http://t.swapx.cc/h.php?aid=533 (immer als Startseite vom Internet Explo

#0
27.11.2004, 15:27
...neu hier

Beiträge: 4
#1 Hallo, hab hier ein Problem mit folgendem Hijacker:
http://t.swapx.cc/h.php?aid=533 (immer als Startseite vom Internet Explorer)
Die letzte Zahl ändert sich dabei ab und zu mal (ich denke, immer wenn ich den Computer neu hochfahre).
Ich habe schon sämtliche Programme ausprobiert (CWSchreder und wie sie nicht alle heißen), geändert hat sich aber nichts. Darum bitte ich euch, meinen Log-File von Hijackthis mal auszuwerten. Ich habe bereits selbst darin mal ein bißchen rumgelöscht (z.B. alle R*-Einträge gefixt), gebracht hat es aber nichts. Bevor ich meinen Rechner total lahmlegen wende ich mich hiermit lieber mal an euch und hoffe, ihr könnt mir weiterhelfen.
Ich habe gesehen, dass das Problem schon mal hier im Forum behandelt wurde. Da ich aber einen anderen Log-File habe und ich bei den Antworten nicht so ganz durchblicke, bitte ich euch darum, meinen Log-File auch mal zu prüfen.
Was auch merkwürdig ist, ist die Tatsache, dass Hijackthis bei mir nicht alles fixen kann. Z.B. habe ich schon mal versucht u.a. die Nummer O20 zu löschen (also den File mit den vielen .dll). Nach einem neuen Scan war sie aber sofort wieder vorhanden.
Ich bitte euch auch, mir wirklich eine Anleitung zu geben, was zu tun ist, also PC im abgesicherten Modus hochfahren und/oder Systemwiederherstellung für alle Laufwerke deaktivieren und dann Veränderungen vornhemen? Oder gleich im normalen Zustand verändern?
Bitte auch keine Ratschläge geben wie Festplatte formatieren oder neuen Computer kaufen oder sowas (obwohl ich langsam der Meinung bin, dass ist das einzige was noch funktionieren würde)!
Also vielen Dank schon mal im Voraus.

Hier mein Log-File von Hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 15:21:43, on 27.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\T-ONLINE\BSW4\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\eMule0.43b-sivka.v13b2\emule.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\eMule0.43b-sivka.v13b2\Incoming\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=9
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\W8C6S4~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: MedionShop - {CC1496A3-E090-491E-800E-CEBE47FDB7AD} - http://www.medionshop.de (file missing) (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093877751546
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8D8A786-7E7E-4B68-9C29-DA77A9897BF7}: NameServer = 217.237.151.33 217.237.149.225
O20 - AppInit_DLLs: 9nse7wjsd4nxm9dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll
Dieser Beitrag wurde am 27.11.2004 um 21:43 Uhr von Sabina editiert.
Seitenanfang Seitenende
27.11.2004, 16:01
Moderator

Beiträge: 7804
#2 Als erstes eine Nachfrage, weisst du auf welcher Internetseite dich dieser Hijacker erwischt hat?
Als zweites, das durchlesen und die entsprechenden Dateien herunterladen:
http://www.rokop-security.de/board/index.php?showtopic=3867

Als drittes, fix mal folgendes im abgesicherten Modus:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=9
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\W8C6S4~1.DLL
O20 - AppInit_DLLs: 9nse7wjsd4nxm9dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll

Als viertes die Dateien, die Escan als infiziert meldet mit killbox loeschen, neu starten und den °!!Submit Ordner in c:\ bitte mit Winrar oder Winzip packen und an virus@rokop-security.de schicken.

Dann eine neue Startseite erstelen und ein neues Log posten.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.11.2004, 16:05
...neu hier

Themenstarter

Beiträge: 4
#3 Ergänzung:
Außerdem muss ich noch diverse Viren auf dem Rechner haben. Norton hat mir einen Bloodhound angezeigt den er wohl isoliert hat. Escan hat bei mir über 80 infizierte Dateien gefunden (mit dem Zusatz no action oder so ähnlich). Ich hatte bisher keine Lust, alle Dateien jetzt manuell zu löschen. Gibt es da nicht noch andere Möglichkeiten oder Programme. Ich habe auch einen Virentest mit http://www3.ca.com/securityadvisor/virusinfo/scan.aspx durchgeführt und dieser hat ebenfalls etliche Viren gefunden.
Ich habe das Gefühl, dass sobald ich die Viren lösche sind sie auch scjon wider da. Das hleiche passiert bei Adware: Er zeigt immer 9 Einträge an und wenn sich diese entfernen lasse und neu scanne sind sie wieder da.
Bitte helft mir!
Seitenanfang Seitenende
27.11.2004, 16:09
...neu hier

Themenstarter

Beiträge: 4
#4 Zu deiner Frage:
Also ich weiß nicht auf welcher Seite dies passiert ist, da mein Bruder am PC gesessen hat. Ich würde ihm aber auch zutrauen, dass er wieder auf irgendwelchen Pornoseiten rumgesurft ist. Wenn ich dann wieder an den PC gehe ist der Verlauf gelöscht.
Seitenanfang Seitenende
27.11.2004, 16:39
...neu hier

Themenstarter

Beiträge: 4
#5 Hier ersmal das Vierenergebnis von http://www3.ca.com/securityadvisor/virusinfo/scan.aspx (eTrust Antivirus Web Scanner):

Scan Results: 38513 files scanned. 32 viruses were detected.

