Antivirus 2009 hat IE gehijacked

  • #1
L

liveinternet

Bekanntes Mitglied
Themenersteller
Dabei seit
06.11.2002
Beiträge
107
Reaktionspunkte
0
Ort
Malaga, Spanien
Jeder Seitenaufruf im IE7 führt dazu, dass die Seite blockiert wird (selbst MS-Seiten, auch update) und zur Sicherheit zum Kauf der Antivirus 2009 aufgefordert wird. Das Ganze ist nicht abschaltbar. Es taucht auch als 7installer oder AV9 auf; manuelles Löschen hilft leider nicht, auch nicht im regedit. AVG-Scanner erkennt es auch nicht.
Es ist zum Auswachsen :|
Kennt jemand dieses bösartige Ding???
 
  • #2
Hi,

wenn du deinen rechner bereinigen willst mach bitte folgendes:

lade bitte den (dss.exe) herunter und speichere ihn auf deinem Desktop.
NB: Du musst mit Administrator-Rechten angemeldet sein, um dieses Programm laufen lassen zu können.

1. Schließe ALLE Anwendungen und Fenster.
2. Mach einen Doppelklick auf die dss.exe um sie auszuführen und folge den Prompts.
3. Wenn der Scan vollendet ist, werden sich zwei Textdateien öffnen -

main.txt <- dieses wird maximiert dargestellt und
extra.txt <- dieses wird als minmierte Datei dargestellt
4. Kopiere (STRG+A und STRG+C) und füge (STRG+V) den Inhalt von main.txt und den Inhalt von extra.txt in deine nächste Antwort.

Die Logdateien können sehr lang werden. Daher lade die beiden files bitte bei fileupload.net hoch und poste mir hier den downloadlink.


mit dem programm kann ich tiefer in dein system schauen und einen bereinigungsplan erstellen, mit dem wir deine kiste wieder sauber bekommen :knuppel2: :1


gruß

schrauber
 
  • #3
Danke Schrauber, das mache ich gleich morgen früh!
 
  • #4
Hallo Schrauber,
die files habe ich produziert, aber was meinst du mit fileupload.net? Das ist ein Webhosting-Anbieter-Portal...!? Oder übersehe ich da was?[br][br]Erstellt am: 15.08.08 um 09:27:48
[br]Hallo Schrauber zum zweiten,
habe die files hochgeladen nach
Hoffentlich findest du etwas...!
 
  • #5
Hi,

hatte selten das vergnügen mir ein log in dieser schönen umgebung anzuschauen :). so aber nun an die arbeit, da haben wir genug von!

Hosts-Datei auf Standard zurücksetzen
Die HOSTS-Datei ist eine lokale Textdatei, welche der Aufgabe von DNS-Informationen nahe kommt. Diese Datei dient der festen Zuordnung von Hostnamen mit IP-Adressen. Über die Hosts-Datei kannst Du regeln, welche Webseiten nicht besucht werden können, weil sie z. B. boshaften Code enthalten. Das tut Spybot S&D z. B. über die Funktion Immunisierung. Dabei werden diese als boshaft bekannten Websites auf localhost umgeleitet und können dadurch nicht mehr besucht werden. Aus diesem Grund ist eine immunisierte Hosts-Datei manchmal irre lang und enthälte 1000de von Website-URLs.

Andererseits kann eine Hosts-Datei auch von Malware so manipuliert werden, dass Du z. B. nicht mehr auf die Windows-Update-Seite, Antiviren- oder sonstige wichtige Seiten kommst. Aus diesem Grund werden wir Deine Hosts-Datei mit dem folgenden Tool auf den Standard zurücksetzen.

Lade Dir HostsXpert
auf dem Desktop speichern und entpacken
  • Ordner HostsXpert öffnen
  • HostsXpert.exe doppelklicken
  • klicke auf Restore Microsoft's Hosts File, dann OK
Wenn sich die hosts Datei nicht ändern lässt:
C:\Windows\system32\DRIVERS\ETC\hosts =>
Rechte Maustaste auf die Datei hosts => Eigenschaften => dann Schreibgeschützt deaktivieren. Alternativ schauen, ob in Spybot Search&Destroy (umstellen auf Experten-Modus) unter IE-Spielereien die Option Host-Liste zum Schutz gegen HiJacker als schreibgeschützt sperren angehakt ist.

================

  • Lade das (SDFix.exe) (erstellt von AndyManchesta) herunter und speichere es auf deinem Desktop.
  • Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
  • Starte deinen Rechner neu auf, in den abgesicherten Modus.
  • Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
  • Gib ein Y ein, um den Reinigungsprozess zu beginnen.
  • Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
  • Nun wirst du darum gebeten, einen Taste zu drücken, damit dein Rechner neu aufstarten kann.
  • Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
  • Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
  • Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
  • Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
  • Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

================

Lade Combofix von einem der folgenden Download-Spiegel herunter:

- - jeweils nach den links noch Combofix.exe für den Direktdownload eingeben!

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.

Vorbereitung und wichtige Hinweise
  • Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme,
    die Firewall und evtl. vorhandenes Skript-Blocking deaktivieren.
  • der zu deaktivierenden Programme. Bei Unklarheiten bitte vorher fragen.
  • Bitte die Wiederherstellungskonsole nach dieser ausführlichen installieren.
    .
    RC1.gif

    .
  • Bitte während des Laufs von Combofix nicht in das Combofix-Fenster klicken.
  • Das könnte Dein System einfrieren oder hängen bleiben lassen.
  • Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
  • ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
  • Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder erneuern.
  • Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
  • Teile uns das mit und warte auf unsere Anweisungen.
Anwendung
  • Schließe alle Anwendungen, wenn Du Combofix laufen lässt.
  • Mache einen Doppelklick auf die ComboFix.exe und folge den Anweisungen.
  • Wird eine Infektion gefunden, startet Combofix den Rechner automatisch neu, um die Entfernung zu vervollständigen.
  • Schließe das Fenster von Combofix nicht, sonst wirst Du einen leeren Desktop zurück behalten.
  • Wenn der Scan beendet ist, wird ein Logfile erstellt, zu finden unter C:\ComboFix.txt
  • Nicht vergessen, die deaktivierten Programme wieder zu aktivieren!
  • Poste den Inhalt des Combofix-Logfiles hier in den Thread.
Hinweis für Mitleser

Bitte Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!



gruß

schrauber
 
  • #6
Hola Schrauber,
dann schau mal in , wenn du was Schönes sehen willst (ich muss da jeden Tag draufschauen hihi...).
Danke für deine Hilfe, ich gehe das schrittweise an. Das SDFix gibt es leider nicht mehr bei andymanchesta; kannst du es posten?
 
  • #7
ich darf hier keine deeplinks posten. Klicke nicht auf links, kopiere sie in den Browser inkl. dem Teil dahinter in den Klammern.
 
  • #8
Sorry Schrauber, wusste ich schlicht nicht. Jetzt hats geklappt.
Teil 1 erledigt, Host Datei auf Standard gesetzt. Hat nichts gebracht, FF und IE sind wie vorher.
 
  • #9
das sind ja nur teilschritte. mach alles aus obiger anleitung, danach gehts weiter.
 
  • #10
Schrauber, ich befördere dich zum Schrauber-Meister ! mml mml mml
Keine Ahnung wie das nun gelaufen ist, aber der Hijacker ist weg, MS-Update läuft wieder und auch FF-Google findet wieder alle Seiten und funzt schnell wie immer. SUPER, ich bin froh! Danke nochmal!
Die reports habe ich hochgeladen. Combofix hat nach dem reboot eigentlich nichts mehr gemacht, weil Spybot (hatte ich irgendwie nicht ganz deaktiviert bekommen) wohl dazwischen gefunkt hat, es kam jedenfalls eine Meldung.

Solltest du noch sehen können, wie der bug mit dem vermaldeiten Norton Ghost/MSinstaller zu beheben ist, wäre das noch was obendrauf (das Ding ärgert halt immer und ich kriege ihn nicht weg).
Ciao, maestro!
 
  • #11
ich schau heut abend drüber, bin grad im stress, aber das war mit sicherheit noch nicht alles. symptome weg heißt nicht malware weg. aber wir machen fortschritte :)[br][br]Erstellt am: 15.08.08 um 16:45:09
[br]Teatimer abstellen
Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt. Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
Starte Spybot S&D => stelle im Menü Modus den Erweiterten Modus ein => klicke dann links unten auf Werkzeuge => klicke auf Resident => das Häkchen entfernen bei Resident TeaTimer (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten.

