IE und Hijacker

Dieses Thema IE und Hijacker im Forum "Sonstiges rund ums Internet" wurde erstellt von IchausE, 15. Juli 2004.

Thema: IE und Hijacker Hallo Virenkenner, hab mir wieder einen Hijacker eingefangen und zwar einen der ganz besonderen Härte !! Habe...

  1. Hallo Virenkenner,

    hab mir wieder einen Hijacker eingefangen und zwar einen der ganz besonderen Härte !! Habe schon alles versucht mit CWSHredder und HijackThis, aber immer wieder ist die Startseite im Explorer geändert!!
    Das Protokoll sieht so aus
    Logfile of HijackThis v1.98.0
    Scan saved at 23:43:07, on 15.07.2004
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\nvsvc32.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\syswg32.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\anvshell.exe
    C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
    C:\WINNT\winiz32.exe
    C:\WINNT\system32\qmhgnmsd.exe
    C:\Programme\Bargain Buddy\bin\bargains.exe
    C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\paat.exe
    C:\WINNT\system32\ribnzus.exe
    C:\Programme\CASIO\Photo Loader\Plauto.exe
    C:\Programme\Corel\Graphics9\Register\Remind32.exe
    E:\Programme\HijackThis.exe

    F0 - system.ini: Shell=
    F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
    O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINNT\twaintec.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {60E45899-6847-1231-1A42-11A72846F61C} - C:\WINNT\system32\apito.dll
    O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINNT\Downloaded Program Files\bridge.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [anvshell] anvshell.exe
    O4 - HKLM\..\Run: [LiveNote] livenote.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
    O4 - HKLM\..\Run: [winiz32.exe] C:\WINNT\winiz32.exe
    O4 - HKLM\..\Run: [RunDLL] rundll32.exe C:\WINNT\Downloaded Program Files\bridge.dll,Load
    O4 - HKLM\..\Run: [pqtrmtw] C:\WINNT\system32\qmhgnmsd.exe
    O4 - HKLM\..\Run: [Bargains] C:\Programme\Bargain Buddy\bin\bargains.exe
    O4 - HKCU\..\Run: [Rctw] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\paat.exe
    O4 - HKCU\..\Run: [Kgeya] C:\WINNT\system32\ribnzus.exe
    O4 - Startup: Corel Registration.lnk = C:\Programme\Corel\Graphics9\Register\Remind32.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
    O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http:xxstatic.flingstone.com/cab/2000XP/CDTInc/bridge.cab
    O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
    O17 - HKLM\System\CS1\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
    O17 - HKLM\System\CS2\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
    O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll

    Hoffe mir kann jemand helfen, danke schon mal im vorraus!!

    Gruß Thorsten
     
  2. hp
    hp
    O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINNT\twaintec.dll

    fixen

    O2 - BHO: (no name) - {60E45899-6847-1231-1A42-11A72846F61C} - C:\WINNT\system32\apito.dll

    nichts darüber gefunden, würde ich fixen

    O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINNT\Downloaded Program Files\bridge.dll
    O4 - HKLM\..\Run: [RunDLL] rundll32.exe C:\WINNT\Downloaded Program Files\bridge.dll,Load
    O4 - HKLM\..\Run: [pqtrmtw] C:\WINNT\system32\qmhgnmsd.exe
    O4 - HKLM\..\Run: [Bargains] C:\Programme\Bargain Buddy\bin\bargains.exe

    fixen

    über

    O4 - HKLM\..\Run: [winiz32.exe] C:\WINNT\winiz32.exe
    O4 - HKCU\..\Run: [Rctw] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\paat.exe
    O4 - HKCU\..\Run: [Kgeya] C:\WINNT\system32\ribnzus.exe

    hab ich nichts genaues rausgefunden, würde ich fixen


    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http:xxstatic.flingstone.com/cab/2000XP/CDTInc/bridge.cab
    O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll

    fixen

    dann noch cwshredder, ad-aware, spybot und ein viren/trojanerscanner über dein system laufen lassen, dann sollte wieder alles ok sein...

    greetz

    hugo

    Link flingstone geändert
     
  3. suspekt, mal in den Eigenschaften (Version) der Datei schauen, ob du Infos bekommst.

