekommen 100 mal nen Dialer untergeschoben, bestücken ihren Browser mit etlichen BHO?s...was willst die diesen Leuten raten?
    Mozilla/Opera, blablablubb...?
    Du glaubst doch nicht ernsthaft, da hört jemand auf dich?
    Is dir mal aufgefallen, das diese Leute immer wieder kommen mit ihrer "HijackThis- Logfile"?
    Das passiert mir einmal, vielleicht auch ein zweites Mal...spätestens da setzt der Lerneffekt ein...normalerweise...
    Nein, diese Leute nutzen den IE weiter...in Kombination mit NAV ^^, Spybot und was weiss ich noch für Tools. Hast du jemals einen "bekehren" können?
    Also: Was willst du diesen Leuten raten?

    @Scientist Das ist jetzt nicht persönlich gemeint.;)
     
  20. Gast

    Gast Guest

    Was soll das "Locken" der HOSTS bringen? Ein Hijacker kann problemlos eine ALTERNATIVE Hosts mit anderem Namen anlegen und überdies auch noch direkt in der Registry Umleitungen auf falsche Domains veranlassen.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen