Das volle Programm - Browser und PC Spywareverseucht

#0
14.01.2005, 15:15
...neu hier

Beiträge: 6
#1 Hallo, erstmal.

Nun, normalerweise ist es auch beruflich meine Aufgabe für Sicherheit in Systemen zu sorgen, kleinere Spyware habe ich bis gestern eigentlich immer selbst bewältigt. Aber gestern hat es mich wohl so richtig erwischt.
Nachdem sich ein Popup zu einer Seite, die versprach tolle Tool kostenlos anzubieten einfrohr, und der komplette Explorer abstütze, erlebte ich so einige Überraschungen.

- Als Startseite ist about:blank eingetragen...das lässt sich auch nicht, oder nur schwer ändern. Jedesmal springt die Startseite zurück

- Anstatt auf about:blank zu landen, und deren üblichen Inhalt angezeigt zu bekommen, lande ich auf einer sehr übersichtlichen Seite, wo mir mit vielen hübschen Bildern diverse potenzsteigernde Produkte angeboten werden. Die Adresse ist nach wie vor "about:blank".

- wenn ich websiten ohne das dazugehörige Protokollkürzel aufrufe (z.B. nur google.de anstatt http://google.de) komme ich auch eine Seite mit einer Fehlermeldung, die erstmal eine Menge Werbung macht, und dann meint, ich sollte es doch mal mit http:// probieren...

- Abundzu gehen einfach Popups auf, die wohl auf vbs oder einer anderen Programmsprache basieren, und nichts mit dem Browser zu tun haben

Ich habe mir mal die restlichen Posts angesehen, und vieleicht hilft es ja etwas, wenn ich das Hijackerfile poste:

Logfile of HijackThis v1.99.0
Scan saved at 15:27:01, on 14.01.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\apachefriends\xampp\FileZillaFTP\FileZillaServer.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINNT\system32\winxm.exe
C:\WINNT\Explorer.EXE
C:\WINNT\regedit.exe
C:\WINNT\system32\ntuw32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\unzipped\hijackthis199_beta\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\zlruf.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\zlruf.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\zlruf.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\zlruf.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\zlruf.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\zlruf.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\zlruf.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {51488172-EAEA-BF69-BED5-423F0D538EA0} - C:\WINNT\system32\wings32.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ntuw32.exe] C:\WINNT\system32\ntuw32.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)


Das hier ist keine Spyware, der Vollständigkeit halber:

O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FileZilla Server FTP server - Unknown - C:\apachefriends\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: VNC Server Version 4 - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe
O23 - Service: Workstation NetLogon Service - Unknown - C:\WINNT\system32\winxm.exe



Was kann ich dagegen tun? Ich bin wirklich am ende.
Die netten batches, die mir dies alles beschert habe habe ich bereit wieder, zusammen mit all dem war gestern geändert oder erstellt wurde, und garantiert nicht zum System gehört hat, gelöscht.
Dieser Beitrag wurde am 14.01.2005 um 15:24 Uhr von Astronic editiert.
Seitenanfang Seitenende
14.01.2005, 20:54
Moderator

Beiträge: 7805
#2 Fix einfach mal das:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\zlruf.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\zlruf.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\zlruf.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\zlruf.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\zlruf.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\zlruf.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\zlruf.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {51488172-EAEA-BF69-BED5-423F0D538EA0} - C:\WINNT\system32\wings32.dll
O4 - HKLM\..\Run: [ntuw32.exe] C:\WINNT\system32\ntuw32.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)

Starte neu und schaue, ob alles soweit funktioniert.

Das kannst du zuordnen?
O23 - Service: Workstation NetLogon Service - Unknown - C:\WINNT\system32\winxm.exe

Dein System ist auch bei weitem nicht aktuell, das solltest du aendern.

by the way: Wenn du die URL zu dieser Seite noch kennst, schick ihn mir mal per Mail oder PM.

by the way2: Faehrst du keine Backups?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.01.2005, 20:56
Moderator

Beiträge: 7805
#3 Nachtrag, falls die "O15" eintaege noch immer da sein sollten, nutze mal deldomains.inf von hier:
http://www.mvps.org/winhelp2002/restricted.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.01.2005, 21:38
...neu hier

Themenstarter

Beiträge: 6
#4 Hey, danke schonmal für die Tipps!

Also, ich hab das alles durchgeführt, übrig blieb:

O2 - BHO: (no name) - {90DD541F-706F-38F3-438E-FDD2624B3173} - C:\WINNT\system32\crhy32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FileZilla Server FTP server - Unknown - C:\apachefriends\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: VNC Server Version 4 - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe

IE verhielt sich normal...
Dann nach ca. 2 min ging der Grusel von neuem los.
Hijackerlog:


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\aouty.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\aouty.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\aouty.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\aouty.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\aouty.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\aouty.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\aouty.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {B3340367-9FF7-396C-2CF2-E92B02F05DE0} - C:\WINNT\nttu.dll
O4 - HKLM\..\Run: [ntuw32.exe] C:\WINNT\system32\ntuw32.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=


(VNC, FTP Server, ect. entfernt)

Jupp, danke für den Tipp mit den vertrauenswürdigen Sites, entfernen ging ohne Probleme.

Was nun?

URL hab ich leider nichtmehr...wenn ich nochmal drauf stoße, kein Problem.
Joar, Backup schon vorhanden, aber das Image ist schon mehrere Monate alt :-//
Dieser Beitrag wurde am 14.01.2005 um 21:42 Uhr von Astronic editiert.
Seitenanfang Seitenende
14.01.2005, 21:52
Moderator

Beiträge: 7805
#5 Nutz mal Escan um der Sache zu leibe zu ruecken:
http://www.rokop-security.de/board/index.php?showtopic=3867

Du kannst es auch erstmal mit diesem Archive versuchen:

http://forums.skads.org/index.php?s=2af5e00f65938a36965ae89b3f982443&act=Attach&type=post&id=82

Entpack es in einen Ordner und start die rem.bat im abgsicherten Modus.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende