hijacker IE Umleitung auf auto.search.msn.com

#31 Hallo zusammen

also ich hab hier ähnliches Problem und ihr scheint ja ein wenig Ahnung zu haben ) Also bei mir versucht auch IE jedesmal startseite zu ändern Spybot merkt des zwar und fragt mich eben ob ich des zulassen will aber des ja auch net sinnig! URL is http://mypoiskovik.com/index.htm

Hier mal die Log

Logfile of HijackThis v1.97.7
Scan saved at 17:42:42, on 06.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\anvshell.exe
C:\PROGRA~1\HotKeys\Ikeymain.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\windows\dllhlp.exe
C:\Programme\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Home\Eigene Dateien\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von NetCologne
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Anvshell] anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HotKeys\Ikeymain.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" +c
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [dllhelp] c:\windows\dllhlp.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: gwum.lnk = C:\Programme\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.internetcologne.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2089D3D9-59D5-4B40-8A22-3A27CC49A9A8}: NameServer = 213.168.112.60 194.8.194.60
O17 - HKLM\System\CS1\Services\Tcpip\..\{2089D3D9-59D5-4B40-8A22-3A27CC49A9A8}: NameServer = 213.168.112.60 194.8.194.60


Ist das der übeltäter oder was ist das hab nix gefunden darüber
"C:\WINDOWS\System32\msdxm.ocx"

Hoffe ihr könnt mir helfen

Danke

MFG


Ah hab gerade selber gesehen ! es ist die scheiss dllhelp.exe!
mal sehen ob es gleich funktioniert!!

#32 Beneraw

fixe
O4 - HKCU\..\Run: [dllhelp] c:\windows\dllhlp.exe
neustarten


#HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion: [dllhelp
rechts in der Registry loeschen
#die dllhlp.exe loeschen.
#die TemporaryInternetfiles unter \internetoptionen loeschen\

Tipp
der AVPersonal\ hat einen Guard ....aufgespannter Schirm in der Taskleiste...stelle den Antivirus so ein.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#33

Zitat

paff postete

Zitat

Schau mal bitte in der Registry (Start/ausführen/regedit)
welche Datei unter diesem Schlüssel aufgeführt ist.
Schau mal bitte was unter HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95204-7D77-11D2-9F81-00104B107C96}
In dem Schlüssel "InprocServer32" , welche Datei wird dort angegeben?

Zitat

C:\WINDOWS\regedit.exe
nachdem du gemacht hast, was @Paff gepostet hat, ueberpruefe das bitte mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html

1. wenn ich nach dem oben angegebenen pfad in meiner reg suche dann finde ich den nicht, es gibt kein ...\CLSID\{53B95.. auf meinem rechner...

2. nutzt es euch was wenn ich mein regedit.exe zippe und euch maile?

#34 @Karnstein
Vergiss die regedit , das war nicht für dich gedacht sondern für jemand anders ders eigentlich besser wissen sollte
Die regedit.exe ist OK

mach bitte das was ich im Post vom "06.07.2004, 09:24" geschrieben habe

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#35 @paff: email mit den PV-logs und mshtml ist draussen.

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3050F406-98B5-11CF-BB82-00AA00BDCE0B}\InprocServer32

datei: (standard) reg_sz wert:C:\WINDOWS\System32\HKNQTWZ].dll

habe ich gerade mittendrin gefunden...

hab dann mal als wert nach "HKNQTWZ].dll" gesucht und er hat mir ein paar witzige dlls ausgepsukt.

1. HKNQTWZ].dll in einer datei namens 000 mit dem schlüsselnamen: HKEY_USERS\S-1-5-21-329068152-1580436667-854245398-1003\Software\Microsoft\Search Assistant\ACMru\5603

2. msxword.dll in einer datei namens 001 im selben schlüsselnamen wie 1.

3. MSXLAB.DLL in einer datei 002 ebenfalls selber schlüsselname


EDIT: hatte gestern nacht die automatische wiederherstellung von windows dekativiert, seitdem bekomme ich nur noch ne "seite kann nicht angezeigt werden page bei aboutblank und ne selbst umgestellte startseite ändert sich auch nicht mehr...ausserdem findet er bei nem suchvorgang nicht mehr die HKNQTWZ].dll auf meinem rechner...und ein spybotscan findet auch keine hostumleitung mehr...

das teil scheint also weg zu sein... ich fahre den rechner nun runter, knalle mir morgen die kompletten patches über meinem IE drüber (brauche ich leider für ein brwosergame aus kompatiblitätsgründen), installiere firefox als alternativen browser und die norton internet security 2004 als schutz für meinen rechner. Ausserdem lese ich mir hier die Page dann mal in aller ruhe durch und packe sie für alle fälle in die favos

Noch mal ein dickes thx an paff und Sabina, ohne euch hätte ich mein norton-ghost-image mal wieder bequemen müßen.

Gute nacht,

Karnstein/Nicco

#36 @Karnstein

Schade das du die Wiederherstellung aktiviert hast. Ich hätte den HiJacker gerne erlegt, hätte nicht mehr lange gedauert
Jetzt ist er sozusagen vernichtet.
Diese "msxword.dll" war wohl der Verursacher, wie schon bei der ersten Variante.
Schau mal bitte ob du die Datei noch auf dem Rechner findest. Wenn ja schick Sie mir bitte.

Ich werd mir heute abend nochmal dein txt-Files angucken. Mal sehen was es zu entdecken gibt.

Aber dein Problem ist gelöst, das ist das wichtigste.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#37 @paff: das prob war wohl einfach das wir zwar die richtigen dateien hatten, das XP sie aber wegen der Funktion beim neustart wieder erstellt hat... da kann man dann natürlich soviel löschen wie man will.

#38

Zitat

Karnstein postete
@paff: das prob war wohl einfach das wir zwar die richtigen dateien hatten, das XP sie aber wegen der Funktion beim neustart wieder erstellt hat... da kann man dann natürlich soviel löschen wie man will.

Das versteh ich nicht , tut mir leid

Was meinst du mit "Funktion beim Start von XP"

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#39 Willst du sagen, weil du die Wiederherstellung nicht deaktiviert hast, ist alles wieder wie vorher nach dem Neustarten oder hast du eine Wiederherstellung gemacht ?
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#40 Sorry erst mal für meine späte Antwort, aber Arbeit udn RL haben mir in den letzten Wochen erfolgreich die zeit geraubt gehabt.

Zitat

Sabina postete
Willst du sagen, weil du die Wiederherstellung nicht deaktiviert hast, ist alles wieder wie vorher nach dem Neustarten oder hast du eine Wiederherstellung gemacht ?
Sabina

ich hatte die ganze Zeit die Systemwiederherstellung an, nach jedem Aufräumen (im abgesicherten Modus), war das teil wieder da.

dann habe ich die Wiederherstellung deaktiviert, alle verdächtigen files gekillt und nen Neustart gemacht. Ergebnis: Problem erledigt, dateien blieben verschwunden...

Mfg, Karn