Home » Allgemeines Security Forum » Hijacker-Datei aus IE5 raus, bloß wie ? » Themenansicht

Hijacker-Datei aus IE5 raus, bloß wie ?
#0
05.01.2004, 19:50
Hard
...neu hier

Beiträge: 1
#1 Hallo,

vorweg Sorry, dass dieser Post nicht in dem Forum "Viren, Trojaner & Malware Forum" ist, aber wenn ich da ein neues Thema erstellen wollte, wurde ich "rausgeschmissen / ausgeloggt".

Nun zu meinem Problem :
Kurze version :
Ich habe Links im IE 5 (vermutlich Hijacks), die ich nicht wegbekomme. Bin ich / mein Rechner gefährdet ? was kann ich tun, damit es weggeht ?
Lange Version :
Seit ein paar Tagen habe ich bei meinem Internet-Explorer 5.000.3315.100 (lt. Info beim IE - weicht ab zu Hijackthis-Log) (mit kumuliertem Sicherheitspatch mitte Dezember 2003) das Phänomen, dass in der Favoritenliste von mir nicht gewollte Links stehen zu "irgendwelchen"
Sex-Seiten.
Ich habe Ad-Aware 6.0 (Reference-File 01R245 03.01.2004) installiert.
Anscheinend erkennt Ad-Adware bei Aufruf des IE, dass da Spyware bzw. Hijacks installiert sind und setzt meine Startseite auf deren entsprechende Meldung (http://dotmaniac.com/fraud_domain/ bzw. http://aifind.cc/).
Wenn ich Ad-Aware laufen lasse, erkennt er auch 2 Dateien (Risk Low, Blacklistet Sites - was ist das ?), die ich löschen kann.
Antivir (neueste Version heut frisch gezogen mit definitionen usw.) habe ich auch, dass erkennt nix.
Spybot Search & Destroy 1.2 (mit frischen Updates) hat einiges gefunden, was gelöscht wurde.
Wenn ich die restlichen Links in den Favoriten lösche, danach die Systemzeit auf den nächsten Tag setze, dann sind alle Links mit den Sex-Seiten wieder da (Mist).

Hier das Protokoll von Hijackthis :

Logfile of HijackThis v1.97.7
Scan saved at 19:38:22, on 15.01.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
E:\Programme\Winamp3\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINNT\System32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\xxx\internet-download\Sicherheit\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aifind.cc/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aifind.cc/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://aifind.cc/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://aifind.cc/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\sec32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://aifind.cc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nocensor.com/start
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nocensor.com/start
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nocensor.com/start
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\sec32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\sec32.html
F2 - REG:system.ini: UserInit=C:\WINNT\System32\userinit.exe,C:\WINNT\System32\svcinit.exe
O1 - Hosts: 205.177.124.66 auto.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {DFA00689-F766-4AFB-A875-53C337A81608} - C:\WINNT\system32\fvukizif.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] "E:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Online Service] C:\WINNT\svchost.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2354C890-3350-11D5-85A7-0050DAEAEC2C} (DepthCharge Class) - http://vrex.com/depthcharge/DCActiveX/DCActiveX.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O19 - User stylesheet: C:\WINNT\hh.htt (HKLM)


Einiges kann ich mir erklären, sowas wie Adobe Acrobat oder gozilla, ich habe aber Angst einfach alles zu löschen.
- livenote ist vermutlich Grafikkartenupdate Asus bzw. nvida
- http://aifind.cc/ kommt durch Ad-aware zur Warnung

- Bei O1 - Hosts: 205.177.124.66 auto.search.msn.com dem sagt Search @ Destroy Common Hijack Umleitung auf Host... keine Ahnung, ich vermute dass ist die Umleitung, wenn die WWW-Adresse nicht gefunden wird auf den MSN-Server.

----
Nachtrag :
Den Eintrag ...nocensor.com/star... habe ich per Hijackthis bereits gelöscht, da es auch eine Sex-Seite war (Mist), hat aber auch keine Verbesserung gebracht
-----


Kann ich den IE deinstallieren, um dass Problem zu beheben ?

Würde mich über Hilfe sehr freuen, Thx vorab !
-----------------------------------------------------------

Hab es geschafft,
nach stundenlangen Vergleichen der Dateien, einzeln online Virenprüfungen, extrem viel Forum lesen und andere Tools kam ich zu einem Forumbeitrag über
den Eintrag hh.hh bzw. hh.exe ein Verweis auf die Seite http://www.merijn.org/downloads.html
bei der ich den CWShredder gesaugt und laufen lassen hab (1x + Neustart + 1x). Dann war das Phänomen weg, dass die Links automatisch wiederkommen.
Das Hijackthis-Log sieht nun so aus :


Logfile of HijackThis v1.97.7
Scan saved at 22:00:17, on 06.01.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
E:\Programme\Winamp3\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\xxx\internet-download\Sicherheit\hijackthis\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {DFA00689-F766-4AFB-A875-53C337A81608} - C:\WINNT\system32\fvukizif.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] "E:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2354C890-3350-11D5-85A7-0050DAEAEC2C} (DepthCharge Class) - http://vrex.com/depthcharge/DCActiveX/DCActiveX.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


----
Das scheint mir besser zu sein.

Hab ich noch anderes was da nicht hingehört ?

Für mein Seelenfrieden wäre eine kompetente Antwort super, thx.
Dieser Beitrag wurde am 05.01.2004 um 22:03 Uhr von Hard editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1