Hatte nen cws Hijacker, IE funzt nicht richtig

#1 Hi,

ich hatte nen CWS Hijacker auf meinem Laptop. Es war BHO / www.incredifind.com. Immer wenn ich aus Outlook heraus einen Link aus einer Mail angeklickt habe, wurde mir die Seite www.incredifind.com/ geöffnet. Nun habe ich mir heute morgen HijackThis heruntergeladen und damit mal gescannt. Habe dann alles wo etwas von der Adresse drin stand von dem Tool Fixen lassen. Nun habe ich aber noch ein Problem. Wenn ich nun aus Outlook einen Link anklicke, öffnet sich der IE und zeigt die Seite an, "Die Seite kann nicht angezeigt werden" in der Adressleiste des IE steht dann http:///
Wenn ich eine Adresse normal in die Adresszeile eingebe zeigt er diese ohne probleme an.Habt ihr eine Idee wodran das liegen könnte?

Ich poste hier gleich mal das Protokoll von HijackThis.

**********************************************************
StartupList report, 08.03.2004, 11:27:32
StartupList version: 1.52
Started from : C:\Installs\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOINTGR.EXE
C:\Programme\Browser MOUSE\mouse32a.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Common files\updater\wupdater.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Installs\HijackThis.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

SO5 Integrator Pass Two = C:\WINDOWS\SOINTGR.EXE
REGSHAVE = C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
FLMOFFICE4DMOUSE = C:\Programme\Browser MOUSE\mouse32a.exe
SunJavaUpdateSched = C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
updater = C:\Programme\Common files\updater\wupdater.exe
Belt = C:\WINDOWS\Belt.exe
ccApp = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
ccRegVfy = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
Advanced Tools Check = C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
ICQ Lite = C:\Programme\ICQLite\ICQLite.exe -minimize

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

ICQ Lite = C:\Programme\ICQLite\ICQLite.exe -trayboot

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

**********************************************************

Logfile of HijackThis v1.97.7
Scan saved at 11:30:01, on 08.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOINTGR.EXE
C:\Programme\Browser MOUSE\mouse32a.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Common files\updater\wupdater.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Installs\HijackThis.exe
C:\WINDOWS\System32\notepad.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.kle.net
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.kle.net/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [updater] C:\Programme\Common files\updater\wupdater.exe
O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.kle.net
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} - http://www.netpaloffers.net/NetpalOffers/DMO1/pdfzzy.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37957.1511342593
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://www.service-url.de/install/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{566D5D10-929B-4850-85F2-E99AF67DE766}: NameServer = 192.168.0.1
**********************************************************
Ich hoffe ihr könnt mir helfen.

GRuß
EN-R-G

#2 Fix das hier noch:

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [updater] C:\Programme\Common files\updater\wupdater.exe
O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://www.service-url.de/install/StarInstall.ocx

Nach einem Neustart diese Datei bitte loeschen: C:\WINDOWS\Belt.exe
und nocht vergessen Windows zu aktualisieren!
__________
MfG Ralf
SEO-Spam Hunter

#3 Hi,

erstmal vielen dank für deine Antwort.Leider hat das nichts an meinem Problem geändert. Immer noch das gleiche Problem, obwohl ich gemacht habe was du gesagt hast. Windows ist auch auf dem neusten Stand.

gruß EN-R-G

#4 Hm, obwohl ich nicht glaube, das das ein CWS ist, versuche es mal mit CWshredder http://www.spywareinfo.com/~merijn/files/CWShredder.exe .

bzw: http://board.protecus.de/t9373.htm

Passiert das nur aus Outlook heraus?
__________
MfG Ralf
SEO-Spam Hunter

#5

Zitat

EN-R-G postete
Wenn ich nun aus Outlook einen Link anklicke, öffnet sich der IE und zeigt die Seite an, "Die Seite kann nicht angezeigt werden" in der Adressleiste des IE steht dann http:///

Passiert das nur bei einer bestimmten EMail oder ist das grundsätzlich so.
Vielleicht ist der Link in der EMail einfach fehlerhaft.

Schick dir doch einfach selber mal 'ne EMail mit einem Link.
und schau ob der futzt.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#6 Hi,

also ich habe nun alle Programme in der Reihenfolge installiert und ausgeführt,wie auf der Seite von raman beschrieben. Zwar haben paar Programme noch was gefunden, aber das Problem besteht immer noch. Allerdings ist das Problem nun schon sehr eingeschränkt. Und zwar ist tritt das Problem nur noch auf, wenn ein Link aus Outlook Express heraus angeklickt wird. Klicke ich einen Link aus ICQ heraus an geht es.Die Links aus Outlook Express heraus funktioniert, weil wenn ich diese kopiere und dann in die Adressleiste des IE einfüge, wird die richtige seite geöffnet.Also muss der Fehler irgendwo in Outlook Express liegen.

Hat jemand vielleicht noch eine Idee?

Vielen Dank für Eure Hilfe.

GRuß
EN-R-G

#7 Schau mal hier (Achtung Englisch)
http://www.slipstick.com/addins/gallery/index.htm#mailto
http://www.slipstick.com/outlook/esecup.htm#attsec

Scheint ein Sicherheits-"Feature" von Outlook zu sein.
In den Texten steht so was wie: Unsichere "Links zu Dateien" (html-Links sin i.P. auch Dateien) können aus Outlook nicht geöffnet werden.


Offentlich hilfts weiter!

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#8 Suche mal auf deinen Laufwerken nach einer Datei mit Namen: extend.dat und loesche sie, bzw benenne sie um. Wir versuchen ja alles!
__________
MfG Ralf
SEO-Spam Hunter

#9 @paff, ich glaube nicht das es etwas mit einem Feature zu tun hat. Es ging vorher bei jedem Link. Und es sind Mail von Vertrauenswürdigen Versandhäusern.

@raman, leider oder zum Glück, wie auch immer wurde so eine Datei nicht auf meinem System gefunden. Hast du vielleicht noch eine Idee?

Hat wirklich keiner von euch noch eine Idee?