hijacker EASY SEARCH behindert/blockiert IE |
||
---|---|---|
#0
| ||
02.08.2004, 13:56
...neu hier
Beiträge: 2 |
||
|
||
02.08.2004, 20:36
Ehrenmitglied
Beiträge: 29434 |
#2
fixe mit dem HijackThis
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {882AD501-A235-4ACA-878E-A15403B74589} - C:\windows\System32\mfpnjca.dll O18 - Filter: text/html - {94375AC7-69C1-40FA-A59A-DCF58686C49B} - C:\windows\System32\mfpnjca.dll O18 - Filter: text/plain - {94375AC7-69C1-40FA-A59A-DCF58686C49B} - C:\windows\System32\mfpnjca.dll neustarten #deaktiviere kurz deinen Virenscanner Lade Antivirus http://www.free-av.de/ Konfiguriere Antivirus <alle Dateien< scannen <Heuristic:hoch gehe in den abgesicherten Modus (wichtig !) http://www.bsi.de/av/texte/winsave.htm und mache einen Vollscann mit dem Antivirus normal neustarten #Lade sphjfix.exe (schliesse alle Browser) vor dem Scannen ! http://www.rokop-security.de/main/article.php?sid=746 #Lade AdAware free und scanne <alle Dateien< http://www.lavasoft.de/support/download/ #Lade Spywarguard http://www.javacoolsoftware.com/sgdownload.html #lade cwhredder http://www.chip.de/downloads/c_downloads_11353799.html #Lade ClearProg und loesche die TemporaryInternetfiles und Cookies http://www.clearprog.de/ #MACHE UNBEDINGT ALLE WINDOWSUPDATES !Falls du keine cdkey fuer xp hast, lade alles ausser Service Pack 1 #Aktualisiere den IE (kein key notwendig) http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 #Dann stelle unter <InternetOptionen< eine neue Startseite ein. Und poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 02.08.2004 um 20:45 Uhr von Sabina editiert.
|
|
|
ich habs ja schon vorgestern erwähnt, dass es mir gelungen ist, auch den PC meines Nachbarn Andre mit dem hijacker zu verseuchen, als ich letzte Woche dabei war, mir Expertenmeinungen in diversen Hilfeforen zum Thema hijacker
zusammenzusuchen.
Cidre war so freundlich, mir sofort zu antworten und während ich nun drangehe seine Empfehlungen in die Tat umzusetzen, dachte ich setze mal das
logfile, das ich heute morgen vom PC meines Nachbarn bekommen habe hier ins Forum.
Ergänzend möchte ich noch erwähnen, dass Andre gestern abend schon fachmännische Hilfe hatte und der Freund hat auch wirklich alles Mögliche versucht.
Auch ein Programm SPYsweeper aufgespielt, dass einen guten Eindruck machte und viele detaillierte Hinweise gab.
Alle Klimmzuege und Löschaktionen, auch in der Registry direkt, waren sinnlos
weil sich aus der about blank-startseite mit dem start (Trojaner ?)sofort wieder alles was vorher direkt gelöscht worden war wieder eingenistet hatte.
Nun hier das logfile von heute morgen. Vielleicht habt ihr noch Ideen oder schon Erfahrung mit einem solchen Fall.
Danke im voraus
Logfile of HijackThis v1.98.0
Scan saved at 10:26:44, on 02.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\windows\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
C:\windows\System32\nvsvc32.exe
C:\windows\System32\svchost.exe
C:\program files\SWNETSUP.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SpyBlocs\SpyBlocs.exe
C:\windows\System32\ctfmon.exe
C:\windows\System32\RUNDLL32.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\program files\Spy Sweeper\SpySweeper.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\program files\ICMON.EXE
C:\Programme\Belkin Corporation\Belkin Wireless Network Monitor Utility and Driver\RtlWake.exe
D:\Programme\WinSweep\WSMonitor.exe
D:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\windows\System32\wuauclt.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINZIP\winzip32.exe
C:\unzipped\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ANDRSP~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {882AD501-A235-4ACA-878E-A15403B74589} - C:\windows\System32\mfpnjca.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Bouncer RunStartup] C:\Programme\Bouncer\LiveUpdate.exe 110
O4 - HKLM\..\Run: [SpyBlocs] C:\PROGRA~1\SpyBlocs\SpyBlocs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [WINSWEEP] d:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] d:\Programme\WinSweep\WSPopup.Exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\program files\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: InterCheck Monitor.LNK = C:\program files\ICMON.EXE
O4 - Global Startup: RtlWake.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O18 - Filter: text/html - {94375AC7-69C1-40FA-A59A-DCF58686C49B} - C:\windows\System32\mfpnjca.dll
O18 - Filter: text/plain - {94375AC7-69C1-40FA-A59A-DCF58686C49B} - C:\windows\System32\mfpnjca.dll