Quick Web Search (Hijacker)

#1 Seit einigen Tagen habe ich das Problem, dass ich die Startseite meines IE nicht mehr einstellen kann. Es wird immer wieder mit about:blank überschrieben. Ad-Aware und Norton Antivirus konnten nicht helfen. Auch in der Registry konnte ich nichts finden, was auffällig war. Im Windows Explorer C:\WINDOWS\SYSTEM habe ich eine Datei namens SYSWB.EXE gefunden. Diese Datei im Autostart Ordner zu deaktivieren bringt ebenfalls nichts, da sie beim nächsten Start wieder geladen wird. Beim Scan mit Ad-Aware kommt diese Datei mit dem Vermerk "hohes Risiko". Beim Löschen über Ad-Aware bleibt das Programm immer hängen. Auch im abgesicherten Modus habe ich es bereits versucht. Mit Hijackthis habe ich nachfolgendes Logfile erhalten.

Ich bin für jeden Tipp dankbar, dieses lästige Problem wegzubekommen. Bevor ich etwas falsches fixe, möchte ich mich an die Fachleute im Forum wenden, denn ich bin als grundsätzlicher Anwender kein Spezialist.

Logfile of HijackThis v1.99.1
Scan saved at 00:00:44, on 15.09.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
G:\PROGRAMME\NORTON INTERNET SECURITY FAMILY EDITION\NISSERV.EXE
G:\PROGRAMME\NORTON INTERNET SECURITY FAMILY EDITION\IAMAPP.EXE
G:\PROGRAMME\NORTON INTERNET SECURITY FAMILY EDITION\NISUM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
G:\PROGRAMME\NORTON INTERNET SECURITY FAMILY EDITION\ATRACK.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\PROGRAMME\FREEPDF\FREEPDFA.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE
G:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\SYSUA.EXE
C:\WINDOWS\CWD3DSND.EXE
G:\PROGRAMME\SONY CORPORATION\IMAGE TRANSFER\SONYTRAY.EXE
G:\PROGRAMME\MA311 PCI ADAPTER CONFIGURATION UTILITY\WLANUTIL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SYSWB.EXE
C:\WINDOWS\SYSTEM\SYSWB.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von UTA Telekom AG
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Class - {74D49E20-C013-4035-3457-1B073899BF8D} - C:\WINDOWS\WINMF32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\PROGRA~1\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [RealTray] G:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SYSUA.EXE] C:\WINDOWS\SYSUA.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SYSWB.EXE] C:\WINDOWS\SYSTEM\SYSWB.EXE /s
O4 - Startup: Crystal 3D Audio Control.lnk = C:\WINDOWS\CWD3DSND.EXE
O4 - Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Image Transfer.lnk = G:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Startup: Configuration Utility.lnk = G:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.utanet.at

#2 Arbeite folgendes ab:
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

Dann markiere im HijackThis folgende EInträge (Häkchen setzen) und klicke auf "fix checked":

O2 - BHO: Class - {74D49E20-C013-4035-3457-1B073899BF8D} - C:\WINDOWS\WINMF32.DLL#
O4 - HKLM\..\Run: [SYSUA.EXE] C:\WINDOWS\SYSUA.EXE
O4 - HKLM\..\RunServices: [SYSWB.EXE] C:\WINDOWS\SYSTEM\SYSWB.EXE /s

Überprüfe auf http://www.virustotal.com folgende Dateien und teile uns das Ergebnis mit:
C:\WINDOWS\SYSUA.EXE
C:\WINDOWS\SYSTEM\SYSWB.EXE

Mehr möchte ich im Moment nicht vorschlagen, da ich zuerst das Ergebnis von Virustotal bräuchte.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Hi Managor,

danke für Deine Antwort. Ich habe den Cleaner für Windows 95/98/ME eingesetzt und Desinfektion gestartet. Danach habe ich realiv lange gewartet. Der Rechner wurde nicht neu gestartet. Ich gehe mal davon aus, dass der Cleaner nichts verdächtiges gefunden hat, oder? Kann ich nun schon die nächsten Schritte Deiner Anleitung abarbeiten, oder hat sich dadurch, dass nichts gefunden wurde, die Reihenfolge geändert, bzw. eine andere Lösungsvariante ergeben?

Besten Dank für Deine weitere Antwort.

#4 Startseitentrojaner....


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\ntjdh.dll/sp.html#83556

R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [SYSUA.EXE] C:\WINDOWS\SYSUA.EXE
O4 - HKLM\..\RunServices: [SYSWB.EXE] C:\WINDOWS\SYSTEM\SYSWB.EXE /s

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

AboutBuster-->scanne, (zweimal)
http://virus-protect.org/antispywaretools.html
Alle Dateien in einen Ordner entpacken,-->zweimal scannen

Antivirus-->konfigurieren + scanne
http://virus-protect.org/antivirus.html

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

Onlinescan Panda
http://virus-protect.org/onlinescan.html

der scan wird finden:
C:\Dokumente und Einstellungen\Pascoe\Favoriten\Fun & Games\Casino Palace.lnk
C:\Dokumente und Einstellungen\user\Favoriten\Fun & Games\Casino.lnk
C:\Dokumente und Einstellungen\user\Favoriten\Fun & Games\Games.lnk
C:\Dokumente und Einstellungen\user\Favoriten\Fun & Games\Horoscope.lnk

das ist dann alles unter den Favoriten zu loeschen
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Habe nun folgendes - wie beschrieben - abgearbeitet: HijackThis / PC Neustart / CCleaner. About Buster konnte ich nicht downloaden, da ich nie eine Verbindung (The page cannot be displayed) bekommen konnte, um das Programm downzuloaden.

