1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

browser hijacker

Discussion in 'Sicherheit' started by donalfredo, Mar 26, 2004.

Thread Status:
Not open for further replies.
Page 2 of 2
  1. Gast

    Gast Guest

    Hallo!

    Bis auf das ganze Symantec-Geraffel sieht es doch gut aus! :D
     
    Gast, Mar 26, 2004
    #21
  2. Gast

    Gast Guest

    Dein IE ist nicht auf dem aktuellen Patchlevel.

    C:\WINNT\reg32.exe
    C:\WINNT\Downloaded Program Files\CONFLICT.1\reg32.exe
    C:\WINNT\Downloaded Program Files\CONFLICT.2\reg32.exe
    C:\WINNT\Downloaded Program Files\CONFLICT.3\reg32.exe

    Verdächtig

    R0/1/3 fixen lassen

    O4 - HKLM\..\Run: [sys] regedit -s sys.reg

    Hijacker. Weg damit

    O4 - HKLM\..\Run: [Reg32] C:\WINNT\reg32.exe

    Verdächtig, siehe oben

    O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

    Verdächtig.

    a² wird dir bei Browser-Hijackern nicht helfen. Das ist nicht das Haupteinsatzgebiet.
     
    Gast, Mar 26, 2004
    #22
  3. donalfredo

    donalfredo ROM

    hi,

    hier der ganze auszug aus der logfile von hijack this.


    MSIE: Internet Explorer v5.00 (5.00.2920.0000)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\System32\Ati2evxx.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\PROGRA~1\AVG\avgserv.exe
    C:\WINNT\System32\CTsvcCDA.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\wanmpsvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\System32\MsPMSPSv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\Ati2evxx.exe
    C:\WINNT\Explorer.EXE
    C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
    C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
    C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
    C:\Programme\AVG\avgcc32.exe
    C:\WINNT\reg32.exe
    C:\WINNT\Downloaded Program Files\CONFLICT.1\reg32.exe
    C:\WINNT\Downloaded Program Files\CONFLICT.2\reg32.exe
    C:\WINNT\Downloaded Program Files\CONFLICT.3\reg32.exe
    C:\Programme\Browser Hijack Blaster\bhblaster.exe
    C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINNT\system32\ZoneLabs\vsmon.exe
    C:\Programme\AOL 8.0a\waol.exe
    C:\Programme\AOL 8.0a\shellmon.exe
    C:\WINNT\reg32.exe
    C:\WINNT\reg32.exe
    C:\Programme\Browser Hijack Blaster\bhblaster.exe
    C:\Dokumente und Einstellungen\choose freedom\Desktop\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://nnsearch.biz/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*p://nnsearch.biz/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h*p://ylkrqp.t.muxa.cc/s.php?aid=551 (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = C:\WINNT\system32\searchbar.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*p://nnsearch.biz/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h*p://ylkrqp.t.muxa.cc/s.php?aid=551 (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*p//ylkrqp.t.muxa.cc/s.php?aid=551 (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*p//nnsearch.biz/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h*p://ylkrqp.t.muxa.cc/s.php?aid=551 (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h*p://e-plus.cc/search.php?aff_id=46&keyword=%s
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h*p://nnsearch.biz/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h*p://nnsearch.biz/
    R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
    O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
    O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
    O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
    O4 - HKLM\..\Run: [AVG_CC] C:\Programme\AVG\avgcc32.exe /startup
    O4 - HKLM\..\Run: [sys] regedit -s sys.reg
    O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    O4 - HKLM\..\Run: [Reg32] C:\WINNT\reg32.exe
    O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot
    O9 - Extra button: ICQ Pro (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ (HKLM)
    O9 - Extra button: Real.com (HKLM)
    O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e55/
    O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6C063175-B8BA-4C11-ABAA-DFC84C782284}: NameServer = 195.93.89.134


    hab die von CWShredder die version 1.53.4 benutzt
    a² free werde ich heute abend ausprobieren und hier posten, ob es was gebracht hat.

