Bin ich gehijacked?

Hi,

nach dem Tipp von Jaeger aus dem "Falsche Seite wird angezeigt" Thread hier meine Hijack Auswertung

---> http://www.hijackthis.de/logfiles/42b20d59c4051c6ee9161367a3d26d35.html



Hoffe mir kann hier einer von den Profis weiterhelfen.

Damit ihr wisst worum es eigentlich geht hier mein Eintrag aus dem o.g. Thread

Ja in diesem Sinne schonmal Danke, wenn sich jemand die Mühe macht

 

omg... also erstmals sollteste alle viren,spyware programme durch deinen pc jaggen und falls etwas findet löschen... dan alles fixen was bei der auswertung angezeigt wurde.. dan lädste spybot s&d runter und lässt den auch mal drüber und dan auch noch microsoft antispy beta 1 und falls noch nicht vorhanden lavasoft ad-aware se personal.Und mit diesen Progs cleanste mal deinen pc.

Wennde das hast mach nochmals einen log und schick ihnn nochmal.

mfg

 

Fixe mal alle Hosts-Einträge.
Die sind für die Umleitungen verantwortlich.
Das geht mit HJT oder Spybot S&D unter Werkzeuge.
Und damit kannst du dann die Hosts-Datei auch mit einem Schreibschutz versehen. Wenn du mit Adminrechten surfst, was ich annehme, kann man sich damit aber nicht wirklich gegen Browserhijacking schützen.

 

Hallo,
also das mit den hosts kannst du auf jeden Fall mal so machen wie deoroller das vorgeschlagen hat.
Ich bin noch etwas am rätseln was für die Änderungen verantwortlich gewesen sein könnte. Lass mal Escan (Anleitung sorgfältig lesen!) drüberlaufen und poste dann das Log wie in der Anleitung beschrieben.


@php_interpreter
Da du selbst nur eine sehr begrenzte Ahnung von der Materie hast solltest du Abstand davon nehmen anderen auch noch Tipps geben zu wollen.



Grüße Jasager

 

Hallo,

also hier mein neuster HijackThis Log -->

http://www.hijackthis.de/logfiles/42b20d59c4051c6ee9161367a3d26d35.html

Habe Spybot drüberlaufen lassen und Microsoft Antispy Beta. Nachdem beide nichts gefunden haben, bin ich unter Spybot->Werkzeuge->HostDatei gegangen und habe dort alle Host Einträge entfernt so wie es deoroller mir vorgeschlagen hat.

Sieht jedenfalls für meine nubi Augen schonmal besser aus, oder was meint ihr?

@deoroller.

Ja ich surfe unter Adminrechte, wie komfortabel ist es denn wenn ich eingeschränkte Rechte benutze, bzw. auf was muss ich da achten? Evtl. ein Link?

@jasager

Das mit dem Escan werde ich noch machen und mein Ergebnis hier posten. Aber ich denke, dass ich den Zuständigen Wurm/Trojaner/Virus schon vor ein paar Tagen gelöscht habe, nachdem ich Antivir und LavaAdaware installiert hatte. Nur scheinen hier noch die Auswirkungen nicht behoben worden zu sein.

An alle vielen Dank für eure qualifizierten Tipps habt mir sehr gut weitergeholfen.

Gruss Anark1

 

Schau mal hier und verfolge auch die weiterführenden Links.

Dein HJT Log-File ist zumindest in Ordnung, aber wie ist nun die aktuelle Lage?

 

AbituGuru ist wohl ein Chipdriver/Monotoringtool mit Überwachungs- und Protokollfunktionen?
Bei kostenlosen Tools mit unübersichtlichen und/oder ungeklärten Lizenzbedingungen (Open Source hat auch welche) könnten auch Ad-/Spywarefunktionen zwecks Finanzierung eingebaut sein, die das System nach verwertbaren Klicks abgrasen, wie sie üblicherweise mit Browserumleitungen und BHO´S-/Toolbars für den IE realisiert werden.
Zweite Möglichkeit könnte ein ins System eingeschleustes ActiveX-Steuerelement sein, das die Hosts-Datei immer wieder aufs neue infiziert, sobald der User einen neuen Shop betritt. So dass dann dieser Shop das nächste mal umgeleitet wird.
Das wird meist auch noch durch eine laxe Sicherheitseinstellung der Internetoptionen erleichtert (Abhilfe: den IE nur noch für das Windows-Update verwenden oder http://www.blafusel.de/ie.html) und dass an jede Software Adminrechte "vererbt" werden, womit sie Vollzugriff aufs System hat.
Das ist der Grund, weshalb man als Benutzer mit eingeschränkten Rechten arbeiten soll.
Weniger, dass der User was kaputtmachen kann. Das ist eher der Grund für das Arbeiten im Netzwerk, wo es einen verantwortlichen und meist "unterbezahlten" Admin gibt.