    hier auch mal schauen

    auch hier

    Bargains Spyware
    http://www.doxdesk.com/parasite/BargainBuddy.html

    suspekt

    suspekt

    Twain-Tech adware
    http://www.pestpatrol.com/PestInfo/t/twain-tech.asp

    suspekt

    WinFavorites (Flingstone Bridge) Spyware
    http://securityresponse.symantec.com/avcenter/venc/data/adware.winfavorites.html
    http://www.2-spyware.com/file-bridge-exe.html
    http://www.neuber.com/taskmanager/deutsch/prozess/bridge.dll.html

    suspekt

    WinFavorites Spyware, siehe oben

    suspekt

    Bargains Spyware, siehe oben

    suspekt


    Sun Java Konsole
    http://www.wintotal.de/softw/?id=1522

    Sun Java Konsole

    Alexa
    http://www.wintotal.de/Tipps/Eintrag.php?TID=384

    Bridge Spyware, siehe oben

    keine Ahnung ???

    TrojanDownloader
    http://www.kephyr.com/spywarescanner/library/msopt/index.phtml

    es fehlen die R0 R1 R2 R3 Einträge (Startseiten)

    hast du einen Dienst (Systemsteuerung/Verwaltung/Dienste), der Network Security Service heißt?

    pan_fee
     
  4. Hallo Helfer,

    habe heute leider keine Zeit mehr, aber werde morgen die Tipps ausprobieren!!
    Ich hoffe es klappt, werde dann hier berichten!!
    Danke für die Unterstützung!!

    Gruß Thorsten
     
  5. hallo Helfer,

    leider haben die Tipps nicht ausgereicht :-( Die Startseite blieb!!
    Habe dann den Tipp befolgt und HSRemove benutzt und siehe da, der Fehler war weg, die Startseite war eine andere!!!
    Aber...... in kürzester Zeit war die startseite wieder geändert und es war wieder HS oder wie er auch immer heißt drauf !!
    Habe es jetzt wieder mit HSRemove gelöscht und mit HiJacker wieder kopiert, was jetzt noch aktiv ist, es muss doch irgendwas aus dieser Liste sein!!
    Danke schon mal für die Hilfe !!!

    Gruß Thorsten

    Logfile of HijackThis v1.98.0
    Scan saved at 16:07:12, on 18.07.2004
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\nvsvc32.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\syswg32.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\anvshell.exe
    C:\Programme\CASIO\Photo Loader\Plauto.exe
    C:\Programme\Corel\Graphics9\Register\Remind32.exe
    D:\Programme\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://hsremove.com/done.htm
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://hsremove.com/done.htm
    R3 - Default URLSearchHook is missing
    F0 - system.ini: Shell=
    F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {4A6D1988-71C3-A539-5C8C-D7A0FC7D6CAC} - C:\WINNT\system32\addlh32.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [anvshell] anvshell.exe
    O4 - HKLM\..\Run: [LiveNote] livenote.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [apirl32.exe] C:\WINNT\system32\apirl32.exe
    O4 - HKLM\..\Run: [netrk32.exe] C:\WINNT\system32\netrk32.exe
    O4 - HKLM\..\Run: [iezd.exe] C:\WINNT\system32\iezd.exe
    O4 - Startup: Corel Registration.lnk = C:\Programme\Corel\Graphics9\Register\Remind32.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
    O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
    O17 - HKLM\System\CS1\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
    O17 - HKLM\System\CS2\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
    O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll
     
  6. hast du nun diesen Dienst? Wenn ja, deaktivieren.
    Versuch es mal mit der home_search_remove.reg
    http://www.wintotal.de/Tipps/Eintrag.php?TID=873
    (ziemlich weit unten)
    -----------------------------------
    die Dateien im abgesicherten Modus löschen
    -----------------------------------

    Alexa Spyware
    http://www.wintotal.de/Tipps/Eintrag.php?TID=384

    Alexa Spyware

    TrojanDownloader
    http://www.kephyr.com/spywarescanner/library/msopt/index.phtml

    pan_fee
     
  7. Hallo pan_fee !!

    Network security service wird bei den Diensten nicht aufgeführt.
    syswg32 lässt keinen Prozessabschluss zu, Datei ist im Explorer auch nicht löschbar !!
    Die anderen Hiweise hab ich ausgeführt, aber leider .... ohne Erfolg.
    Hab noch einmal mit HijackThis das Protokoll gemacht und man sieht das die Links schon wieder hinterlegt sind!!!
    Wenn euch noch was einfällt, sag ich wieder danke !!


