Quick Web Search (Hijacker) |
||
---|---|---|
#0
| ||
15.09.2005, 21:13
...neu hier
Beiträge: 8 |
||
|
||
16.09.2005, 04:00
Member
Beiträge: 4730 |
#2
Arbeite folgendes ab:
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html Dann markiere im HijackThis folgende EInträge (Häkchen setzen) und klicke auf "fix checked": O2 - BHO: Class - {74D49E20-C013-4035-3457-1B073899BF8D} - C:\WINDOWS\WINMF32.DLL# O4 - HKLM\..\Run: [SYSUA.EXE] C:\WINDOWS\SYSUA.EXE O4 - HKLM\..\RunServices: [SYSWB.EXE] C:\WINDOWS\SYSTEM\SYSWB.EXE /s Überprüfe auf http://www.virustotal.com folgende Dateien und teile uns das Ergebnis mit: C:\WINDOWS\SYSUA.EXE C:\WINDOWS\SYSTEM\SYSWB.EXE Mehr möchte ich im Moment nicht vorschlagen, da ich zuerst das Ergebnis von Virustotal bräuchte. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
16.09.2005, 20:34
...neu hier
Themenstarter Beiträge: 8 |
#3
Hi Managor,
danke für Deine Antwort. Ich habe den Cleaner für Windows 95/98/ME eingesetzt und Desinfektion gestartet. Danach habe ich realiv lange gewartet. Der Rechner wurde nicht neu gestartet. Ich gehe mal davon aus, dass der Cleaner nichts verdächtiges gefunden hat, oder? Kann ich nun schon die nächsten Schritte Deiner Anleitung abarbeiten, oder hat sich dadurch, dass nichts gefunden wurde, die Reihenfolge geändert, bzw. eine andere Lösungsvariante ergeben? Besten Dank für Deine weitere Antwort. |
|
|
||
16.09.2005, 23:48
Ehrenmitglied
Beiträge: 29434 |
#4
Startseitentrojaner....
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556 R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [SYSUA.EXE] C:\WINDOWS\SYSUA.EXE O4 - HKLM\..\RunServices: [SYSWB.EXE] C:\WINDOWS\SYSTEM\SYSWB.EXE /s PC neustarten CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html AboutBuster-->scanne, (zweimal) http://virus-protect.org/antispywaretools.html Alle Dateien in einen Ordner entpacken,-->zweimal scannen Antivirus-->konfigurieren + scanne http://virus-protect.org/antivirus.html #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein Onlinescan Panda http://virus-protect.org/onlinescan.html der scan wird finden: C:\Dokumente und Einstellungen\Pascoe\Favoriten\Fun & Games\Casino Palace.lnk C:\Dokumente und Einstellungen\user\Favoriten\Fun & Games\Casino.lnk C:\Dokumente und Einstellungen\user\Favoriten\Fun & Games\Games.lnk C:\Dokumente und Einstellungen\user\Favoriten\Fun & Games\Horoscope.lnk das ist dann alles unter den Favoriten zu loeschen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.09.2005, 23:08
...neu hier
Themenstarter Beiträge: 8 |
#5
Habe nun folgendes - wie beschrieben - abgearbeitet: HijackThis / PC Neustart / CCleaner. About Buster konnte ich nicht downloaden, da ich nie eine Verbindung (The page cannot be displayed) bekommen konnte, um das Programm downzuloaden.
Ich habe auch versucht über die Systemsteuerung - Software den IE zu reparieren. Ich habe zusätzlich im abgesicherten Modus Ad-Aware / Hijack This / RegCleaner / Norton Antivirus / und CCleaner drüberlaufen lassen. Darüber hinaus habe ich in der Systemsteuerung - Internetoptionen nochmals Cookies und Dateien gelöscht sowie meine bevorzugte Startseite eingetragen. Trotzdem kommt dieser Sch... immer wieder. Ich habe zu diesem Problem noch die zusätzlichen Fragen: Können dadurch z.B. Word und Excel Dateien auch verseucht sein? Ist mein PC jetzt grundsätzlich angreifbar (backdoor etc.) und sollte ich ihn besser neu aufsetzen? Oder quält er mich nur mit dieser lästigen Werbung und sonst nichts? Wenn ich keine weiteren Probleme fürchten muß, reicht vielleicht die Verwendung von Firefox. Besten Dank im voraus für weitere Tipps. MfG |
|
|
||
19.09.2005, 23:34
Ehrenmitglied
Beiträge: 29434 |
#6
das ist ein Startseitentrojaner, der ALLES aufzeichnet, was du im Net so machst.