Mit Spybot S&D (Werkzeuge) kann man die installierten ActiveX-Plugins überprüfen.
Das geht natürlich auch in den Internetoptionen, aber da fehlen sinnvolle Erweiterungen wie Sichern und Wiederherstellen, Erklärungen und Hilfen zu den Einträgen und weiterführende Links. Als unbedenklichen ActiveX-Plugins sehe ich folgende an:
Windows-Update (WU)
Office-Update (OU)
Microsoft-Update (ersetzt WU und OU)

 

Tja Anark1,

hat denn die ganze Sache bei dir nun weitergeholfen? Würde mich dringend interessieren, denn ich habe genau die gleiche Misere mit Seitenumleitungen auf Firstload....

Werde im eigenen Thread auch mein Hijacklog mal posten und auf Expertenrat hoffen....

Sag doch mal bitte bescheid....

 

Hallo,
@whistler666
Ich nehme mal an du bist auch das hier
da du die winlogin auf deinem Rechner hattest, und diese unter anderem das hier:

Quelle
sehe ich deinen Rechner als nicht mehr vertrauenwürdig an und du solltest das System neu aufsetzen.
Eine Anleitung wie du das machen solltest findest du hier und zukünftig solltest du mit Dateien die du aus P2Ps hast vorsichtiger umgehen.


Grüße Jasager

 

Stimmt,

das bin ich auch Jasager....

Heißt das nun, dass mein System garnicht zu retten ist und nur eine neues Aufsetzen für Veränderungen zur Seitenumleitung hilft?

Was heißt denn dieses P2P? Das ist doch bereits runter von meinem PC nachdem ich Kaspersky eingesetzt hatte....und auch das Hijacklog hat sich verändert....

Doch leider besteht diese Umleitung immer noch...

 

Hallo,
also das Problem ist, das der Virus alle möglichen Dateien auf deinem Computer verändert haben könnte, und keiner, ausser vielleicht dem Virenauthor weiß welche genau das sind. Die Auswirkung der Umleitung ließe sich wahrscheinlich relativ leicht rückgängig machen.
P2P heißt Filesharing, und ich denke, dass du dir den Virus darüber eingefangen hast, indem du eine infizierte Datei ausgeführt hast.

Also, an deiner Stelle würde ich einen Neuanfang machen und das System platt machen und zukünftig etwas mehr aus Dateiensicherheit achten.


Grüße Jasager

 

Ok,

besten Dank-jetzt habe ich es verstanden! Ich suche schon meine ganzen Installations cd´s zusammen und gehe dann mal genau nach der Anleitung vor....na das wird ja ne Arbeit...

Danke dir und den anderen Profis!

 

Hallo,
sorry für die schlechten Nachrichten, aber ich halte das für unvermeidlich.
Eine zusätzliche Option so etwas zu vermeiden ist wenn du deine Festplatte mit Hilfe von Images spiegelst, eine gute Software hierfür ist Acronis True Image, falls es noch über die chip Aktion funktioniert bekommst du die 7.0er Version hier kostenlos.



Grüße Jasager

 

Hi,

@jasager

Ok hab alles nach Anleitung gemacht hier mein escan log :


