Startseite mit Spyware...

Dieses Thema im Forum "Sicherheit" wurde erstellt von Avnas, 27. Mai 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Avnas

    Avnas Byte

    Registriert seit:
    13. März 2004
    Beiträge:
    24
    Hi

    Normal ist das ja kein großes Problem sowas wieder zu entfernen... hatte sowas schonmal :D

    Aber irgendwie hab ich einen ganz hartnäckigen :heul:

    Hoffe ihr könnt mir helfe :bet:

    Vorallem das nervige ist, dass jetzt nicht nur die Startseite verändert ist, sondern auch Werbe-Popups öffnen.
    Außerdem kann ich die Startseite nicht mehr unter Internetoptionen entfernen, da die Schaltfläche deaktiviert ist.

    Ich hab schon versucht, es mit Hijacker zu löschen... aber nach einem Neustart ist es wieder weg, aber beim nächsten wieder da...

    Hab dann nochmals alles mit Hijacker gelöscht, einen Anivirusprogramm drüberlaufen lassen (hat mehrere Trojaner gefunden) und zusätzlich nochmal Spybot (hat auch 2 Spyware gefunden).
    So jetzt noch umständlich über regedit die Statseite geändert (da es ja über "Internetoptionen" nicht geht), neugestartet und gehofft. (Hab aber extra nicht den IE aufgemacht)

    Aber wieder... nach 2 Neustarts war alles wieder da.. die Startseite, die Trojaner, die Spyware

    Was kann ich noch machen?

    Ach ja: Die Startseite muss irgendwas mit www.search-what.net zu tun haben, jedoch sieht meine Startseite so aus, als ob sie von MS selbst wär... heißt "Home search"
     
  2. Denniss

    Denniss Megabyte

    Registriert seit:
    23. Juli 2000
    Beiträge:
    1.289
    Für ein HJT-Logfile bitte den IE beenden !!!

    Reparieren lassen :
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#37049


    Verdächtig bis gefährlich :
    O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\WINDOWS\syslf\syslf.dll
    O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\WINDOWS\winnz\mssearch.dll
    O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\WINDOWS\winnz\msiesh.dll
    O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\image.new,Install
    O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.new,Install

    Bitte Antivir aktualisieren und durchlaufen lassen !
    Spybot 1.3 installieren + aktualisieren + immunisieren und dann suchen lassen
    Ad-Aware6 install + aktualisiereng und Durchlauf
    CWShredder starten + aktualisieren + durchlauf
     
  3. fdisk205

    fdisk205 Byte

    Registriert seit:
    9. April 2004
    Beiträge:
    25
  4. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ Avnas

    Solange du dein System nicht aktualisiert und sämtliche Patches und Hotfix einspielst, sehe ich keine Chance das du diesen Befall stoppen kannst. http://windowsupdate.microsoft.com/
     
  5. Avnas

    Avnas Byte

    Registriert seit:
    13. März 2004
    Beiträge:
    24
    Ist jetzt schon wieder da...



    Logfile of HijackThis v1.97.7
    Scan saved at 22:08:43, on 27.05.2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Programme\TerraTec\CinergyTV\TerraTV App.exe
    C:\hijack\hijackthis1977\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#37049
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar.dll
    O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\WINDOWS\syslf\syslf.dll
    O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\WINDOWS\winnz\mssearch.dll
    O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\WINDOWS\winnz\msiesh.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar.dll
    O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
    O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\image.new,Install
    O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.new,Install
    O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\googletoolbar.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\googletoolbar.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\googletoolbar.dll/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\googletoolbar.dll/cmsimilar.html
    O9 - Extra button: ICQ Lite (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38133.5366550926
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


    aber ich lösch es nochmal und lass nochmal den Virusprogramm drüberlaufen
     
  6. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ dedie

    Du hast recht :D , bin heut ein bißchen schreibfaul, daher hatte ich diesen Beitrag kopiert und leider nicht durchgelesen. :spitze:
     
  7. Gast

    Gast Guest

    Pardon "Cidre", nicht mehrfach F8 drücken, sondern F8 während des Startvorganges gedrückt halten. ;)

    mfg. dedie :D
     
  8. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Diese kannst du dann wieder aktivieren, wenn du den Browser Hijacker von deinem Systen entfernt hast, also Geduld.
     
