ich krieg´s einfach nicht weg...

hallo erstmal an alle.
da ich schoen oefter beim googlen auf diese seite hier gestossen bin, habe ich mich nun auchmal hier registriert und bringe gleich ein hartnaeckiges problem mit.

heute morgen habe ich eine seite im internet angewaehlt, die mir einen haessliches browserhijacker installiert hat, den ich nicht mehr weg bekomme.
ich hab es schon mit etlichster software, wie Ad-Aware SE Personal, Spybot - Search & Destroy, Microsoft AntiSpyware, Hijackthis und dem CW-Shredder probiert. leider ALLES ohne erfolg. selbst das von hand loeschen aus der registry (HKLM/Software/Autoloader + HKLM/Software/Microsoft/InternetExplorer/AutoURL) half nix.

vielleicht hat jemand eine idee, wie ich dieses zeug raus bekomme und den BHO gleich mit. hier mein hijack.log:

Logfile of HijackThis v1.99.0
Scan saved at 11:09:58, on 06.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
D:\NEU\sicherheit\antispy etc\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unf-unf.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {F8A41687-4671-93F3-B27D-C8D3638165DA} - (no file)
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [Spyware Doctor] C:\Programme\Spyware Doctor\swdoctor.exe /Q
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Download Manager\dlselected.htm
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Download Manager\dllink.htm
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C:\Programme\Download Manager\dlpage.htm
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra->Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


bitte melden, wenn weitere infos benoetigt werden (spybot-suchergebnis o.ä.).


P.S. Ich gelobe feilerlich an dieser Stelle mich um einen Alternativbrowser zu kuemmern.


gruß der aSh

ich habe gerade ein thread entdeckt, indem folgendes beschrieben wurde:

zitat:
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

das sind einträge die stehen in der hosts datei drin. die steht unter %systemroot%\system32\drivers\etc und die mußt du mit dem notepad öffnen und alle eintrage bis auf den eintrag 127.0.0.1 localhost löschen ...

das habe ich ausgefuehrt und werde nun noch spybot, ad-aware und cw-shredder im abgesicherten modus durchfuehren.

viel glueck wuensch ich mir ;D.

es geht nicht:

spybot findet das hier :
--- Report generated: 2005-02-06 11:56 ---

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
  HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
  HKEY_USERS\S-1-5-21-1390067357-616249376-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
  HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
  HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

Common hijacker: Umgeleiteter Host (Umgeleiteter Host, fixed)
 

Common hijacker: Umgeleiteter Host (Umgeleiteter Host, fixed)
 

CoolWWWSearch.Bootconf: Umgeleiteter Host (Umgeleiteter Host, fixed)
 

CoolWWWSearch.Loadbat: Umgeleiteter Host (Umgeleiteter Host, fixed)
 

CoolWWWSearch.Msconfd: Umgeleiteter Host (Umgeleiteter Host, fixed)
 

CoolWWWSearch.Oslogo: Umgeleiteter Host (Umgeleiteter Host, nothing done)
 

CoolWWWSearch.Tapicfg: Umgeleiteter Host (Umgeleiteter Host, nothing done)
 

CoolWWWSearch.Xmlmimefilter: Umgeleiteter Host (Umgeleiteter Host, nothing done)
 

IGetNet: Umgeleiteter Host (Umgeleiteter Host, fixed)

kann es aber nicht beseitigen...

H I L F E !!

mein browser wird immer wieder umgeleitet. hierhin:


http://69.20.62.53/dns.php?url=www.wintotal-forum.de

aSh schrieb:

HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

HKEY_USERS\S-1-5-21-1390067357-616249376-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

Zum Vergrößern anklicken....

Spybot meldet DSO Exploit in Zones 1004!=W=3:
http://www.wintotal.de/Tipps/Eintrag.php?TID=959

pan_fee

aSh schrieb:

mein browser wird immer wieder umgeleitet.

Zum Vergrößern anklicken....

lies hier zum Thema DefaultPrefix/Prefixes:
http://www.wintotal.de/Tipps/Eintrag.php?TID=434

pan_fee

danke fuer deine hilfe.
es war ein wirklich hartnaeckiger hijacker, der sich im system32-ordner mithilfe staendigem neuerstellen von *.dll-dateien festgesetzt hat. das gemeine daran war, dass er den neu erstellten dateien immer wieder neue namen gegeben hat. so konnte ich die dateien im abgesicherten modus loeschen, so oft ich wollte.


naja, nun habe ich mittlerweile ein komplett neues system aufgesetzt und den ie in die ewigen jagdgruende geschickt und stromer nun mit dem firefox durch die internet-lande.


gruß

der aSh

aSh schrieb:

naja, nun habe ich mittlerweile ein komplett neues system aufgesetzt und den ie in die ewigen jagdgruende geschickt und stromer nun mit dem firefox durch die internet-lande.

Zum Vergrößern anklicken....

sorry, dein problem ist nicht der ie sondern du selber. der firefox schützt dich nur bedingt gegen solche malware, wenn du nicht selber mal dein surfverhalten überdenkst ...

greetz

hugo