Das volle Programm - Browser und PC Spywareverseucht |
||
---|---|---|
#0
| ||
14.01.2005, 15:15
...neu hier
Beiträge: 6 |
||
|
||
14.01.2005, 20:54
Moderator
Beiträge: 7805 |
#2
Fix einfach mal das:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\zlruf.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\zlruf.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\zlruf.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\zlruf.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\zlruf.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\zlruf.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\zlruf.dll/sp.html#37049 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {51488172-EAEA-BF69-BED5-423F0D538EA0} - C:\WINNT\system32\wings32.dll O4 - HKLM\..\Run: [ntuw32.exe] C:\WINNT\system32\ntuw32.exe O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) Starte neu und schaue, ob alles soweit funktioniert. Das kannst du zuordnen? O23 - Service: Workstation NetLogon Service - Unknown - C:\WINNT\system32\winxm.exe Dein System ist auch bei weitem nicht aktuell, das solltest du aendern. by the way: Wenn du die URL zu dieser Seite noch kennst, schick ihn mir mal per Mail oder PM. by the way2: Faehrst du keine Backups? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
14.01.2005, 20:56
Moderator
Beiträge: 7805 |
#3
Nachtrag, falls die "O15" eintaege noch immer da sein sollten, nutze mal deldomains.inf von hier:
http://www.mvps.org/winhelp2002/restricted.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
14.01.2005, 21:38
...neu hier
Themenstarter Beiträge: 6 |
#4
Hey, danke schonmal für die Tipps!
Also, ich hab das alles durchgeführt, übrig blieb: O2 - BHO: (no name) - {90DD541F-706F-38F3-438E-FDD2624B3173} - C:\WINNT\system32\crhy32.dll O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_ O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: FileZilla Server FTP server - Unknown - C:\apachefriends\xampp\FileZillaFTP\FileZillaServer.exe O23 - Service: VNC Server Version 4 - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe IE verhielt sich normal... Dann nach ca. 2 min ging der Grusel von neuem los. Hijackerlog: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\aouty.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\aouty.dll/sp.html#37049 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\aouty.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\aouty.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\aouty.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\aouty.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\aouty.dll/sp.html#37049 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {B3340367-9FF7-396C-2CF2-E92B02F05DE0} - C:\WINNT\nttu.dll O4 - HKLM\..\Run: [ntuw32.exe] C:\WINNT\system32\ntuw32.exe O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= (VNC, FTP Server, ect. entfernt) Jupp, danke für den Tipp mit den vertrauenswürdigen Sites, entfernen ging ohne Probleme. Was nun? URL hab ich leider nichtmehr...wenn ich nochmal drauf stoße, kein Problem. Joar, Backup schon vorhanden, aber das Image ist schon mehrere Monate alt :-// Dieser Beitrag wurde am 14.01.2005 um 21:42 Uhr von Astronic editiert.
|
|
|
||
14.01.2005, 21:52
Moderator
Beiträge: 7805 |
#5
Nutz mal Escan um der Sache zu leibe zu ruecken:
http://www.rokop-security.de/board/index.php?showtopic=3867 Du kannst es auch erstmal mit diesem Archive versuchen: http://forums.skads.org/index.php?s=2af5e00f65938a36965ae89b3f982443&act=Attach&type=post&id=82 Entpack es in einen Ordner und start die rem.bat im abgsicherten Modus. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
Nun, normalerweise ist es auch beruflich meine Aufgabe für Sicherheit in Systemen zu sorgen, kleinere Spyware habe ich bis gestern eigentlich immer selbst bewältigt. Aber gestern hat es mich wohl so richtig erwischt.
Nachdem sich ein Popup zu einer Seite, die versprach tolle Tool kostenlos anzubieten einfrohr, und der komplette Explorer abstütze, erlebte ich so einige Überraschungen.
- Als Startseite ist about:blank eingetragen...das lässt sich auch nicht, oder nur schwer ändern. Jedesmal springt die Startseite zurück
- Anstatt auf about:blank zu landen, und deren üblichen Inhalt angezeigt zu bekommen, lande ich auf einer sehr übersichtlichen Seite, wo mir mit vielen hübschen Bildern diverse potenzsteigernde Produkte angeboten werden. Die Adresse ist nach wie vor "about:blank".
- wenn ich websiten ohne das dazugehörige Protokollkürzel aufrufe (z.B. nur google.de anstatt http://google.de) komme ich auch eine Seite mit einer Fehlermeldung, die erstmal eine Menge Werbung macht, und dann meint, ich sollte es doch mal mit http:// probieren...
- Abundzu gehen einfach Popups auf, die wohl auf vbs oder einer anderen Programmsprache basieren, und nichts mit dem Browser zu tun haben
Ich habe mir mal die restlichen Posts angesehen, und vieleicht hilft es ja etwas, wenn ich das Hijackerfile poste:
Logfile of HijackThis v1.99.0
Scan saved at 15:27:01, on 14.01.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\apachefriends\xampp\FileZillaFTP\FileZillaServer.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINNT\system32\winxm.exe
C:\WINNT\Explorer.EXE
C:\WINNT\regedit.exe
C:\WINNT\system32\ntuw32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\unzipped\hijackthis199_beta\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\zlruf.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\zlruf.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\zlruf.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\zlruf.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\zlruf.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\zlruf.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\zlruf.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {51488172-EAEA-BF69-BED5-423F0D538EA0} - C:\WINNT\system32\wings32.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ntuw32.exe] C:\WINNT\system32\ntuw32.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
Das hier ist keine Spyware, der Vollständigkeit halber:
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FileZilla Server FTP server - Unknown - C:\apachefriends\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: VNC Server Version 4 - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe
O23 - Service: Workstation NetLogon Service - Unknown - C:\WINNT\system32\winxm.exe
Was kann ich dagegen tun? Ich bin wirklich am ende.
Die netten batches, die mir dies alles beschert habe habe ich bereit wieder, zusammen mit all dem war gestern geändert oder erstellt wurde, und garantiert nicht zum System gehört hat, gelöscht.