    Logfile of HijackThis v1.98.0
    Scan saved at 18:51:47, on 18.07.2004
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\nvsvc32.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\syswg32.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\anvshell.exe
    C:\WINNT\system32\apirt.exe
    C:\Programme\CASIO\Photo Loader\Plauto.exe
    C:\Programme\Corel\Graphics9\Register\Remind32.exe
    C:\Programme\Internet Explorer\iexplore.exe
    D:\Programme\HijackThis.exe
    C:\WINNT\system32\rundll32.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://hsremove.com/done.htm
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res:xxostvd.dll/index.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res:xxC:\WINNT\ostvd.dll/sp.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res:xxC:\WINNT\ostvd.dll/sp.html#96676
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res:xxostvd.dll/index.html#96676
    R3 - Default URLSearchHook is missing
    F0 - system.ini: Shell=
    F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {4A6D1988-71C3-A539-5C8C-D7A0FC7D6CAC} - C:\WINNT\system32\addlh32.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [anvshell] anvshell.exe
    O4 - HKLM\..\Run: [LiveNote] livenote.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [apirt.exe] C:\WINNT\system32\apirt.exe
    O4 - HKLM\..\RunOnce: [atluv32.exe] C:\WINNT\system32\atluv32.exe
    O4 - HKLM\..\RunOnce: [syswg32.exe] C:\WINNT\system32\syswg32.exe
    O4 - HKLM\..\RunOnce: [sdkxz32.exe] C:\WINNT\sdkxz32.exe
    O4 - Startup: Corel Registration.lnk = C:\Programme\Corel\Graphics9\Register\Remind32.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
    O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
    O17 - HKLM\System\CS1\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
    O17 - HKLM\System\CS2\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
    O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll


    ein paar Links unkenntlich gemacht
     
  8. funzt nicht? (F8 beim Starten drücken) ???

    ??? :-\

    das Entfernungstool »Cleaner SpHjfix.exe« hilft auch nicht?
    http://www.wintotal.de/Tipps/Eintrag.php?TID=873
    hast du mal die reg-Datei home_search_remove.reg gestartet?

    pan_fee
     
  9. Hallo pan_fee !!

    Es könnte nun endgültig geklappt haben!! Nachdem ich dank deines Tipps die C:\WINNT\system32\syswg32.exe im gesicherten Modus löschen konnte (man lernt dazu, danke dafür ;-) und dann noch alle Anwendung wie hijack, CoolWebShredder und home_search_remove.reg durchgezogen hab, war es bis jetzt Ruhe im Schacht !! Allerdings will ich auch erst mal abwarten, denn ich misstraue dem Sch....... noch !! ;-)
    Aber trotzdem Danke für die Unterstützung, es war genial, wie schnell einem geholfen wird, macht weiter so !!

    Gruß Thorsten
    :-*
     
  10. Ich habe das gleiche Problem. Ich hab schon einiges probiert. Die Startseite wird nach einiger Zeit immer wieder zurückgesetzt. Weiß jemand welche Datei dafür verantwortlich ist?

    Gruß
     
Die Seite wird geladen...

IE und Hijacker - Ähnliche Themen

Forum Datum
grundsatz-frage was Viren, Trojanern, Spyware, Hijackern etc. bertrifft Viren, Trojaner, Spyware etc. 28. Feb. 2009
virus/hijacker? hhttp://quatangtraitim.us/tf Windows XP Forum 16. Okt. 2006
Browser-Hijacker Viren, Trojaner, Spyware etc. 27. Sep. 2005
sp.html Hijacker und Entfernungstool Viren, Trojaner, Spyware etc. 15. Apr. 2005
HiJacker "nowfind.net" Viren, Trojaner, Spyware etc. 4. Jan. 2005