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 17 14:09:21 2005 => System found infected with edonkey2000 Spyware/Adware ({320154bb-d666-48f6-990e-172b32954620})! Action taken: No Action Taken.
Mon Oct 17 14:09:21 2005 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Mon Oct 17 14:38:33 2005 => Scanning Folder: E:\AntivirPersonalEdition\INFECTED\*.*
Mon Oct 17 15:27:48 2005 => Scanning File F:\-== Backups ==-\Desktop 30.08.05\Downloads\The Dark Side of Phobos\The Dark Side of Phobos (mp3)\Disk Two - Deimos\DSoP_14_InfectedLab(E1M7).mp3 [**]
Mon Oct 17 15:27:48 2005 => Scanning File F:\-== Backups ==-\Desktop 30.08.05\Downloads\The Dark Side of Phobos\The Dark Side of Phobos (flac)\Disk Two - Deimos\DSoP_14_InfectedLab(E1M7).flac [**]
Mon Oct 17 16:13:33 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 17 15:30:08 2005 => File F:\-== Games ==-\Gamecracks 2003\Half-life\hl1110.exe tagged as not-a-virus:Server-Proxy.Win32.Hltv. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 17 14:09:22 2005 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\edonkey2000 !!!
Mon Oct 17 14:09:22 2005 => Offending Key found: HKLM\Software\edonkey2000 !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Oct 17 16:13:33 2005 => Total Virus(es) Found: 5
Mon Oct 17 16:13:33 2005 => Total Errors: 42
Mon Oct 17 16:13:33 2005 => Time Elapsed: 02:04:38
Mon Oct 17 16:13:33 2005 => Total Objects Scanned: 116553
Mon Oct 17 14:08:28 2005 => Virus Database Date: 2005/10/08
Mon Oct 17 16:13:33 2005 => Virus Database Date: 2005/10/08
Mon Oct 17 16:14:57 2005 => Virus Database Date: 2005/10/08
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


Soweit ist jedenfalls auf meinem Sytem alles in Ordnung, d.h. alle
Seiten werden wieder richtig dargestellt, bzw. richtig verlinkt!
Aus dem oben geposteten Log werde ich aber nicht so richtig schlau. Wie bekomme ich denn die Infected Files weg? Und ausserdem würd ich schon gerne Edonkey weiter benutzen. Dann beschwert escan sich bei einer mp3 Datei??? Kann das sein?

@Cidre

Danke für den Link. Sollte ich wirklich mal überdenken. Und meine aktuelle Lage scheint jedenfalls gut. Alles scheint behoben zu sein. Hoffe, dass jedenfalls.

@deoroller

Dein Tipp ist richtig. AbituGuru ist ein Tool, welches bei meinem Board (ABit AV8) dabei war. Dient lediglich zum auslesen von Temp. / Lüfterdrehzahl usw. und als Lüftersteuerung. Denke das kann ich bedenkenlos benutzen, oder?

@whistler666

Hoffe dir kann einer weiterhelfen, bei mir jedenfalls hat alles funktioniert was die Experten hier mir geraten haben. Tut mir leid für dich, dass du wahrscheinlich neu aufsetzen musst ist immer nervig. Ein Glück konnte ich das vermeiden. Jedenfalls sieht es so aus.


In diesem Sinne.

<slime/on>Noch mal Danke an die Community hier. Und jeden der mir weitergeholfen hat.<slime/off> Aber im ernst ist sehr angenehm hier

Gruss Anark1

 

Hallo,
erstmal zur "beanstandeten" mp3/flac Datei, die hat das Programm nicht wirklich beanstandet, sie ist nur in die Suchanfrage der find.bat gefallen weil sie das Wort infected enthält.

Zu deinem Edonkey2000, weiß nicht genau warum das Programm als Ad/Spyware deklariert wird, aber du kannst z.B. auch emule als Client verwenden. Aber auch zu dir sei gesagt, wahrscheinlich hast auch du dir das über Filesharing eingefangen, es ist ein imenses Sicherheitsrisiko ausführbare Dateien aus unsicheren Quellen zu beziehen.
Diesen Registrykey:
Mon Oct 17 14:09:21 2005 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
kannst du z.B. mit Regseeker entfernen indem du bei Find in Registry 807553e5-5146-11d5-a672-00b0d022e945 eingibst und diesen dann löscht.

Ansonsten sieht auf deinem System alles soweit in Ordnung aus.


Grüße Jasager

 

>AbituGuru ist ein Tool, welches bei meinem Board (ABit AV8) dabei war. Dient lediglich zum auslesen von Temp. / Lüfterdrehzahl usw. und als Lüftersteuerung. Denke das kann ich bedenkenlos benutzen, oder?

Wenn das vom Hersteller des Motherboards beigelegt wurde, sollte es noch besser sein, als z.B. Speedfan.
Allerdings verbietet es meine angeborene Paranoia, ein Tool einzusetzen, ohne es vorher mit activeports, tcpview, netstat etc. zu untersuchen, ob es nicht mit einem Port lauscht.