hijacker IE Umleitung auf auto.search.msn.com |
||
---|---|---|
#0
| ||
10.06.2004, 11:59
...neu hier
Beiträge: 10 |
||
|
||
10.06.2004, 13:00
Member
Beiträge: 441 |
#2
Hallo,
dies Einträge fixen: N1 - Netscape 4: user_pref("browser.startup.homepage", ""); (C:\Programme\Netscape\Users\default\prefs.js) O1 - Hosts: 213.159.117.235 auto.search.msn.com O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINNT\Downloaded Program Files\bridge.dll",Load O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} - O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP/ClickYesToContinue/bridge-c2.cab O16 - DPF: {C15B7EA2-A360-43E8-A591-5FAEDC7C4E1D} (ADM Class) - http://www.adultpeer.com/install/adm4.cab Neustart und neues Log-File posten Du solltest unbedingt dein System updaten! __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung Dieser Beitrag wurde am 10.06.2004 um 13:06 Uhr von Cidre editiert.
|
|
|
||
10.06.2004, 17:32
...neu hier
Themenstarter Beiträge: 10 |
#3
Hallo cidre ,
danke erstmal, aber die search Seite kommt weiterhin! hier der neue log, ausgeführt nach Start des IE: Logfile of HijackThis v1.97.7 Scan saved at 17:29:52, on 10.06.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\Programme\Atguard\iamserv.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\Explorer.EXE C:\Programme\Motherboard Monitor 5\MBM5.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\QuickTime\qttask.exe C:\WINNT\system32\RunDll32.exe C:\WINNT\cwcdata\smonitor.exe C:\Programme\hijackThis\HijackThis.exe N1 - Netscape 4: user_pref("browser.startup.homepage", "http://home.netscape.com/"); (C:\Programme\Netscape\Users\default\prefs.js) O1 - Hosts: 213.159.117.235 auto.search.msn.com O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [MBM 5] C:\Programme\Motherboard Monitor 5\MBM5.EXE O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Download all by Net Transport - C:\PROGRA~1\Xi\NETTRA~1\NTAddList.html O8 - Extra context menu item: Download by Net Transport - C:\PROGRA~1\Xi\NETTRA~1\NTAddLink.html O8 - Extra context menu item: Download with GetRight - C:\PROGRA~1\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\PROGRA~1\GetRight\GRbrowse.htm O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = J19789.tjaw.com O17 - HKLM\System\CCS\Services\Tcpip\..\{2CBE213B-9748-490D-8DEF-0777674AA9C1}: NameServer = 217.237.150.33 194.25.2.129 O17 - HKLM\System\CCS\Services\Tcpip\..\{8231E255-F1A2-461A-BB9A-1C9F926F9635}: Domain = J19789.tjaw.com O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = J19789.tjaw.com O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = J19789.tjaw.com O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} vielleicht fällt Dir ja was ein, mercie micha |
|
|
||
10.06.2004, 18:26
Member
Beiträge: 441 |
#4
Arbeite dich hier bitte mal durch http://www.kephyr.com/spywarescanner/library/flingstonebridge/index.phtml , danach IExplorer unbedingt updaten.
Zitat O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = J19789.tjaw.comSind dir diese Domains bekannt? __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
11.06.2004, 10:17
...neu hier
Themenstarter Beiträge: 10 |
#5
Hi cidre,
danke werde mich mal einarbeiten, die domains kenne ich auf Anhieb nicht, ich muss mal schauen. Ich melde mich micha |
|
|
||
11.06.2004, 12:27
Member
Beiträge: 1095 |
#6
@meikel
Lade dir bitte diese Tool und entpacke es http://tools.zerosrealm.com/downloads/pv.zip Dann die runme.bat starten 6 drücken und return Poste den Inhalt der jetzt auftaucht hier + versuch mal das Start ausführen cmd /c "attrib -h -s -r %System%\Svchost32.dll Dann die Datei im c:\windows\system32 suchen Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 11.06.2004 um 13:27 Uhr von paff editiert.
