hijacker EASY SEARCH behindert/blockiert IE

#0
02.08.2004, 13:56
...neu hier

Beiträge: 2
#1 Hallo

ich habs ja schon vorgestern erwähnt, dass es mir gelungen ist, auch den PC meines Nachbarn Andre mit dem hijacker zu verseuchen, als ich letzte Woche dabei war, mir Expertenmeinungen in diversen Hilfeforen zum Thema hijacker
zusammenzusuchen.

Cidre war so freundlich, mir sofort zu antworten und während ich nun drangehe seine Empfehlungen in die Tat umzusetzen, dachte ich setze mal das
logfile, das ich heute morgen vom PC meines Nachbarn bekommen habe hier ins Forum.

Ergänzend möchte ich noch erwähnen, dass Andre gestern abend schon fachmännische Hilfe hatte und der Freund hat auch wirklich alles Mögliche versucht.
Auch ein Programm SPYsweeper aufgespielt, dass einen guten Eindruck machte und viele detaillierte Hinweise gab.
Alle Klimmzuege und Löschaktionen, auch in der Registry direkt, waren sinnlos

weil sich aus der about blank-startseite mit dem start (Trojaner ?)sofort wieder alles was vorher direkt gelöscht worden war wieder eingenistet hatte.

Nun hier das logfile von heute morgen. Vielleicht habt ihr noch Ideen oder schon Erfahrung mit einem solchen Fall.

Danke im voraus



Logfile of HijackThis v1.98.0
Scan saved at 10:26:44, on 02.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\windows\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
C:\windows\System32\nvsvc32.exe
C:\windows\System32\svchost.exe
C:\program files\SWNETSUP.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SpyBlocs\SpyBlocs.exe
C:\windows\System32\ctfmon.exe
C:\windows\System32\RUNDLL32.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\program files\Spy Sweeper\SpySweeper.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\program files\ICMON.EXE
C:\Programme\Belkin Corporation\Belkin Wireless Network Monitor Utility and Driver\RtlWake.exe
D:\Programme\WinSweep\WSMonitor.exe
D:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\windows\System32\wuauclt.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINZIP\winzip32.exe
C:\unzipped\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {882AD501-A235-4ACA-878E-A15403B74589} - C:\windows\System32\mfpnjca.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Bouncer RunStartup] C:\Programme\Bouncer\LiveUpdate.exe 110
O4 - HKLM\..\Run: [SpyBlocs] C:\PROGRA~1\SpyBlocs\SpyBlocs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [WINSWEEP] d:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] d:\Programme\WinSweep\WSPopup.Exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\program files\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: InterCheck Monitor.LNK = C:\program files\ICMON.EXE
O4 - Global Startup: RtlWake.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O18 - Filter: text/html - {94375AC7-69C1-40FA-A59A-DCF58686C49B} - C:\windows\System32\mfpnjca.dll
O18 - Filter: text/plain - {94375AC7-69C1-40FA-A59A-DCF58686C49B} - C:\windows\System32\mfpnjca.dll
Seitenanfang Seitenende
02.08.2004, 20:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 fixe mit dem HijackThis

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {882AD501-A235-4ACA-878E-A15403B74589} - C:\windows\System32\mfpnjca.dll
O18 - Filter: text/html - {94375AC7-69C1-40FA-A59A-DCF58686C49B} - C:\windows\System32\mfpnjca.dll
O18 - Filter: text/plain - {94375AC7-69C1-40FA-A59A-DCF58686C49B} - C:\windows\System32\mfpnjca.dll

neustarten


#deaktiviere kurz deinen Virenscanner
Lade Antivirus
http://www.free-av.de/
Konfiguriere Antivirus
<alle Dateien< scannen
<Heuristic:hoch

gehe in den abgesicherten Modus (wichtig !)
http://www.bsi.de/av/texte/winsave.htm
und mache einen Vollscann mit dem Antivirus


normal neustarten

#Lade sphjfix.exe (schliesse alle Browser) vor dem Scannen !
http://www.rokop-security.de/main/article.php?sid=746
#Lade AdAware free und scanne <alle Dateien<
http://www.lavasoft.de/support/download/
#Lade Spywarguard
http://www.javacoolsoftware.com/sgdownload.html
#lade cwhredder
http://www.chip.de/downloads/c_downloads_11353799.html
#Lade ClearProg und loesche die TemporaryInternetfiles und Cookies
http://www.clearprog.de/

#MACHE UNBEDINGT ALLE WINDOWSUPDATES !Falls du keine cdkey fuer xp hast, lade alles ausser Service Pack 1

#Aktualisiere den IE (kein key notwendig)
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

#Dann stelle unter <InternetOptionen< eine neue Startseite ein.

Und poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 02.08.2004 um 20:45 Uhr von Sabina editiert.
Seitenanfang Seitenende