    schonmal danke im vorraus

    gruß
    don
     
    donalfredo, Mar 26, 2004
    #23
  4. Gast

    Gast Guest

    Der MODE-Browser IE machts möglich.
    Du solltest über einen Wechsel nachdenken.
    Der Grund ist, dass du viele wichtige Dinge übersehen hast. Dein HJT-Log ist unvollständig und die verantwortlichen Einträge stehen genau in den Teilen des Logs, die du netterweise weggelassen hast.
    Achja...editiere doch bitte die Links in deinem oberen Posting (h**p://), da versehentlich sonst noch jemand diese Seiten anklickt und sich dasselbe einfängt wie du.
     
    Gast, Mar 26, 2004
    #24
  5. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Hallo,

    welche Version von CWShredder hast du genutzt ??
     
    Wolfgang77, Mar 26, 2004
    #25
  6. goemichel

    goemichel Guest

    :zu:

    THREAD GESCHLOSSEN.
     
    goemichel, Mar 27, 2004
    #26
  7. goemichel

    goemichel Guest

    Hallo Leute,

    bitte :btt:

    oder wenn zum Thema alles gesagt wurde und ihr noch eine persönliche Diskussion führen wollt - nutzt die PN.

    Ansonsten werd ich den Thread schließen.

    Was sagt eigentlich der Themenstarter? Problem gelöst???


    Gruß, Michael
     
    goemichel, Mar 27, 2004
    #27
  8. Nevok

    Nevok Ganzes Gigabyte

    E:\D1INFOMN\WINNT\bafxdmn.exe gehört zum D1-Infomanager aus "Das Telefonbuch für Deutschland". In der Registry steht "BalloonFaxLauncher"

    C:\WINDOWS\System32\servnstall.exe :nixwissen
    Dazu steht in der Registry "ServerAgent"

    Die Datei ist 114.688 Bytes groß...
     
    Nevok, Mar 26, 2004
    #28
  9. Nevok

    Nevok Ganzes Gigabyte

    :danke: für deine Info. :)

    Wegen Symantec: Steinigt mich doch... :p
     
    Nevok, Mar 26, 2004
    #29
  10. Nevok

    Nevok Ganzes Gigabyte

    @ Steele

    Könntest du dir meine HijackThis-Log auch mal ansehen. :bet:

    Logfile of HijackThis v1.97.7
    Scan saved at 19:24:14, on 26.03.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    E:\AVG6~1\avgserv.exe
    E:\AntiVirenKit professional trial\AVKService.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\Programme\Roxio\GoBack\GBPoll.exe
    C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
    C:\Programme\Norton SystemWorks\Norton Personal Firewall\NISUM.EXE
    C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
    C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
    C:\Programme\Norton SystemWorks\Norton Personal Firewall\SymProxySvc.exe
    C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
    C:\Programme\Norton SystemWorks\Norton Personal Firewall\NISSERV.EXE
    C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
    C:\WINDOWS\System32\Fast.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\taskswitch.exe
    C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
    C:\WINDOWS\System32\NILaunch.exe
    C:\WINDOWS\SOINTGR.EXE
    C:\WINDOWS\System32\Starter.Exe
    E:\D1INFOMN\WINNT\bafxdmn.exe
    C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
    E:\Trojancheck 6\tcguard.exe
    C:\Programme\Norton SystemWorks\Norton Personal Firewall\IAMAPP.EXE
    C:\WINDOWS\System32\ctfmon.exe
    E:\Ejector\Ejector.exe
    C:\Programme\Norton SystemWorks\Norton CleanSweep\csinsmNT.exe
    C:\Programme\Analog Devices\ADI USB ADSL LAN Adapter\DSLMON.exe
    C:\Programme\Roxio\GoBack\GBTray.exe
    C:\WINDOWS\system32\ntvdm.exe
    C:\Programme\SpeedCommander 10\SpeedCommander.exe
    E:\Crazy Browser\Crazy Browser.exe
    E:\Hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Dokumente%20und%20Einstellungen/Patrick%20Brandt/Eigene%20Dateien/Homepage/index.htm
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.msn.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://search.msn.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer 6.0 SP1 für Patrick Brandt
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy1.nordcom.net:8080
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {78104A01-8E71-4F30-9A36-3793799615B4} - C:\Programme\Microsoft\Rights Management Add-on\mime_filter.dll
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
    O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
    O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe
    O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
    O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
    O4 - HKLM\..\Run: [EnsoniqMixer] C:\WINDOWS\System32\Starter.Exe
    O4 - HKLM\..\Run: [ballOONFaxLauncher] "E:\D1INFOMN\WINNT\bafxdmn.exe"
    O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
    O4 - HKLM\..\Run: [QD FastAndSafe] C:\Programme\Norton SystemWorks\Norton CleanSweep\QDCSFS.exe /startup
    O4 - HKLM\..\Run: [ServerAgent] C:\WINDOWS\System32\servnstall.exe
    O4 - HKLM\..\Run: [Trojancheck 6 Guard] E:\Trojancheck 6\tcguard.exe
    O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton SystemWorks\Norton Personal Firewall\IAMAPP.EXE
    O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [YAW Autostart] "E:\YAW\yaw.exe"
    O4 - HKCU\..\Run: [YAW starten] "E:\YAW 3.5\yawguard.exe"
    O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
    O4 - Global Startup: CD-Auswurf.lnk = E:\Ejector\Ejector.exe
    O4 - Global Startup: CleanSweep Schnellreinigung.lnk = C:\Programme\Norton SystemWorks\Norton CleanSweep\Qdcsfs.exe
    O4 - Global Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Programme\Norton SystemWorks\Norton CleanSweep\csinsmNT.exe
    O4 - Global Startup: DSLMON.lnk = C:\Programme\Analog Devices\ADI USB ADSL LAN Adapter\DSLMON.exe
    O4 - Global Startup: GoBack.lnk = C:\Programme\Roxio\GoBack\GBTray.exe
    O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - h**p://-Web.Washer-/ie_add
    O9 - Extra 'Tools' menuitem: @C:\Programme\Microsoft\Rights Management Add-on\rma_resource.dll,-40971 (HKLM)
    O9 - Extra button: @C:\Programme\Microsoft\Rights Management Add-on\rma_resource.dll,-205 (HKLM)
    O9 - Extra 'Tools' menuitem: @C:\Programme\Microsoft\Rights Management Add-on\rma_resource.dll,-40970 (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: @C:\Programme\Microsoft\Rights Management Add-on\rma_resource.dll,-40971 (HKCU)
    O9 - Extra button: @C:\Programme\Microsoft\Rights Management Add-on\rma_resource.dll,-205 (HKCU)
    O9 - Extra 'Tools' menuitem: @C:\Programme\Microsoft\Rights Management Add-on\rma_resource.dll,-40970 (HKCU)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{241926B8-294F-4997-96AA-EEAC93CF80D2}: NameServer = 212.6.108.140 212.6.108.141
    O17 - HKLM\System\CS1\Services\Tcpip\..\{241926B8-294F-4997-96AA-EEAC93CF80D2}: NameServer = 212.6.108.140 212.6.108.141

    Gruß
    Nevok
     
    Nevok, Mar 26, 2004
    #30
  11. Nevok

    Nevok Ganzes Gigabyte

    Hallo donalfredo

    Vielleicht hilft dir ja a² free weiter. Du kannst das Programm auf folgender Seite bekommen:

    http://www.emsisoft.de/de/software/download/

    Sollte das Programm nicht helfen, so möge man mich bitte informieren, dann lösche ich meinen Beitrag.

    Gruß
    Nevok
     
    Nevok, Mar 26, 2004
    #31
  12. goemichel

    goemichel Guest

    Moin moin,

    ich war so frei, die Links zu editieren ;)

    Gruß, Michael
     
    goemichel, Mar 26, 2004
    #32
Page 2 of 2
Thread Status:
Not open for further replies.

Share This Page