Ich habe auch versucht über die Systemsteuerung - Software den IE zu reparieren. Ich habe zusätzlich im abgesicherten Modus Ad-Aware / Hijack This / RegCleaner / Norton Antivirus / und CCleaner drüberlaufen lassen. Darüber hinaus habe ich in der Systemsteuerung - Internetoptionen nochmals Cookies und Dateien gelöscht sowie meine bevorzugte Startseite eingetragen. Trotzdem kommt dieser Sch... immer wieder.

Ich habe zu diesem Problem noch die zusätzlichen Fragen:

Können dadurch z.B. Word und Excel Dateien auch verseucht sein?
Ist mein PC jetzt grundsätzlich angreifbar (backdoor etc.) und sollte ich ihn besser neu aufsetzen?
Oder quält er mich nur mit dieser lästigen Werbung und sonst nichts?

Wenn ich keine weiteren Probleme fürchten muß, reicht vielleicht die Verwendung von Firefox.

Besten Dank im voraus für weitere Tipps.
MfG

#6 das ist ein Startseitentrojaner, der ALLES aufzeichnet, was du im Net so machst.
Nicht angenehm also. (Passworte, Mailadressen, welche Seiten du ansurfst usw.)
Ich empfehle eine Reinigung mit Onlinescannern und anderen Virenprogrammen
(Virenscanner laden, scannen, anderen laden, scannen usw....)
oder formatieren.

Die Word und Excel Dateien sind clean, kannst du also abspeichern, Diskette oder brennen auf CD
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hi Sabina,

zunächst danke für Deine Info.

Ich habe nun auch im Büro versucht "AboutBuster" aufzurufen, leider erhalte ich auch von hier keinen Zugang zu diesem Server. Bevor ich auch "Antivirus-->konfigurieren + scanne" drüberjage, würde ich gerne wissen, ob es mit meinem Norton Internet Security Probleme geben könnte. Habe gehört, dass sich 2 Antivirenprogramme auf einem PC möglicherweise nicht so gut "vertragen" könnten. Soferne ich hier aber nichts befürchten muß würde ich die - von Dir vorgeschlagene - Prozedur bis auf About Buster nochmals durchziehen. Falls das alles nichts hilft, würde ich mich dann in letzter Konsequenz für das Neuaufsetzen des Systems entscheiden. Da müßte dann auf jeden Fall alles clean sein, oder?

Besten Dank und schöne Grüße.

#8 about buster:
http://www.spychecker.com/program/aboutbuster.html

zwei aktive Virenscanner sind nicht gut fuer die performance, aber du kannst es
versuchen.

oder Onlinescans und dann manuell loeschen:
http://virus-protect.org/onlinescan.html
(kaspersky, Panda usw.)
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Für alle, die ein ähnliches Problem haben. Ich habe mein Problem nun folgendermaßen gelöst. Ich habe im abgesicherten Modus mit Spybot - Search & Destroy den PC gescannt, danach in der Systemsteuerung meine Startseite definiert, Cookies und temporäre Internetdateien gelöscht. Danach habe ich den PC neu gestartet und das Problem war behoben. Spybot - Search & Destroy bekommt man unter: http://www.safer-networking.org/de/

Grüße an alle "Leidensgenossen".

#10 nidoking

ich bezweifel ernsthaft , dass Spybot das Problem aus der Welt geschafft hat, z

und scanne mit panda, da siehst du den Rest.
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Funktioniert es denn auch unter Windows 98? Zumal im FAT/FAT32-Dateisystem keine Meta-Daten gespeichert werden, glaube ich...
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#12 ja, ja, erwischt....ich hab das Win98 nicht mehr gesehen ich denke nein, ADS Spy: wird nicht funktionieren
__________
MfG Sabina

rund um die PC-Sicherheit

#13 @managor

Zitat

Funktioniert es denn auch unter Windows 98?

Meinst Du Spybot oder panda?

@Sabina

Zitat

ADS Spy: wird nicht funktionieren

Was genau meinst Du damit? Hast Du nicht panda empfohlen. Was ist ADS Spy?

Sorry, dass ich diese Fragen stelle, aber ich kann als "Nicht-Fachmann" - der ich nun mal bin - mit diesen Infos nicht viel anfangen.

Danke für Euer Verständnis.

#14 Hallo nidoking,

scanne mit Panda, wie Sabina empfohlen hat. Das andere war nur ein kleines Gespräch zwischen Sabina und mir (ich schätze, wir brauchen sowas hin und wieder mal )
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#15 Alles klar, dann werd ich mich mit dem onlinescanner beschäftigen. Das einzige was nach Spybot immer wieder kommt ist, dass mein PC immer irgend ein Programm downloaden will, was ich aber immer abgebrochen habe, da es mir nicht vertrauenswürdig erschien. Nachfolgend das Fester mit der Downloadaufforderung.

[img]C:\WINDOWS\Desktop\Your computer might be at risk.jpg[/img]

Schönen Abend noch.

MfG

------------------------------------------------------------------

Uuups, hat wohl nicht geklappt, mit dem Fenster. ?!?

Ich probiers so:

Dateiname: CHMhelp.chm

Dateityp: Kompilierte HTML-Hilfedatei

von: searchclick.cc