==============

Bitte lasse den Deckards System Scanner (DSS) erneut laufen, gehe dafür wie folgt vor:
  • Schließe alle Anwendungen und Fenster.
  • Start => ausführen => dort reinschreiben: %userprofile%\desktop\dss.exe /config
  • Es wird sich ein Konfigurations-Fenster öffnen
    => bitte bei allen Punkten einen Haken machst (alternativ CheckAll anklicken).
    => Klicke anschließend auf den Button Scan.
  • Es öffnet sich ein kleines Fenster, in welchem Du gefragt wirst, welches HJT verwendet werden soll.
  • Ignoriere das und warte 30 Sekunden, dann beginnt der Scan automatisch.
  • Wenn der Scan beendet ist, öffnet sich Dein Editor mit dem
    C:\Deckard\System Scanner\main.txt und dem
    C:\Deckard\System Scanner\extra.txt (minimiert).
  • Poste bitte beide Logdateien hier.


bzw lade sie wieder hoch, aber lösch die alten vorher bitte. wegen der übersichtlichkeit :)
 
  • #12
So geschehen, Teatimer ist abgestellt und Logs sind hochgeladen.
Ich kann nur sehen, dass der blöde Norton immer noch an 3 Stellen auftaucht (obwohl deinstalliert und manuell viele Dateien gelöscht); hartnäckig das Teil.
Warum das System nach dem BIOS-PW erst 2 mal erfolglos versucht, die Festplatte zu scannen, ist mir allerdings schleierhaft (C..., D...konnte nicht erkannt werden...). Nach 20 sec. startet dann Windows ganz normal und läuft OK.
Bin gespannt...
 
  • #14
thx Athene :)

logs schau ich mir gleich an.
 
  • #15
File Associations (registrierte Dateitypen) in Ordnung bringen
Bitte lasse den Deckards System Scanner (DSS) erneut laufen, gehe dafür wie folgt vor:
  • Schließe alle Anwendungen und Fenster.
  • Stelle sicher, dass sich die dss.exe auf Deinem Desktop befindet.
  • Start => ausführen => dort reinschreiben: %userprofile%\desktop\dss.exe /daft
  • Das wird DSS auf eine besondere Weise öffnen.
  • Es öffnet sich ein weißes Fenster, klicke auf Scan.
  • Nun werden Dir ein oder mehrere rot gekennzeichnete Datei-Endungen angezeigt.
  • Mache vor jede Datei-Endung ein Häkchen und klicke auf Fix.
  • Klicke nun auf Save Log und speichere das Logfile auf dem Desktop.
  • Poste das Logfile hier in den Thread.

===========

Dienst beenden:
Start => ausführen => cmd.exe => OK. In der Dos-Box nacheinander die folgenden Befehle ausführen:

Code: 
sc stop GBPoll
sc delete GBPoll
sc stop GBDevice
sc delete GBDevice
sc stop GoBack2K
sc delete GoBack2K
sc stop GBFSHook
sc delete GBFSHook
sc stop catchme
sc delete catchme
exit
Rechner neu starten.

================

Dateien mit OTMoveIt verschieben Bitte lade Dir (OtMoveIt2.exe) herunter.
  • Speichere das Programm auf Deinem Desktop.
  • Doppelklick auf die OTMoveIt2.exe, um das Programm auszuführen.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTMoveIT-Box mit dem gelben Titel (Paste List Of Files/Folders to Move)
Code: 
[b] 
C:\WINDOWS\system32\DJQqAcdd.ini2
C:\WINDOWS\system32\hptfaykx.dll
C:\WINDOWS\system32\ddcAqQJD
C:\WINDOWS\system32\mlamxhdf.dll
[/b]
  • Einen Haken setzen bei Unregister Dll's and Ocx's
  • Den roten Moveit! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren oder
  • den Inhalt der Datei C:\_OTMoveIt\MovedFiles\<datum_nr.>.log kopieren und das Ergebnis in Deine nächste Antwort posten.
  • Die Dateien und/oder Ordner werden nach C:\_OTMoveIt\MovedFiles\ verschoben.
  • Schließe OTMoveIt
Sollte eine Datei oder ein Ordner nicht verschoben werden können, wirst Du eventuell aufgefordert, den PC neuzustarten damit der Prozess abgeschlossen werden kann. Sollte dies der Fall sein, bestätige das mit Ja.

==============

Kopiere den Text in der Codebox in deinen Editor (z.B. Notepad) und speichere es unter dem Namen regfix.reg (bei Dateityp bitte alle Dateien wählen)

Code: 
Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{88d8da6a-fb85-4c1f-9747-68cee68c95b4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F90CE40C-1588-42F3-8A4D-4507A5F7BA2F}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FFFB03AD-A461-4B99-9A23-D3B127D7C995}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
BM0f5c1e56=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ABEURO=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\opnopOHW]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages=-
Authentication Packages=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\
 00
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
0c6f2dca=-

Starte die regfix.reg duch Doppelklick.

