Neue Browser Hijacker?

Moin zusammen!

Hatte heute mal wieder das nette Phänomen, daß sich irgendeine komische Seite bei mir als Startseite, Suchseite, Searchbar, usw. eingetragen hat. Änderungen in der Registry, sowie Verwendung von Spybot & Ad-Aware, jeweils mit den neuesten Updates, hat soweit auch ganz gut geholfen.

Aber, wenn ich ne falsche URL eingebe kommt jetzt nicht mehr die msn Suchseite, sondern eine Weiterleitung zu:

http://drxc*unt.biz/index.php?aid=20038

In der Registry war in den diversen Feldern für Startseite, etc. http:// gefolgt von einer superlangen Zeile, offenbar ASCII-Code, eingetragen. Hab ich alle gesucht und geändert - jetzt sind laut der Suche in regedit alle diese Zeilen geändert. Trotzdem wird bei der MSN Suchseite immernoch weitergeleitet!

Was auch noch komisch ist - unten im Internetexplorer steht sogar noch "Seite http://auto.search.msn.com....." wird geöffnet, und trotzdem erscheint diese komische drxcount.biz Seite.

Also, weiß jemand was ich noch machen könnte? Hat jemand schon das selbe Problem?

Grüße

Mirko

 

Das klingt doch schonmal gut! Aber... obwohl ich eigentlich des Englischen ganz gut mächtig bin - ich kapier nicht, was er meint mit dem hier:

Thuse windows explorer in c:/windows and find a file with the string starting with http://%6b%. This will identify a regedit file called sys.?

Ach ja, und auch ich war nicht wirklich begeistert von PestPatrol und hab es deshalb gleich wieder deinstalliert

 

Wieso?
Ich bin mit der Kombination spybot+pestpatrol ganz zufrieden.

btw. Das Problem wurde grad auf einem anderen Board gelöst:

quelle

 

Und wen du oft genug mit dem schrott namens "PestPatrol" dein System zerschossen hast kannst du dich schon mal mit dem Gedanken des Neuaufsetzen anfreunden.

 

Im übrige hast du noch mehr Unsinn auf deiner Platte:
klick
Was stand denn vorher in der Registry, bevor du es geändert hast?

 

@MissAntroph

Danke für die Hilfe - hat aber leider nicht geklappt. Hijackthis hatte ich ja eh schon (siehe logfile oben) und den Hijacker, der auf der PestPatrol Seite beschrieben ist, den hab ich auch nicht. Lade mir jetzt aber nochmal PestPatrol runter - vielleicht findet der ja noch was, was die anderen Tools bisher nicht gefunden haben.

Und ja, auf der ehemaligen Soulseek Seite hat sich jetzt 'ne Dialerseite breit gemacht und versucht Leute zu verarschen - die denken natürlich sie installieren Soulseek, stattdessen ist es aber ein fieser kleiner Dialer.

Grüße

Mirko

 

http://www.spychecker.com/program/hijackthis.html
Ausserdem kannst hier noch weiterlesen.
Sag mal Bescheid, obs geklappt hat.
btw. ist http://slsk.org/=p2p-ag
p2p-ag = dialer

 

Yep!

 

Mal den Browsercache geleert?

 

1. Werde ich von der MSN Suchseite auf die ominöse Searchpage weitergeleitet, nicht von slsk.org

2. Besteht mein Problem seit heute - meine hosts Datei sieht aber schon seit nem halben Jahr so aus.

3. Habe ich es jetzt trotzdem aus meiner hosts gelöscht - brauche den Eintrag nicht mehr - und trotzdem werde ich weiter umgeleitet.

Grüße

Mirko

 

Doch, daran liegt es.
slsk.org löst nach 212.69.172.112 auf.

 

Danke, aber daran liegt es nicht - das hab ich selber mal in die Hostfile eingetragen.

 

Das mal fixen ("Fix checked"):

O1 - Hosts: 38.115.131.131 sk2.slsk.org
O1 - Hosts: 38.115.131.131 http://www.slsk.org
O1 - Hosts: 38.115.131.131 mail.slsk.org
O1 - Hosts: 38.115.131.131 server.slsk.org

 

So, habe grade noch den CWShredder einmal drüber laufen lassen - hat zwar was gefunden, aber das Problem ist immernoch da, werde nach wie vor umgeleitet

Hier noch zur Info die HijackThis Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 13:18:28, on 21.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\WINDOWS\System32\devldr32.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\eMule\emule.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Dokumente%20und%20Einstellungen/Mirko/Eigene%20Dateien/mirko/startseite/startseite.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Dokumente%20und%20Einstellungen/Mirko/Eigene%20Dateien/mirko/startseite/startseite.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = file:///C:/Dokumente%20und%20Einstellungen/Mirko/Eigene%20Dateien/mirko/startseite/startseite.html
O1 - Hosts: 38.115.131.131 sk2.slsk.org
O1 - Hosts: 38.115.131.131 http://www.slsk.org
O1 - Hosts: 38.115.131.131 mail.slsk.org
O1 - Hosts: 38.115.131.131 server.slsk.org
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [*******ElbyCDFL] "C:\Programme\*******\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{309DF07F-A78A-486A-ADCE-49F64C8F1740}: NameServer = 217.5.115.7 194.25.2.129

 

...bedeutet nur, das ICQ im Autostart steht und minimiert starten soll.
Das kannst du mit der msconfig.exe ausstellen. (start->ausführen->msconfig)

 

zu 1)
WENN du den IE weiter benutzen willst (oder musst...autom. Windows-Update), dann musst du ihn auch patchen.
Wie der letzte heißt, weiß ich nicht, aber das erfährst du ja spätestens auf den Seiten von Microsoft.

zu 2)
Vergiss das einfach.

zu 3)
Eher nicht. Allerdings wäre mir persönlich ICQ zu gefährlich. Deswegen benutze ich für ICQ und AIM auch Miranda-IM.

 

Zunächst mal danke für die Tipps!

Habe die entsprechenden Dateien sofort entfernen lassen.

Ob's dauerhaft hilft, ist natürlich ne andere Frage, weswegen ich einem Browser-Tausch nicht unbedingt total abgeneigt bin.

Ist aber auch ne Frage der Bequemlichkeit, bis zu diesem Vorfall hatte ich eigentlich noch keinerlei Probleme mit dem IE.

Was sich mir nun stellt, sind noch drei Fragen:

1) Bringt es mir jetzt noch was, den IE mit Patchs zu versorgen (btw: wie heißt eigentlich der neueste Patch?) oder kann ich das vergessen?

2) Steh etwas auf dem Schlauch, was ihr mit "Locken des Spybot-Hostes" meint? Wie mach ich das?

3) Bei meiner Hijack-Logfile hab ich auch die Datei

"O4 - HKCU\..\Run: [Mirabilis ICQ] D:\Programme\ICQ\icq.exe -minimize"

entdeckt. Hat diese womöglich mit meinem schwerwiegenden ICQ-Problem zu tun, das ich gerade habe? Siehe Board "Sonstiges".

Für die Beantwortung meiner Fragen wäre ich sehr dankbar.

MfG

The Scientist

 

Nonsens. Kein Schutz aber besser als nichts? 0 ist größer als 0? Klar.

Blablablubb kenn ich nicht...vermutlich wieder so ein Browseraufsatz, aber Mozilla und Opera...hmmm...tatsächlich....das könnte klappen. Da fällt mir auf, dass ich nie einen Dialer und auch kein BHO oder Hijacker auf meinem Rechner hatte, jedenfalls nicht in den letzten 10 Jahren.

Nicht, wenn ich argumentationsloses blablablubb empfehle.

Ja. Mehrfach. Guck mal in mein Gästebuch.

 

Keine Frage, aber viele nutzen die host. Kein schutz...aber besser als nix.
Ich wollt mir ausnahmsweise mal die Leier ersparen ala "Leg dir nen Browser zu."^^

Die Leute werden tausendmal gehijackt, bekommen 100 mal nen Dialer untergeschoben, bestücken ihren Browser mit etlichen BHO?s...was willst die diesen Leuten raten?
Mozilla/Opera, blablablubb...?
Du glaubst doch nicht ernsthaft, da hört jemand auf dich?
Is dir mal aufgefallen, das diese Leute immer wieder kommen mit ihrer "HijackThis- Logfile"?
Das passiert mir einmal, vielleicht auch ein zweites Mal...spätestens da setzt der Lerneffekt ein...normalerweise...
Nein, diese Leute nutzen den IE weiter...in Kombination mit NAV ^^, Spybot und was weiss ich noch für Tools. Hast du jemals einen "bekehren" können?
Also: Was willst du diesen Leuten raten?

@Scientist Das ist jetzt nicht persönlich gemeint.

 

Was soll das "Locken" der HOSTS bringen? Ein Hijacker kann problemlos eine ALTERNATIVE Hosts mit anderem Namen anlegen und überdies auch noch direkt in der Registry Umleitungen auf falsche Domains veranlassen.