hijacker IE Umleitung auf auto.search.msn.com

#1 Hallo Leute, bin ratlos!

Erstmal hallo zusammen!

Ich habe mir auch so einen hijacker eingefangen und hab ihn trotz etlichen Versuchen nach lesen bei euch und was weis ich wo nicht mehr losbekommen.
Meine IE Seite wird nach dem host-eintrag nach
213.159.117.235 auto.search.msn.com
umgeleitet, ich finde die exe bzw dll nicht die das auslöst??
Bin echt ratlos, habe schon geschreddert V1.5.9, der findet immer eine Svchost32.dll und removed sie (ich finde sie im Explorer aber nicht??)
Spybot findet nur die Umleitung und AntiVir V6.25.xx findet nicht. Ich weis nicht mehr weiter. Wenn ihr ein gute Ratschläge habt wäre das toll!!!

hier meine Hijackthis-logfile
Logfile of HijackThis v1.97.7
Scan saved at 11:45:46, on 10.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Logfile of HijackThis v1.97.7
Scan saved at 11:45:46, on 10.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Atguard\iamserv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\rundll32.exe
C:\WINNT\cwcdata\smonitor.exe
C:\Programme\Evidence Eliminator\Ee.exe
C:\Programme\hijackThis\HijackThis.exe

N1 - Netscape 4: user_pref("browser.startup.homepage", ""); (C:\Programme\Netscape\Users\default\prefs.js)
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [MBM 5] C:\Programme\Motherboard Monitor 5\MBM5.EXE
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINNT\Downloaded Program Files\bridge.dll",Load
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download all by Net Transport - C:\PROGRA~1\Xi\NETTRA~1\NTAddList.html
O8 - Extra context menu item: Download by Net Transport - C:\PROGRA~1\Xi\NETTRA~1\NTAddLink.html
O8 - Extra context menu item: Download with GetRight - C:\PROGRA~1\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\PROGRA~1\GetRight\GRbrowse.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP/ClickYesToContinue/bridge-c2.cab
O16 - DPF: {C15B7EA2-A360-43E8-A591-5FAEDC7C4E1D} (ADM Class) - http://www.adultpeer.com/install/adm4.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = J19789.tjaw.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CBE213B-9748-490D-8DEF-0777674AA9C1}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{8231E255-F1A2-461A-BB9A-1C9F926F9635}: Domain = J19789.tjaw.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = J19789.tjaw.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = J19789.tjaw.com
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}

Danke mal im voraus!!
micha

#2 Hallo,
dies Einträge fixen:
N1 - Netscape 4: user_pref("browser.startup.homepage", ""); (C:\Programme\Netscape\Users\default\prefs.js)
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINNT\Downloaded Program Files\bridge.dll",Load
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP/ClickYesToContinue/bridge-c2.cab
O16 - DPF: {C15B7EA2-A360-43E8-A591-5FAEDC7C4E1D} (ADM Class) - http://www.adultpeer.com/install/adm4.cab

Neustart und neues Log-File posten
Du solltest unbedingt dein System updaten!
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#3 Hallo cidre ,

danke erstmal, aber die search Seite kommt weiterhin!

hier der neue log, ausgeführt nach Start des IE:

Logfile of HijackThis v1.97.7
Scan saved at 17:29:52, on 10.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Atguard\iamserv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\cwcdata\smonitor.exe
C:\Programme\hijackThis\HijackThis.exe

N1 - Netscape 4: user_pref("browser.startup.homepage", "http://home.netscape.com/"); (C:\Programme\Netscape\Users\default\prefs.js)
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [MBM 5] C:\Programme\Motherboard Monitor 5\MBM5.EXE
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download all by Net Transport - C:\PROGRA~1\Xi\NETTRA~1\NTAddList.html
O8 - Extra context menu item: Download by Net Transport - C:\PROGRA~1\Xi\NETTRA~1\NTAddLink.html
O8 - Extra context menu item: Download with GetRight - C:\PROGRA~1\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\PROGRA~1\GetRight\GRbrowse.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = J19789.tjaw.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CBE213B-9748-490D-8DEF-0777674AA9C1}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{8231E255-F1A2-461A-BB9A-1C9F926F9635}: Domain = J19789.tjaw.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = J19789.tjaw.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = J19789.tjaw.com
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}

vielleicht fällt Dir ja was ein, mercie

micha

#4 Arbeite dich hier bitte mal durch http://www.kephyr.com/spywarescanner/library/flingstonebridge/index.phtml , danach IExplorer unbedingt updaten.

Zitat

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = J19789.tjaw.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = J19789.tjaw.com

Sind dir diese Domains bekannt?
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#5 Hi cidre,

danke werde mich mal einarbeiten,
die domains kenne ich auf Anhieb nicht, ich muss mal schauen.

Ich melde mich
micha

#6 @meikel

Lade dir bitte diese Tool und entpacke es
http://tools.zerosrealm.com/downloads/pv.zip

Dann die runme.bat starten 6 drücken und return

Poste den Inhalt der jetzt auftaucht hier

+ versuch mal das

Start ausführen
cmd /c "attrib -h -s -r %System%\Svchost32.dll

Dann die Datei im c:\windows\system32 suchen

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#7 Hallo paff,
habe ich mal laufen lassen:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
----------------------
Start ausführen => habe ich das "attrib....ohne " ist richtig so????
cmd /c "attrib -h -s -r %System%\Svchost32.dll

im system32 ist dann die Svchost32.dll nicht zu finden!