File Infection Status Path
109218.tmp Win32.Startpage.JY infected C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\
186281.tmp Win32.Startpage.JY infected C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\
1995484.tmp Win32.Startpage.JY infected C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\
4401609.tmp Win32.Startpage.JY infected C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\
4931234.tmp Win32.Startpage.JY infected C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\
5097406.tmp Win32.Startpage.JY infected C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\
549375.tmp Win32.Startpage.JY infected C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\
6134265.tmp Win32.Startpage.JY infected C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\
6670718.tmp Win32.Startpage.JY infected C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\
813296.tmp Win32.Startpage.JY infected C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\
842515.tmp Win32.Startpage.JY infected C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\
894437.tmp Win32.Startpage.JY infected C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\
935625.tmp Win32.Startpage.JY infected C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\
stop.00009_4[1].exe Win32.Secdrop.T infected C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6MB0YE94\
backup-20041127-132113-123.dll Win32.Startpage.JY infected C:\Programme\eMule0.43b-sivka.v13b2\Incoming\backups\
sys.reg REG.Startpage.CO infected C:\
stop.00009_4.exe Win32.Secdrop.T infected C:\WINDOWS\
33vim5eobnpwn9dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll Win32.Startpage.JY infected C:\WINDOWS\system32\
7wpyb5ybgx.dll Win32.Startpage.JY!downloader infected C:\WINDOWS\system32\
82r895umxx9ijxdll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll Win32.Startpage.JY infected C:\WINDOWS\system32\
9nse7wjsd4nxm9dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll Win32.Startpage.JY infected C:\WINDOWS\system32\
cud98bs7iygfn9dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll Win32.Startpage.JY infected C:\WINDOWS\system32\
d8ip1jp4ycg8p6dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll Win32.Startpage.JY infected C:\WINDOWS\system32\
hbp1ewt9zbuvu2dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll Win32.Startpage.JY infected C:\WINDOWS\system32\
igybj1y73wzwn9dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll Win32.Startpage.JY infected C:\WINDOWS\system32\
j3c51j48cigrs.dll.dll Win32.Startpage.JY infected C:\WINDOWS\system32\
lftsw3xmwen8m9dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll Win32.Startpage.JY infected C:\WINDOWS\system32\
rkjvyzpnjvc0g.dll Win32.Startpage.JY infected C:\WINDOWS\system32\
vgsy2ufxxkd4nkdll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll Win32.Startpage.JY infected C:\WINDOWS\system32\
w8c6s4xcm66.dll Win32.Startpage.JY infected C:\WINDOWS\system32\
zflj1mbgiu68pkdll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll Win32.Startpage.JY infected C:\WINDOWS\system32\
zona02.exe Win32.Mutters.C infected C:\WINDOWS\
Seitenanfang Seitenende
27.11.2004, 21:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@

Geh in den abgesicherten Modus:

Start<Ausfuehren<regedit:
suchen und loeschen:

kopiere in die Suchfunktion der Registry:

zflj1mbgiu68pkdll
vgsy2ufxxkd4nkdll
lftsw3xmwen8m9dll
j3c51j48cigrs.dll
igybj1y73wzwn9dll
hbp1ewt9zbuvu2dll
d8ip1jp4ycg8p6dll
cud98bs7iygfn9dll
9nse7wjsd4nxm9dll
82r895umxx9ijxdll

<Melkosoft
<Control handler
<*http://t.swapx.cc/h.php?aid=20009* (ohne Sternchen suchen)
<*http://win-eto.com/sp.htm?id=9*
<win-eto.com

KillBox
http://www.bleepingcomputer.com/files/killbox.php

Loesche mit der Killbox:
C:\stop.00009_4.exe
C:\WINDOWS\system32\zona02.exe
C:\WINDOWS\system32\w8c6s4xcm66.dll
C:\WINDOWS\system32\7wpyb5ybgx.dll

suche und loesche:
C:\Programme\eMule0.43b-sivka.v13b2\Incoming\backups\sys.reg

C:\WINDOWS\system32\zflj1mbgiu68pkdll
C:\WINDOWS\system32\vgsy2ufxxkd4nkdll
C:\WINDOWS\system32\lftsw3xmwen8m9dll
C:\WINDOWS\system32\j3c51j48cigrs.dll
C:\WINDOWS\system32\igybj1y73wzwn9dll
C:\WINDOWS\system32\hbp1ewt9zbuvu2dll
C:\WINDOWS\system32\d8ip1jp4ycg8p6dll
C:\WINDOWS\system32\cud98bs7iygfn9dll
C:\WINDOWS\system32\9nse7wjsd4nxm9dll
C:\WINDOWS\system32\82r895umxx9ijxdll

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

dann scanne noch mal mit eScan...wieder alles loeschen , was angezeigt wird.
dann poste das Log noch einmal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 27.11.2004 um 22:06 Uhr von Sabina editiert.
Seitenanfang Seitenende