Nicht angenehm also. (Passworte, Mailadressen, welche Seiten du ansurfst usw.) Ich empfehle eine Reinigung mit Onlinescannern und anderen Virenprogrammen (Virenscanner laden, scannen, anderen laden, scannen usw....) oder formatieren. Die Word und Excel Dateien sind clean, kannst du also abspeichern, Diskette oder brennen auf CD __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.09.2005, 08:59
...neu hier
Themenstarter Beiträge: 8 |
#7
Hi Sabina,
zunächst danke für Deine Info. Ich habe nun auch im Büro versucht "AboutBuster" aufzurufen, leider erhalte ich auch von hier keinen Zugang zu diesem Server. Bevor ich auch "Antivirus-->konfigurieren + scanne" drüberjage, würde ich gerne wissen, ob es mit meinem Norton Internet Security Probleme geben könnte. Habe gehört, dass sich 2 Antivirenprogramme auf einem PC möglicherweise nicht so gut "vertragen" könnten. Soferne ich hier aber nichts befürchten muß würde ich die - von Dir vorgeschlagene - Prozedur bis auf About Buster nochmals durchziehen. Falls das alles nichts hilft, würde ich mich dann in letzter Konsequenz für das Neuaufsetzen des Systems entscheiden. Da müßte dann auf jeden Fall alles clean sein, oder? Besten Dank und schöne Grüße. |
|
|
||
20.09.2005, 12:38
Ehrenmitglied
Beiträge: 29434 |
#8
about buster:
http://www.spychecker.com/program/aboutbuster.html zwei aktive Virenscanner sind nicht gut fuer die performance, aber du kannst es versuchen. oder Onlinescans und dann manuell loeschen: http://virus-protect.org/onlinescan.html (kaspersky, Panda usw.) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.09.2005, 14:26
...neu hier
Themenstarter Beiträge: 8 |
#9
Für alle, die ein ähnliches Problem haben. Ich habe mein Problem nun folgendermaßen gelöst. Ich habe im abgesicherten Modus mit Spybot - Search & Destroy den PC gescannt, danach in der Systemsteuerung meine Startseite definiert, Cookies und temporäre Internetdateien gelöscht. Danach habe ich den PC neu gestartet und das Problem war behoben. Spybot - Search & Destroy bekommt man unter: http://www.safer-networking.org/de/
Grüße an alle "Leidensgenossen". |
|
|
||
27.09.2005, 14:51
Ehrenmitglied
Beiträge: 29434 |
#10
nidoking
ich bezweifel ernsthaft , dass Spybot das Problem aus der Welt geschafft hat, z und scanne mit panda, da siehst du den Rest. http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.09.2005, 15:26
Member
Beiträge: 4730 |
#11
Funktioniert es denn auch unter Windows 98? Zumal im FAT/FAT32-Dateisystem keine Meta-Daten gespeichert werden, glaube ich...
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
27.09.2005, 15:54
Ehrenmitglied
Beiträge: 29434 |
#12
ja, ja, erwischt....ich hab das Win98 nicht mehr gesehen ich denke nein, ADS Spy: wird nicht funktionieren
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.09.2005, 17:27
...neu hier
Themenstarter Beiträge: 8 |
#13
@managor
Zitat Funktioniert es denn auch unter Windows 98?Meinst Du Spybot oder panda? @Sabina Zitat ADS Spy: wird nicht funktionierenWas genau meinst Du damit? Hast Du nicht panda empfohlen. Was ist ADS Spy? Sorry, dass ich diese Fragen stelle, aber ich kann als "Nicht-Fachmann" - der ich nun mal bin - mit diesen Infos nicht viel anfangen. Danke für Euer Verständnis. |
|
|
||
27.09.2005, 18:45
Member
Beiträge: 4730 |
#14
Hallo nidoking,
scanne mit Panda, wie Sabina empfohlen hat. Das andere war nur ein kleines Gespräch zwischen Sabina und mir (ich schätze, wir brauchen sowas hin und wieder mal ) __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
27.09.2005, 20:48
...neu hier
Themenstarter Beiträge: 8 |
#15
Alles klar, dann werd ich mich mit dem onlinescanner beschäftigen. Das einzige was nach Spybot immer wieder kommt ist, dass mein PC immer irgend ein Programm downloaden will, was ich aber immer abgebrochen habe, da es mir nicht vertrauenswürdig erschien. Nachfolgend das Fester mit der Downloadaufforderung.
[img]C:\WINDOWS\Desktop\Your computer might be at risk.jpg[/img] Schönen Abend noch. MfG ------------------------------------------------------------------ Uuups, hat wohl nicht geklappt, mit dem Fenster. ?!? Ich probiers so: Dateiname: CHMhelp.chm Dateityp: Kompilierte HTML-Hilfedatei von: searchclick.cc Dieser Beitrag wurde am 27.09.2005 um 20:51 Uhr von nidoking editiert.
|
|
|
||
Ich bin für jeden Tipp dankbar, dieses lästige Problem wegzubekommen. Bevor ich etwas falsches fixe, möchte ich mich an die Fachleute im Forum wenden, denn ich bin als grundsätzlicher Anwender kein Spezialist.
Logfile of HijackThis v1.99.1
Scan saved at 00:00:44, on 15.09.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
G:\PROGRAMME\NORTON INTERNET SECURITY FAMILY EDITION\NISSERV.EXE
G:\PROGRAMME\NORTON INTERNET SECURITY FAMILY EDITION\IAMAPP.EXE
G:\PROGRAMME\NORTON INTERNET SECURITY FAMILY EDITION\NISUM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
G:\PROGRAMME\NORTON INTERNET SECURITY FAMILY EDITION\ATRACK.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\PROGRAMME\FREEPDF\FREEPDFA.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE
G:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\SYSUA.EXE
C:\WINDOWS\CWD3DSND.EXE
G:\PROGRAMME\SONY CORPORATION\IMAGE TRANSFER\SONYTRAY.EXE
G:\PROGRAMME\MA311 PCI ADAPTER CONFIGURATION UTILITY\WLANUTIL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SYSWB.EXE
C:\WINDOWS\SYSTEM\SYSWB.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von UTA Telekom AG
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Class - {74D49E20-C013-4035-3457-1B073899BF8D} - C:\WINDOWS\WINMF32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\PROGRA~1\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [RealTray] G:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SYSUA.EXE] C:\WINDOWS\SYSUA.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SYSWB.EXE] C:\WINDOWS\SYSTEM\SYSWB.EXE /s
O4 - Startup: Crystal 3D Audio Control.lnk = C:\WINDOWS\CWD3DSND.EXE
O4 - Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Image Transfer.lnk = G:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Startup: Configuration Utility.lnk = G:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.utanet.at