easy-search.biz und Search the web Hilfe !!!!!Experten !!! |
||
---|---|---|
#0
| ||
31.07.2004, 20:32
...neu hier
Beiträge: 2 |
||
|
||
31.07.2004, 21:17
Member
Beiträge: 441 |
#2
Hallo,
Zitat Platform: Windows XP (WinNT 5.01.2600)Dein System ist nicht gepatcht! Das ist ein Grund für die Installtion deines Browser Hijackers, weitere: Verwendung des Unsicherheitsbrowsers IE, sowie falsche Konfiguration des IE. Lade dir eScan AV Toolkit runter und entpacke es in den Ordner C:\bases, danach die kavupd.exe (Online-Update) ausführen. Fixe diese Einträge: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local O4 - HKCU\..\Run: [runwin32] C:\windows\runwin32.exe O4 - HKCU\..\Run: [wininet32] C:\windows\wininet32.exe O4 - HKCU\..\Run: [Plug and Play] C:\windows\wininet32.exe Wechsle in den abgesicherten Modus und lösche diese Dateien: C:\windows\runwin32.exe C:\windows\wininet32.exe dialup.exe Danach: - Temporäre Internet Files löschen - mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.) - interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html - Neustart - dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp - NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ - IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm oder Browserwechsel wie z.B. Mozilla oder Firefox - neues Log-File posten __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung Dieser Beitrag wurde am 31.07.2004 um 21:19 Uhr von Cidre editiert.
|
|
|
ich komme leider nicht weiter. Mein Nachbar Andre leider auch nicht.
Für uns sind diese Hi-jacker ein vollkommen neues Thema.
Die Story :
1. Anfrage ohne Detailinfos aus Expertenforen
Hilfe, liebe Experten
ich bin Anfänger und schreibe vom PC meines Nachbarn Andre, weil bei meinem kaum noch Internetverbindungen zustandekommen bzw.keine google-Suche möglich ist.Bei meinem IE war google als Startseite festgelegt.Gestern öffnete sich beim Surfen durch Norton Antivirus ein Hinweisfenster "Gefährl.Skript" und ich befolgte die Anweisungen um abzuwehren. Dennoch war es anschliessend kaum noch möglich, sauber und schnell ins Internet zu kommen, denn als penetrante Startseite baut sich ständig ein easy-search.biz auf, dass auch nicht mit Extras/Internetoptionen durch google oder blank ersetzt werden kann. Mein Nachbar murmelte was von "browser hijacker,ätzende Sache, brauchste Geduld und unbedingt Spezialistensupport,nannte euer Forum hat mir
Spybot, CWShredder ind Hijackthis in die Hand gedrückt und musste zur Arbeit.Nun sitze ich als Laie an seinem Rechner,schreibe Euch an und weiss nicht was ich an meinem PC in welcher Reihenfolge zu tun habe, um das Problem zu definieren und mit Gegenmassnahmen zu beheben.
Könnt ihr mir Unterstützung geben ?
Ich danke Euch
mfG
Chris
2. Anfrage mit angelesenen Ratschlägen und Aktionsreihen aus Expertenforen
Hallo
ich danke Dir f.d. schnelle Antwort.Komme erst heute dazu von meinem (dem infizierten) PC zu antworten,weil ich bis Donnerstag kurzfristig im Ausland tätig war. Donnerstagabend ist mir dann auch noch gelungen , den PC meines Nachbarn Andre mit einem neuen browswer-hijacker zu beglücken.
Er bekommt jetztcool
über about-blank ,search the web , massivste Kaufangebote für commerzielle anti-spyware, kann keine internetadresse mehr öffnen, weil ihm Kreisdiagramme von Anti-Spyware-Anbietern einen Befall von 18% mitteilen bzw. Balkendiagramme eine reduzierte PC-Leistung/-tempo auf 20%.
Ich habe deshalb diverse Empfehlungen in Expertenforen nachgelesen und bin auch gesterrn abend 4 Stunden und heute 6 Stunden so vorgegangen, wie es meistens beschrieben wurde:
Windows im gesicherten Modus
XP-System-Wiederherstellung abgestellt
1 Ad-Aware
2 Norton Anti-Virus
3 CW shredder
4 AV Stinger
5 Hi-jack this
verdächtige files geloescht (alle anderen Anw. geschlossen)
erneute Läufe 1-4
nur Kommentare : keine Infektion gefunden
anschliessend
System heruntergefahren
Neuer Start Windows
XP-System-WH aktiviert
Ergebnis: mein Rechner: easy-search .biz ist wieder drauf, nur(neu) der IE funktioniert nicht mehr /kein Server deshalb alternativ firefox als browser
Ergebnis Nachbar: dasselbe: Hijacker kann nicht entfernt werden,(neu) IE findet keinen Server
Jetzt frag ich mich, welcher Experte mir noch
weiterhelfen kann
Ich hab das Gefühl mit einer Geschützbatterie
auf eine Ameise geballert zu haben
ohne Erfolg
Als Anhang mein logfile (hi-jacker easy-search.biz)
CWShredder v1.59.1 scan only report
Please understand that a CWShredder 'Scan only' report
might not be sufficient to troubleshoot an infected system.
You can use HijackThis for that:
http://www.merijn.org/files/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Windows XP (5.01.2600 )
Windows dir: C:\windows
Windows system dir: C:\windows\System32
AppData folder: C:\Dokumente und Einstellungen\nosp\Anwendungsdaten
Username: nosp
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar
Infected data: http://easy-search.biz
Infected Registry value:
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page
Infected data: http://easy-search.biz
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar
Infected data: http://easy-search.biz
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page
Infected data: http://easy-search.biz
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page,about:blank
Infected data: http://easy-search.biz
SCAN aus CWS 3107 12Uhr
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant,http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
Infected data: http://easy-search.biz
Infected Registry value:
HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch,http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
Infected data: http://easy-search.biz
Found Hosts file: C:\windows\System32\drivers\etc\hosts (820 bytes, A)
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,
Found Win.ini file: C:\windows\win.ini (5396 bytes, A)
Found System.ini file: C:\windows\system.ini (231 bytes, A)
Done!
Removed from your system:
- 8 infected IE registry values
Windows XP (5.01.2600 )
CWShredder v1.59.1
Written by Merijn - merijn@spywareinfo.com
For any additional help with this program or removing CWS, visit:
http://forums.spywareinfo.com/
For information and documentation on the Coolwebsearch
trojan and its variants, visit:
http://www.spywareinfo.com/~merijn/cwschronicles.html
For donations to help support CWShredder, visit:
http://www.spywareinfo.com/~merijn/donate.html
Logfile of HijackThis v1.97.7
Scan saved at 13:56:44, on 31.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\Explorer.EXE
C:\Program files\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\Programme\WinSweep\SurfBar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKCU\..\Run: [runwin32] C:\windows\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\windows\wininet32.exe
O4 - HKCU\..\Run: [Plug and Play] C:\windows\wininet32.exe
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Programme\WinSweep\WSPopup.Exe
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM
Ich bitte um Euren fachlichen Rat !!!
Wenn ihr mir mit meinem PC helfen konntet, bite ich Euch noch darum mir bei
dem PC des Nachbarn Andre zu helfen. SChliesslich bin ich schuld, dass er noch nen aufdringlicheren Hi-jacker hat.
Ich danke Euch im voraus.
mfG
Chris