|
|
|
||
12.06.2004, 07:37
...neu hier
Themenstarter Beiträge: 10 |
#7
Hallo paff,
habe ich mal laufen lassen: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 ---------------------- Start ausführen => habe ich das "attrib....ohne " ist richtig so???? cmd /c "attrib -h -s -r %System%\Svchost32.dll im system32 ist dann die Svchost32.dll nicht zu finden! Der shredder findet allerdings wieder eine und deleted die?? Ich denke mal der shredder spinnt. Jetzt findet er noch eine JKsearch ?? Ich wiederum nicht?? --------------- @cidre, die domain finde ich auch bei den printer: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Printers\Canon S200\DsSpooler Wert: \\DSL-PC1.J19789.tjaw.com\Canon S200 Den canon S200 habr ich also denke mal ist ungefährlich, oder?? danke euch beiden micha btw ich bekomme, das aber eit länderem nach nicht gefundenen url, Seiten immer autom.diese Seite angezeigt: http://www.lop.com/ angezeigt?? Gehört das alles zusammen?? Dieser Beitrag wurde am 12.06.2004 um 08:16 Uhr von meikel-k editiert.
|
|
|
||
12.06.2004, 10:12
Member
Beiträge: 1095 |
#8
@meikel
Fixe mal bitte das in HiJackThis O1 - Hosts: 213.159.117.235 auto.search.msn.com O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} Neustart machen Such dann mal bitte in der Registry nach diesem 53B95211-7D77-11D2-9F81-00104B107C96 Poste mal bitte die Einträge Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
12.06.2004, 21:17
...neu hier
Themenstarter Beiträge: 10 |
#9
Hi Paff, hier die Einträge!!
Nur die Startseite kommt momentan nicht mehr ich habe mich ganz schön erschreckt. Ich sag mal ein großes Dankeschön!!!Suuuper!! Ich werde das beobachten, verstanden habe ich das nicht, kannst Du mir das mit ein paar Worten erklären??? (Ich habe allerdings vergessen im abgesicherten Mod zu fixen?!) Hier die Einträge: HKEY_CLASSES_ROOT\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} Standard:CAbout Class HKEY_CLASSES_ROOT\PROTOCOLS\Handler\start CLSID={53B95211-7D77-11D2-9F81-00104B107C96} HKEY_CLASSES_ROOT\Xmlmimefilter.XMLMimeFilterPP\CLSID Standard={53B95211-7D77-11D2-9F81-00104B107C96} HKEY_CLASSES_ROOT\Xmlmimefilter.XMLMimeFilterPP.1\CLSID Standard={53B95211-7D77-11D2-9F81-00104B107C96} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} Standard:CAbout Class HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\start Standard={53B95211-7D77-11D2-9F81-00104B107C96} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Xmlmimefilter.XMLMimeFilterPP\ CLSID Standard={53B95211-7D77-11D2-9F81-00104B107C96} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Xmlmimefilter.XMLMimeFilterPP.1\CLSID Standard={53B95211-7D77-11D2-9F81-00104B107C96} gruss micha |
|
|
||
13.06.2004, 12:21
Member
Beiträge: 1095 |
#10
@meikel-k
Schau mal bitte was unter diesem Schlüssel steht HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} In dem Schlüssel "InprocServer32" , welche Datei wird dort angegeben? Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
13.06.2004, 19:58
...neu hier
Themenstarter Beiträge: 10 |
#11
Hallo paff,
alles immer noch im grünen Bereich, IE habe ich upgedated und mir auch den firefox mal runtergeladen. HIer der Eintrag: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}\InprocServer32 Wert => C:\WINNT\system32\msxword.dll momentan keine Umleitung mehr!!! merci nochmals! gruss micha |
|
|
||
13.06.2004, 21:26
Ehrenmitglied
Beiträge: 29434 |
#12
@Meikel k
1.Du musst diese msxword.dll loeschen. 2.Mit dem XP/Clean, Version 5.5. musst du die Hostdatei ueberpruefen, es darf nicht drinstehen 213.159.117.235 auto.search.msn.com sondern nur 127.0.0.1 localhost http://www.xpclean.de/index.htm?http://www.xpclean.de/xpcleangold.htm erst dann ist das Problem wirklich behoben, wenn im HijackThis folgendes nicht mehr auftritt> O1 - Hosts: 213.159.117.235 auto.search.msn.com MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.06.2004 um 21:28 Uhr von Sabina editiert.
|
|
|
||
13.06.2004, 23:05
Member
Beiträge: 1095 |
#13
@meikel
Danke für die Antwort. Genau das hatte ich erwartet. Bitte schick mir die Datei (gezippt) an mike_hangover@gozomail.com (Meine FakeEMail) Danach kannst du die Datei löschen Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
14.06.2004, 09:50
...neu hier
Themenstarter Beiträge: 10 |
#14
Hallo euch beiden!
Also Sabina ich habe in die hosts geschaut dort ist keine Umleitung mehr drinnen, also gestern zum. Und paff ich werde Dir die Datei gezippt zusenden, ich habe sie auch im Sysytem32 Verz. angeschaut, da steht als Datum ...2000 drin? Ist die Datei abgeändert worden von dem hijacker, unter Bebehaltung des alten Dt?? Ich werde sie mal umbenennen und in der regedit den Eintrag fixen. Mit welchem tool kann man sich die datei anschauen, ich hatte das mit dem Ultraedit versucht, da sieht man nur hex, gibt es da was?? Und was macht die datei ursprünglich oder wo kommt das alte Dt her?? Heute Abend erst, bin auf maloche. merci nochmals, ihr seit echt hilfsbereit!! micha Dieser Beitrag wurde am 14.06.2004 um 09:51 Uhr von meikel-k editiert.
|
|
|
||
14.06.2004, 12:40
Member
Beiträge: 1095 |
#15
@meikel
In Ultraedit ein die Hex-ansicht umschalten. Müßte ein großes H in der Symbolleiste sein oder unter Menu Bearbeiten HexModus ein/aus Die Datei selber gibt's unter Windows eigentlich nicht. Kannst die also beruhigt löschen. Tue mir bitte einen Gefallen, schick die Datei auch an virus@protecus.de Wäre sehr wichtig, da wir etwas überprüfen wollen. Gruß paff P.S. Wenn's dich interessiert, hier ist der Thread http://www.rokop-security.de/board/index.php?s=29da179ea6d278d3aad0cbee1abeda54&showtopic=3629&st=0entry38670 __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
Erstmal hallo zusammen!
Ich habe mir auch so einen hijacker eingefangen und hab ihn trotz etlichen Versuchen nach lesen bei euch und was weis ich wo nicht mehr losbekommen.
Meine IE Seite wird nach dem host-eintrag nach
213.159.117.235 auto.search.msn.com
umgeleitet, ich finde die exe bzw dll nicht die das auslöst??
Bin echt ratlos, habe schon geschreddert V1.5.9, der findet immer eine Svchost32.dll und removed sie (ich finde sie im Explorer aber nicht??)
Spybot findet nur die Umleitung und AntiVir V6.25.xx findet nicht. Ich weis nicht mehr weiter. Wenn ihr ein gute Ratschläge habt wäre das toll!!!
hier meine Hijackthis-logfile
Logfile of HijackThis v1.97.7
Scan saved at 11:45:46, on 10.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Logfile of HijackThis v1.97.7
Scan saved at 11:45:46, on 10.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Atguard\iamserv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\rundll32.exe
C:\WINNT\cwcdata\smonitor.exe
C:\Programme\Evidence Eliminator\Ee.exe
C:\Programme\hijackThis\HijackThis.exe
N1 - Netscape 4: user_pref("browser.startup.homepage", ""); (C:\Programme\Netscape\Users\default\prefs.js)
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [MBM 5] C:\Programme\Motherboard Monitor 5\MBM5.EXE
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINNT\Downloaded Program Files\bridge.dll",Load
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download all by Net Transport - C:\PROGRA~1\Xi\NETTRA~1\NTAddList.html
O8 - Extra context menu item: Download by Net Transport - C:\PROGRA~1\Xi\NETTRA~1\NTAddLink.html
O8 - Extra context menu item: Download with GetRight - C:\PROGRA~1\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\PROGRA~1\GetRight\GRbrowse.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP/ClickYesToContinue/bridge-c2.cab
O16 - DPF: {C15B7EA2-A360-43E8-A591-5FAEDC7C4E1D} (ADM Class) - http://www.adultpeer.com/install/adm4.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = J19789.tjaw.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CBE213B-9748-490D-8DEF-0777674AA9C1}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{8231E255-F1A2-461A-BB9A-1C9F926F9635}: Domain = J19789.tjaw.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = J19789.tjaw.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = J19789.tjaw.com
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}
Danke mal im voraus!!
micha