============[br][br]Erstellt am: 15.08.08 um 19:20:10
[br]Deine Javaversion ist nicht aktuell. Da einige Schädlinge (z. B. Vundo) über Java-Exploits in das System eindringen, deinstalliere zunächst alle vorhandenen Java-Versionen über Start => Programmzugriff und Standards => Programme ändern oder deinstallieren. Lösche nun folgende Ordner (falls noch vorhanden) und leere den Papierkorb, damit alle Reste der Vorgänger-Versionen entfernt werden:
  • C:\Programme\JAVA
  • C:\Windows\Sun
  • C:\Dokumente und Einstellungen\*Dein Benutzername*\Anwendungsdaten\Sun
  • C:\Dokumente und Einstellungen\*evtl. weiterer Benutzername*\Anwendungsdaten\Sun
  • Vista User = C:\Users\*dein Benutzername*\AppData\LocalLow\Sun
  • Achtung: nicht C:\Windows\Java
Starte den Rechner neu.

Downloade nun Java (Java Runtime Environment (JRE) 6 Update 7) von und installiere es. Vor dem Download musst Du die Lizenzbedingungen akzeptieren, indem Du Accept License Agreement aktivierst.

================

Dein Adobe Reader ist nicht aktuell, deinstalliere die alte Version über Start => Programmzugriff und -standards => Programme ändern oder deinstallieren, klicke dort Adobe Reader x.0 und deinstalliere das Programm. Starte den Rechner neu und downloade den aktuellen herunter und installiere ihn.

================

C:\Programme\Viewpoint
Viewpoint, Viewpoint Manager und Viewpoint Media Player sind sog. unerwünschte Programme, die ohne Wissen der User zusätzlich mitinstalliert werden, z. B. bei der Installation der AOL-Software und/oder des AIM (AOL Instant Messenger).
Zum Vergrößern anklicken....
Bitte über Systemsteuerung => Software deinstallieren/entfernen.

================

Klicke Start > Ausführen > und schreib folgendes in das Öffnen Feld:
appwiz.cpl und drücke Enter. Es erscheint eine Uninstall-Liste mit allen Programmen. Deinstalliere Messenger Plus! wenn vorhanden.

Messenger Plus! installiert Adware, die sogenannte Lop-Infektion. Wenn du den Messenger wirklich brauchen solltest,musst Du ihn nach dem Bereinigungsprozess nochmal installieren, aber versichere Dich dass Du die Lop-Option während des Installationsprozesses deaktivierst :).



so, und wenn alles abgearbeitet ist noch nen onlinescan:

Kaspersky Online Scan
Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Java muss aktiv sein. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss Java installiert und aktiv/erlaubt sein. von .

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
  • Browser öffnen und
  • ansurfen.
  • Die Datenschutzerklärung akzeptieren.
  • Die nötigen ActiveX-Steuerelemente installieren lassen.
  • Update der Signaturen installieren lassen => Weiter
  • Scan-Einstellungen => Standard wählen => OK
  • Link Arbeitsplatz anklicken
  • Scan beginnt automatisch
  • Untersuchung wurde abgeschlossen => Protokoll speichern als...
  • Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern
  • Logdatei hier posten.
  • Deinstallation
  • nicht nötig, alle Dateien werden in temporären Ordnern gespeichert
    => C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp\jkos-<Benutzername>



gruß

schrauber
 
  • #16
Au weia, da denkt man das Problem sei gelöst und dann gibts eine Liste von tasks, die jede IKEA-Aufbauanleitung vor Neid erblassen lassen ;). Jedenfalls danke Schrauber, das werde ich heute nach und nach präzise abarbeiten; vor deinen tools habe ich Respekt.
 
  • #17
das sind nicht meine Tools , ich weiß halt nur wie man sie anwendet :)
 
  • #18
Jetzt gehts nicht leider weiter:
1. DSS \daft ausgeführt, report war all aligned
2. Dienste alle successful deleted, exit, Rechner Neustart.
3. Rechner fährt ordentlich runter, startet aber nicht (3 Versuche), auch nicht im abgesicherten Modus. Was noch geht ist die Wiederherstellungskonsole, die ich nun aufgerufen habe. Was soll ich tun?
 
  • #19
drücke beim hochfahren F8, wähle letzte funktionierende Konfiguration

da scheint dir norton einen strich durch die rechnung zu machen ;)
 
  • #20
Ja, das ging, Rechner ist wieder oben. Damit sind die Änderungen futsch, oder?
 
Thema:

Antivirus 2009 hat IE gehijacked

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.840
Beiträge
707.967
Mitglieder
51.494
Neuestes Mitglied
Flensburg45
Oben