HomeSearch Hijack....Hilfe!

#0
04.07.2004, 18:33
...neu hier

Beiträge: 2
#1 Hi Leude
ich hab mir son Schei... hijacker eingefangen der sich dauern reaktiviert und die startseite verändert

hab hijackthis laufen lassen und das sin die ergebnisse

Logfile of HijackThis v1.97.7
Scan saved at 18:21:58, on 04.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
D:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\winpq32.exe
C:\WINDOWS\mfcyu32.exe
D:\Eigene Dateien\Eigene Musik\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gaogc.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://gaogc.dll/index.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.lycos.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://gaogc.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gaogc.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://gaogc.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gaogc.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.lycos.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.lycos.de
O2 - BHO: (no name) - {C6819314-0DB4-9E5D-89AB-47AE654BCAD9} - C:\WINDOWS\system32\crpj32.dll
O3 - Toolbar: ???(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [InstantAccess] d:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] d:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [winpq32.exe] C:\WINDOWS\system32\winpq32.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] d:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\RunOnce: [mfcyu32.exe] C:\WINDOWS\mfcyu32.exe
O4 - HKLM\..\RunOnce: [ipfg32.exe] C:\WINDOWS\ipfg32.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Save F&lash with FlashCapture - res://d:\Programme\FlashCapture\FCIEXT.dll/FCIEXT.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: FlashCapture (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {11111111-1111-1111-1111-111300000000} - mhtml:C:\\NO_SUCH_MHT.MHT!http://216.240.137.40/g1.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38113.3618055556
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553542500} - http://active.macromedia.com/flash2/cabs/swflash.cab

wär toll wenn ihr mir da helfen könntet

danke schonmal im vorraus
Seitenanfang Seitenende
04.07.2004, 21:06
Member

Beiträge: 441
#2

Zitat

ich hab mir son Schei... hijacker eingefangen der sich dauern reaktiviert und die startseite verändert
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Das wundert mich nicht, dein System ist nicht am aktuellen Stand.

Lade dir SpHjFix und hier die mwav.exe runter und entpacke diese in den Ordner C:\bases, danach die kavupd.exe (Online-Update) ausführen.

Diese Prozesse im TaskManager beenden:
D:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\WINDOWS\system32\winpq32.exe
C:\WINDOWS\mfcyu32.exe

Diese Einträge fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gaogc.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://gaogc.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://gaogc.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gaogc.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://gaogc.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gaogc.dll/sp.html#37049
O2 - BHO: (no name) - {C6819314-0DB4-9E5D-89AB-47AE654BCAD9} - C:\WINDOWS\system32\crpj32.dll
O4 - HKLM\..\Run: [InstantAccess] d:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] d:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [winpq32.exe] C:\WINDOWS\system32\winpq32.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] d:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\RunOnce: [mfcyu32.exe] C:\WINDOWS\mfcyu32.exe
O4 - HKLM\..\RunOnce: [ipfg32.exe] C:\WINDOWS\ipfg32.exe
O16 - DPF: {11111111-1111-1111-1111-111300000000} - mhtml:C:\\NO_SUCH_MHT.MHT!http://216.240.137.40/g1.exe

Anmelden im abgesicherten Modus und diese Dateien löschen:
C:\WINDOWS\system32\winpq32.exe
C:\WINDOWS\mfcyu32.exe
C:\WINDOWS\ipfg32.exe
C:\WINDOWS\system32\crpj32.dll
C:\WINDOWS\system32\gaogc.dll

- Temporäre Internet Files löschen
- mit mwav.exe (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.) und SpHjfix.exe scannen
- Neustart
- neues Log-File posten
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
04.07.2004, 21:09
...neu hier

Beiträge: 8
#3 Hi Leute,

bin zwar noch Newbe hier aber ich denke ihr glaubt meinen Worten...
Nach einigen Nachforschungen habe ich herausgefunden, dass das alles mit CoolWebSearch zusammenhängt...das ist nichts neues, aber es gibt verschiedendsde Versionon dieses Hijackers... die aktuellste ist auch die Hartnäckigste...
die neuste "cwshredder" Version erledigt ihn... komischer Weise gibts auf den Deutschen Seiten nur die Version 1.59, die kann gegen den Hijack gar nix machen... aber auf ner amerikanischen Seite fand ich die Version 1.59.1 und die hat ihn wirklich erledigt!
Die ganzen sachen mit HijackThis bringen letztendlich gar nichts...
Auf den folgenden Seiten findet ihr die aktuellste Version:

www.majorgeeks.com/download4086.html

www.softpedia.com/public/cat/10/17/10-17-150.shtml


Abschließend bleibt zu sagen, dass man immer nach der neusten Cwshredder Version ausschau halten sollte, die bringts fast immer 100% weg!

MfG ;)
Seitenanfang Seitenende
04.07.2004, 22:20
Member

Beiträge: 11
#4 Ich verstehe nicht, warum hier immer wieder Threads dazu aufgemacht werden, wenn es die lösung schon sämtlichen Threads gbt?! Lest euch doch erstmal die anderen Threads durch!
__________
Rechtschreibfehler sind beabsichtigt und dienen der allgemeinen Belustigung! XD
Seitenanfang Seitenende
05.07.2004, 00:04
Member

Beiträge: 441
#5 @ hopeful

Zitat

Die ganzen sachen mit HijackThis bringen letztendlich gar nichts...
Das ist nicht richtig, in Kombination mit anderen Tools, kannst du auch dieses Problem lösen.

Zitat

komischer Weise gibts auf den Deutschen Seiten nur die Version 1.59, die kann gegen den Hijack gar nix machen
Hier findest du die neueste Version http://www.pc-syndrom.de/Downloads-index-req-viewdownloaddetails-lid-186.html

Zitat

Abschließend bleibt zu sagen, dass man immer nach der neusten Cwshredder Version ausschau halten sollte, die bringts fast immer 100% weg!
Da muß ich dich leider enttäuschen, dies ist das letzte offizielle Update des CwShreeder, den Merijn Bellekom der Entwickler des CWShredder hat aufgegeben und sagt selbst:
Zitat "Er habe den Krieg gegen den Trojaner verloren. Das Schadprogramm sei nunmehr so ausgefeilt und besitze so raffinierte Funktionen, daß er sein RemovalTool nicht mehr auf aktuellstem Stand halten könne. Nicht einmal die Schutzfunktionen des kommenden SP2 für WindowsXP seinen mittlerweile diesem Trojaner gewachsen."
Infos:
http://www.desktopsecurity.de/modules.php?name=News&file=article&sid=113&mode=&order=0&thold=0
http://www.theregister.com/2004/06/29/cws_shredder/

Seine Seite http://www.spywareinfo.com/~merijn/ wurde abgeschaltet und ist somit nicht mehr zu erreichen.

Die einzige Lösung um vor Browser Hijacking sicher zu sein, ist ein Browserwechsel wie Mozilla oder Firefox.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
05.07.2004, 15:07
...neu hier

Themenstarter

Beiträge: 2
#6 danke hat mit hijackthis geklappt
hab danach nochmal alle möglichen anti spy progs laufen lassen und ihn liquidiert.... ;)

thx
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: