Üble Malware/Hijacking - harte Nuss - Adaware und Spybot erkennen nichts.

Dieses Thema Üble Malware/Hijacking - harte Nuss - Adaware und Spybot erkennen nichts. im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Seuchenopfer, 9. Dez. 2004.

Thema: Üble Malware/Hijacking - harte Nuss - Adaware und Spybot erkennen nichts. Hallo, nun habe ich auch die Seuche. Ad-Aware, Spybot, Antivir, versch. Onlinescanner und C...Sradder oder wie das...

  1. Hallo,

    nun habe ich auch die Seuche. Ad-Aware, Spybot, Antivir, versch. Onlinescanner und C...Sradder oder wie das heißt helfen nicht:

    Die Startseite wird andauernd auf http://www.hotoffers.info/a0002/ geändert. Alle paar Minuten erschein ein Windows-Fenster mit dem Hinweis man sei verseucht und solle sich doch was runterladen. Zu diesem hotoffers-Mist findet Google z.Zt. gar nichts, die ganzen Scanner auch nicht. Wenn ich Hijackthis bemühe und die Startseite ändere, wird die Änderung sofort Rückgängig gemacht. Das schlimmste: Auch im abgesicherten Modus hält sich das Ding wacker. Ich vermute irgendeine DLL sorgt dafür, dass ich keine Ruhe mehr habe. Hier das Protokoll:

    Logfile of HijackThis v1.97.7
    Scan saved at 20:48:50, on 09.12.2004
    Platform: Windows 2000 SP3 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\SAFEGUARD\SGEASY\SGECTL.EXE
    C:\WINNT\System32\ibmpmsvc.exe
    C:\WINNT\System32\S24EvMon.exe
    C:\Programme\Sygate\SPF\smc.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\WINNT\System32\Ati2evxx.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINNT\system32\hidserv.exe
    C:\WINNT\System32\ibmsmbus.exe
    C:\WINNT\System32\QCONSVC.EXE
    C:\WINNT\System32\RegSrvc.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\System32\tcpsvcs.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\System32\mspmspsv.exe
    C:\WINNT\Explorer.EXE
    C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
    C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
    C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
    C:\SAFEGUARD\SGEASY\ECVIEW.EXE
    C:\WINNT\System32\TpShocks.exe
    C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
    C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
    C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
    C:\Programme\iRiver\iHP100\iHPDetect.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\WINNT\System32\RunDll32.exe
    C:\Programme\Rainlendar\Rainlendar.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Downloads\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/a0002/
    O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
    O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
    O4 - HKLM\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
    O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
    O4 - HKLM\..\Run: [EDWizard] C:\SAFEGUARD\SGEASY\EDWIZARD.EXE as
    O4 - HKLM\..\Run: [SgeEcView] C:\SAFEGUARD\SGEASY\ECVIEW.EXE
    O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
    O4 - HKLM\..\Run: [QCTray] C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
    O4 - HKLM\..\Run: [TotalRecorderScheduler] C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
    O4 - HKLM\..\Run: [iHP-100] C:\Programme\iRiver\iHP100\iHPDetect.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
    O4 - HKCU\..\Run: [Wsas] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\esrs.exe
    O4 - HKCU\..\Run: [SpySweeper] C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe /0
    O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
    O9 - Extra->Tools' menuitem: Sun Java Konsole (HKLM)
    O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www.ibm.com/pc/support/access/aslibmain/content/IbmEgath.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C5F8344B-77AA-43BE-9850-79077CC2DED9}: NameServer = 192.168.0.1


    Der fettgedruckte Eintrag ist immer wieder da. Ich kann mich auf den Kopf stellen. Wie soll ich bloß dieses neue oder seltene Stück Dreck Programmierkunst entfernen? Hilfe! :-X
     
  2. HO HO HO! ;D ;D ;D

    Nach ein paar Stunden Arbeit... Ich habe die Lösung. Für alle, die mal über Google auf diesen Thread stoßen und sich über die Antwort freuen werden...

    Mit dem Tool RegMon habe ich mir angesehen, was so mit der Registry passiert. Und siehe da - etwa jede Sekunde werden die entsprechenden Schlüssel für den Internetexplorer überschrieben - daher erklärt sich auch die gute Auslastung der CPU, wenn auch noch ein anderes Programm an diese Schlüssel wollte. Dummerweise handelte es sich bei dem Programm, das die Einträge dauernd veränderte um explorer.exe (deshalb half wohl auch der abgesicherte Modus nicht). Ich dachte mir schon es müsste irgendeine DLL sein. Dann hatte ich die rettende Idee:

    Ich habe mir dieses nervige Dialogfenster angesehen und ein spezifisches Textstück in die Dateisuche als zu enthaltener Text gegeben (*dll in system32). Und siehe da: systr.dll ist der Übeltäter - die hotoffers-Adresszeile, die der IE dauernd verpasst bekam stand sogar lesbar drin.

    Da die Datei verwendet wurde, nutzte ich die Funktion bei der neusten Version von Hijackthis zum Löschen der Datei beim nächsten Start. Und nun: RUHE!!! :D

    ALSO: In solchen Fällen einfach mal die DLLs nach Textpassagen durchsuchen.
    FROHE WEIHNACHTEN :)
     
  3. Das war wohl nichts... also nochmal:

    Firefox stellt viele Seiten nicht so dar, wie es gedacht ist. Zudem fehlen zugunsten der Sicherheit Features wie z.B. ActiveX, was beim Windows-Update vorteilhaft ist. Insgesamt konnte ich mich bisher mit keinem Alternativ-Browser anfreunden.
     
  4. Ansichtssache: Der Internet Exploder stellt viele Seiten so dar, wie der Autor sie gerne hätte aussehen lassen wollen, wenn sein Quelltext denn korrekt wäre.
    Soll heissen: Der IE ist definitiv um einiges fehlertoleranter als andere Browser, was nicht unbedingt zur Vermehrung der Websites mit validem HMTL-Code geführt hat....

    Btw sind die kleinen, feinen Darstellungsunterschiede in SELFHTML beschrieben.....

    Cheers,
    Joshua
     
  5. Das kann man so nicht sagen. Wenn die Seiten so erstellt wurden, wie sie gedacht sind, dann klappt das auch.

    Ähm, ActiveX hat sich siet Jahren als Sicherheitslücke bewährt. Andernfalls gäbe es auch diesen Thread nicht ;)
    Es ist aber richtig, dass die Windows Update-Seite ActiveX verwendet. Aber zu diesem Zweck kann man auf durchaus auf den IE zurückgreifen.

    Bye,
    Freudi
     
  6. Es lebe das Vorurteil: Nenne mir erst mal für dich relevante Seiten, die nicht korrekt dargestellt werden und dann zeige ich dir den fehlerhaften Code darauf. Allerdings wirst du dich wundern, wie viele das sind: grenzwertig Null.

    ActiveX: goggle mal mit dem Begriff, du wirst dich wundern.
    Hijacking: fast ausschließlich bei IE (s. hier im Forum). Warum wohl?

    Wie sagt der Lateiner: si tacuisses philosphus mansisses! :D
     
  7. Stimmt! Es betrifft in erster Linie EIGENE Seiten... Wenn ich mir gängige Seiten ansehe, scheint alles OK zu ein, allerdings wird man da den Quelltext auch sehr bedacht erstellt und die Kompatibilität zwischen den Browsern sichergestellt haben. Ansonsten finden sich sicherlich Seiten, die z.B. mit Dreamweaver/IE erstellt bzw. getestet wurden und in Firefox nicht mehr ganz gekonnt aussehen. Schon zu Zeiten als der Kampf zw. IE und Netscape tobte, hasste ich Netscape, weil der Browser eben NICHT so darstellte, wie gewünscht, aber mangels Funktionalität. Firefox erinnert mich daher wohl daran...

    Das ist der gleiche Mist wie mit Java. Als Microsoft die JVM einstellte und Sun zum Einsatz kam, machten Java-Applets Probleme.

    Ich habe den Browser ja noch drauf und teste mal. Melde mich, wenn es neue Erkenntnisse gibt.
     
  8. Ähem, bitte nicht Netscape (das war/ist eine andere Baustelle, die haben in den Navigatorzeiten auch ihre eigene Pampe angerührt).

    Firefox 1.0 dt., Mozilla 1.7.3 heissen die aktuellen Produkte und die haben mit Netscape Navigator 4.x gar nichts, aber wirklich gar nichts, gemein.

    Mehr Infos und download hier: http://www.mozilla-europe.org/de

    Zitat korrigiert
     
  9. Dann bin ich ja beruhigt und schreibe diese Nachricht mit MOZILLA FIREFOX :D
    Ist ja nicht übel...
     
Die Seite wird geladen...

Üble Malware/Hijacking - harte Nuss - Adaware und Spybot erkennen nichts. - Ähnliche Themen

Forum Datum
Double Commander Software: Empfehlungen, Gesuche & Problemlösungen 28. Feb. 2010
Windows Troubles Analyzer eingefangen Viren, Trojaner, Spyware etc. 1. März 2011
Unterschied zw. Double Layre DVD+R und DVD-R Audio, Video und Brennen 30. Dez. 2008
Fehler beim Brennen mit Double Layer Rohlingen! Audio, Video und Brennen 29. Dez. 2008
Double Layer Audio, Video und Brennen 5. Okt. 2008