Der shredder findet allerdings wieder eine und deleted die??
Ich denke mal der shredder spinnt.
Jetzt findet er noch eine JKsearch ??
Ich wiederum nicht??

---------------
@cidre,

die domain finde ich auch bei den printer:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\Canon S200\DsSpooler Wert: \\DSL-PC1.J19789.tjaw.com\Canon S200

Den canon S200 habr ich also denke mal ist ungefährlich, oder??

danke euch beiden
micha

btw ich bekomme, das aber eit länderem nach nicht gefundenen url, Seiten immer autom.diese Seite angezeigt:
http://www.lop.com/
angezeigt??
Gehört das alles zusammen??

#8 @meikel

Fixe mal bitte das in HiJackThis

O1 - Hosts: 213.159.117.235 auto.search.msn.com
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}

Neustart machen

Such dann mal bitte in der Registry nach diesem
53B95211-7D77-11D2-9F81-00104B107C96

Poste mal bitte die Einträge

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#9 Hi Paff, hier die Einträge!!

Nur die Startseite kommt momentan nicht mehr ich habe mich ganz schön erschreckt.
Ich sag mal ein großes Dankeschön!!!Suuuper!!
Ich werde das beobachten, verstanden habe ich das nicht, kannst Du mir das mit ein paar Worten erklären???
(Ich habe allerdings vergessen im abgesicherten Mod zu fixen?!)

Hier die Einträge:

HKEY_CLASSES_ROOT\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}
Standard:CAbout Class

HKEY_CLASSES_ROOT\PROTOCOLS\Handler\start
CLSID={53B95211-7D77-11D2-9F81-00104B107C96}

HKEY_CLASSES_ROOT\Xmlmimefilter.XMLMimeFilterPP\CLSID
Standard={53B95211-7D77-11D2-9F81-00104B107C96}
HKEY_CLASSES_ROOT\Xmlmimefilter.XMLMimeFilterPP.1\CLSID
Standard={53B95211-7D77-11D2-9F81-00104B107C96}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}
Standard:CAbout Class
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\start
Standard={53B95211-7D77-11D2-9F81-00104B107C96}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Xmlmimefilter.XMLMimeFilterPP\
CLSID
Standard={53B95211-7D77-11D2-9F81-00104B107C96}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Xmlmimefilter.XMLMimeFilterPP.1\CLSID
Standard={53B95211-7D77-11D2-9F81-00104B107C96}

gruss
micha

#10 @meikel-k

Schau mal bitte was unter diesem Schlüssel steht
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}
In dem Schlüssel "InprocServer32" , welche Datei wird dort angegeben?

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#11 Hallo paff,

alles immer noch im grünen Bereich, IE habe ich upgedated und mir auch den firefox mal runtergeladen.

HIer der Eintrag:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}\InprocServer32
Wert => C:\WINNT\system32\msxword.dll

momentan keine Umleitung mehr!!!

merci nochmals!

gruss
micha

#12 @Meikel k
1.Du musst diese msxword.dll loeschen.
2.Mit dem XP/Clean, Version 5.5. musst du die Hostdatei ueberpruefen, es darf nicht drinstehen
213.159.117.235 auto.search.msn.com

sondern nur 127.0.0.1 localhost

http://www.xpclean.de/index.htm?http://www.xpclean.de/xpcleangold.htm

erst dann ist das Problem wirklich behoben, wenn im HijackThis folgendes nicht mehr auftritt>
O1 - Hosts: 213.159.117.235 auto.search.msn.com

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#13 @meikel

Danke für die Antwort.
Genau das hatte ich erwartet. Bitte schick mir die Datei (gezippt) an mike_hangover@gozomail.com (Meine FakeEMail)

Danach kannst du die Datei löschen

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#14 Hallo euch beiden!
Also Sabina ich habe in die hosts geschaut dort ist keine Umleitung mehr drinnen, also gestern zum.
Und paff ich werde Dir die Datei gezippt zusenden, ich habe sie auch im Sysytem32 Verz. angeschaut, da steht als Datum ...2000 drin? Ist die Datei abgeändert worden von dem hijacker, unter Bebehaltung des alten Dt?? Ich werde sie mal umbenennen und in der regedit den Eintrag fixen.
Mit welchem tool kann man sich die datei anschauen, ich hatte das mit dem Ultraedit versucht, da sieht man nur hex, gibt es da was?? Und was macht die datei ursprünglich oder wo kommt das alte Dt her??
Heute Abend erst, bin auf maloche.

merci nochmals, ihr seit echt hilfsbereit!!
micha

#15 @meikel

In Ultraedit ein die Hex-ansicht umschalten.
Müßte ein großes H in der Symbolleiste sein oder unter Menu Bearbeiten HexModus ein/aus

Die Datei selber gibt's unter Windows eigentlich nicht. Kannst die also beruhigt löschen.

Tue mir bitte einen Gefallen, schick die Datei auch an virus@protecus.de
Wäre sehr wichtig, da wir etwas überprüfen wollen.

Gruß paff
P.S.
Wenn's dich interessiert, hier ist der Thread
http://www.rokop-security.de/board/index.php?s=29da179ea6d278d3aad0cbee1abeda54&showtopic=3629&st=0&#entry38670
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware