Trusted Startpage dank umgeleiteten Host

#1 Hi!

Seid heut morgen haben wir am Firmenrechner das Problem das immer nur die Trusted Startpage mit den diversesten Specklinks halt als Startseite auftaucht und auch sonst das Surfen unmöglich macht!

Hab mal mit HijackThis folgendes gelogt:

Logfile of HijackThis v1.98.0
Scan saved at 16:53:16, on 01.07.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\Explorer.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Dokumente und Einstellungen\Staab\Desktop\Anti-Viren-Trojaner\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINNT\System32\LORUX[^a.dll
O18 - Filter: text/html - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINNT\System32\LORUX[^a.dll
O18 - Filter: text/plain - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINNT\System32\LORUX[^a.dll

Wer weiß Rat?!? Bin für jede Hilfe dankbar!

mfg

MrEvil

#2 fixen:
O1 - Hosts: 213.159.117.235 auto.search.msn.com
....und widme dem HijackThis einen eigenen Ordner vor dem fixen.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 ja das hab ich dann halt auch schon heut abend versucht....

leider kommt die ratte immer wieder

nach dem fixen - neustart gemacht - ie aufgemacht - trusted startpage - nomma hijackthis... immer wieder das gleiche

habs per spybot auch schon entfernt.... nach dem neustart auch wieder da!

hülfe!!!

p.s. das mitm ordner - das kleinste problem

edit: so habe jetzt mal bei symantec diesen online-viren-check hinter mir - gab da 3 sachen zu beanstanden...

zu 2 von den hab ich bei kaspersky ma ne onlineanfrage gemacht und das kam raus:

Zu überprüfende Datei: btest4.scr
btest4.scr Archive: NSISbtest4.scr/data0001 Infiziert: TrojanDownloader.NSIS.gen btest4.scr/data0002 Ok


Zu überprüfende Datei: mindnlo.exe
mindnlo.exe - packed with UPXmindnlo.exe - packed with PE_Patchmindnlo.exe Infiziert: TrojanDownloader.Win32.Small.cb


der 3. iss in C:\WINNT\System32\valg.hta.0.avb wenn ich den überprüfen lassen will kommt per nachrichtendienst ne warnung und das system schmiert mir komplett ab

wie soll ich weiter vorgehen?!?

mfg

MrEvil

#4 @MrEvil

Fixe

O1 - Hosts: 213.159.117.235 auto.search.msn.com

das fixe nur, wenn du es nicht kennst...da es ein Firmenrechner ist, hat es bestimmt seine Richtigkeit, aber ich bin mir nicht sicher...kann auch der Hijacker sein....pruefe also gut, bevor du es fixt...
O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINNT\System32\LORUX[^a.dll
O18 - Filter: text/html - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINNT\System32\LORUX[^a.dll
O18 - Filter: text/plain - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINNT\System32\LORUX[^a.dll


neustarten

Gehe in den abgesicherten Modus..F8 beim Hochfahren druecken.

#gehe in die Registry
Start\Ausfuehren\regedit
HIer der Eintrag:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}

loesche rechts den Wert, wenn er da ist.

2 .Dann suche eine C:\WINNT\system32\msxword.dll und, wenn sie da ist loesche sie.

3. Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts
mit dem Editor oeffen ..notepad
Dort sollte nur 127.0.0.1 drinstehen .
Alles andere loeschen

neustarten

....................................................................................................
#Lade mwav.exe und scanne <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp
muss auf jeden fall der virenscanner im ordner "bases" angelegt werden und die datei kavupd.exe aufrufen. Denn dann bekommt man die aktuellen virusdateien.



#Lade Antivir
http://www.free-av.de/

###Gehe in den abgesicherten Modus...F8 beim Booten druecken
und scanne mit diesen Einstellungen mit dem Antivirus:

Antivirus-Einstellungen :
Automatischen Scan stoppen,
Internetupdate von Antivir starten,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)

#Aktualisiere den IE
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6


#Loesche unter <InterentOptionen < die TemporaryInternetFiles
und stelle eine neue Startseite ein.
MfG
Sabina

__________
MfG Sabina

rund um die PC-Sicherheit

#5 Auch fuer Firmenrechnern, bzw deren Admins gilt Windows update!!!!
__________
MfG Ralf
SEO-Spam Hunter