  9. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    1. Neustart des Computers.
    2. Vor dem Start von Windows mehrfach die Taste "F8" betätigen, um in das erweiterte Windows-Startmenü* zu gelangen. Auf einem Computer, der für das Starten mit mehreren Betriebssystemen konfiguriert ist, bei Anzeige des Auswahlmenüs die Taste "F8" drücken.
    3. Im erweiterten Windows-Startmeü wählen Sie die Option "Abgesicherter Modus".

    Falls Du Win XP home verwendest, drücke einfach Enter bei der Passworteingabe.
     
  10. Avnas

    Avnas Byte

    Registriert seit:
    13. März 2004
    Beiträge:
    24
    Und noch zum IE:

    Ich hab erst den IE + Sicherheitsupdates installiert, und trotzdem war in Internetoptionen die Startseite-Schaltfläche deaktiviert.

    Wie akrtiviere ich es?
     
  11. Avnas

    Avnas Byte

    Registriert seit:
    13. März 2004
    Beiträge:
    24
    Wo geht das?
     
  12. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ Avnas

    Zur Entfernung:
    1.Systemwiederherstellung deaktivieren
    2.Interne Verbindungsfirewall aktivieren
    3. Als Admin im abgesicherten Modus anmelden
    3. Diese genannte Einträge fixen
    4. Neustart
    5. SP1 deines Betriebssytem installieren, sowie weitere sicherheitsrelavante Updates auch für den IE
    6. Neustart
    7. Neues HiJackThis Log File erstellen und nochmals posten

    Diese Einträge fixen:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#37049
    O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\WINDOWS\msak\msak32.dll
    O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\WINDOWS\msqs\mssearch.dll
    O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\WINDOWS\msqs\msiesh.dll
    O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\image.new,Install
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.new,Install
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
     
  13. Avnas

    Avnas Byte

    Registriert seit:
    13. März 2004
    Beiträge:
    24
    Logfile of HijackThis v1.97.7
    Scan saved at 20:26:55, on 27.05.2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Programme\TerraTec\CinergyTV\TerraTV App.exe
    C:\Programme\ICQLite\ICQLite.exe
    C:\hijack\hijackthis1977\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#37049
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar.dll
    O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\WINDOWS\msak\msak32.dll
    O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\WINDOWS\msqs\mssearch.dll
    O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\WINDOWS\msqs\msiesh.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar.dll
    O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\image.new,Install
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
    O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.new,Install
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\googletoolbar.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\googletoolbar.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\googletoolbar.dll/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\googletoolbar.dll/cmsimilar.html
    O9 - Extra button: ICQ Lite (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38133.5366550926
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

    -----------------------------------------------------------------------------

    Also alles mit mshp, msak, mssearch und msiesh hab ich schon gelöscht, ging aber nicht...

    Und solte ich mal so weit gekommen sein, dass der Trojaner wieder weg ist, wie aktiviere ich wieder in den Optionen die Schaltfläche für die Startseite?


    Ach ja:
    Der Trojana muss wirklich gut gemacht sein.
    Auf allen Internetseiten, die ich ansurf sucht er nach Stichwörtern, die er gleich mal als Link für die Suchseite ummodelt
     
  14. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Hallo Avnas,

    nachdem dein System immer wieder von Trojaner heim gesucht wird, hast du irgendwo eine Sicherheitslücke.
    Erstelle mit HiJackThis ein Log File und poste es hier rein, damit wir deine Schwachstelle entdecken können.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen