1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

Startseite mit Spyware...

Discussion in 'Sicherheit' started by Avnas, May 27, 2004.

Thread Status:
Not open for further replies.
  1. Avnas

    Avnas Byte

    Hi

    Normal ist das ja kein großes Problem sowas wieder zu entfernen... hatte sowas schonmal :D

    Aber irgendwie hab ich einen ganz hartnäckigen :heul:

    Hoffe ihr könnt mir helfe :bet:

    Vorallem das nervige ist, dass jetzt nicht nur die Startseite verändert ist, sondern auch Werbe-Popups öffnen.
    Außerdem kann ich die Startseite nicht mehr unter Internetoptionen entfernen, da die Schaltfläche deaktiviert ist.

    Ich hab schon versucht, es mit Hijacker zu löschen... aber nach einem Neustart ist es wieder weg, aber beim nächsten wieder da...

    Hab dann nochmals alles mit Hijacker gelöscht, einen Anivirusprogramm drüberlaufen lassen (hat mehrere Trojaner gefunden) und zusätzlich nochmal Spybot (hat auch 2 Spyware gefunden).
    So jetzt noch umständlich über regedit die Statseite geändert (da es ja über "Internetoptionen" nicht geht), neugestartet und gehofft. (Hab aber extra nicht den IE aufgemacht)

    Aber wieder... nach 2 Neustarts war alles wieder da.. die Startseite, die Trojaner, die Spyware

    Was kann ich noch machen?

    Ach ja: Die Startseite muss irgendwas mit www.search-what.net zu tun haben, jedoch sieht meine Startseite so aus, als ob sie von MS selbst wär... heißt "Home search"
     
    Avnas, May 27, 2004
    #1
  2. Denniss

    Denniss Megabyte

    Für ein HJT-Logfile bitte den IE beenden !!!

    Reparieren lassen :
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#37049


    Verdächtig bis gefährlich :
    O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\WINDOWS\syslf\syslf.dll
    O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\WINDOWS\winnz\mssearch.dll
    O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\WINDOWS\winnz\msiesh.dll
    O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\image.new,Install
    O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.new,Install

    Bitte Antivir aktualisieren und durchlaufen lassen !
    Spybot 1.3 installieren + aktualisieren + immunisieren und dann suchen lassen
    Ad-Aware6 install + aktualisiereng und Durchlauf
    CWShredder starten + aktualisieren + durchlauf
     
    Denniss, May 29, 2004
    #2
  3. fdisk205

    fdisk205 Byte

    fdisk205, May 27, 2004
    #3
  4. Cidre

    Cidre Halbes Megabyte

    @ Avnas

    Solange du dein System nicht aktualisiert und sämtliche Patches und Hotfix einspielst, sehe ich keine Chance das du diesen Befall stoppen kannst. http://windowsupdate.microsoft.com/
     
    Cidre, May 27, 2004
    #4
  5. Avnas

    Avnas Byte

    Ist jetzt schon wieder da...



    Logfile of HijackThis v1.97.7
    Scan saved at 22:08:43, on 27.05.2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Programme\TerraTec\CinergyTV\TerraTV App.exe
    C:\hijack\hijackthis1977\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#37049
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar.dll
    O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\WINDOWS\syslf\syslf.dll
    O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\WINDOWS\winnz\mssearch.dll
    O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\WINDOWS\winnz\msiesh.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar.dll
    O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
    O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\image.new,Install
    O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.new,Install
    O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\googletoolbar.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\googletoolbar.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\googletoolbar.dll/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\googletoolbar.dll/cmsimilar.html
    O9 - Extra button: ICQ Lite (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38133.5366550926
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


    aber ich lösch es nochmal und lass nochmal den Virusprogramm drüberlaufen
     
    Avnas, May 27, 2004
    #5
  6. Cidre

    Cidre Halbes Megabyte

    @ dedie

    Du hast recht :D , bin heut ein bißchen schreibfaul, daher hatte ich diesen Beitrag kopiert und leider nicht durchgelesen. :spitze:
     
    Cidre, May 27, 2004
    #6
  7. Gast

    Gast Guest

    Pardon "Cidre", nicht mehrfach F8 drücken, sondern F8 während des Startvorganges gedrückt halten. ;)

    mfg. dedie :D
     
    Gast, May 27, 2004
    #7
  8. Cidre

    Cidre Halbes Megabyte

    Diese kannst du dann wieder aktivieren, wenn du den Browser Hijacker von deinem Systen entfernt hast, also Geduld.
     
    Cidre, May 27, 2004
    #8
  9. Cidre

    Cidre Halbes Megabyte

    1. Neustart des Computers.
    2. Vor dem Start von Windows mehrfach die Taste "F8" betätigen, um in das erweiterte Windows-Startmenü* zu gelangen. Auf einem Computer, der für das Starten mit mehreren Betriebssystemen konfiguriert ist, bei Anzeige des Auswahlmenüs die Taste "F8" drücken.
    3. Im erweiterten Windows-Startmeü wählen Sie die Option "Abgesicherter Modus".

    Falls Du Win XP home verwendest, drücke einfach Enter bei der Passworteingabe.
     
    Cidre, May 27, 2004
    #9
  10. Avnas

    Avnas Byte

    Und noch zum IE:

    Ich hab erst den IE + Sicherheitsupdates installiert, und trotzdem war in Internetoptionen die Startseite-Schaltfläche deaktiviert.

    Wie akrtiviere ich es?
     
    Avnas, May 27, 2004
    #10
  11. Avnas

    Avnas Byte

    Wo geht das?
     
    Avnas, May 27, 2004
    #11
  12. Cidre

    Cidre Halbes Megabyte

    @ Avnas

    Zur Entfernung:
    1.Systemwiederherstellung deaktivieren
    2.Interne Verbindungsfirewall aktivieren
    3. Als Admin im abgesicherten Modus anmelden
    3. Diese genannte Einträge fixen
    4. Neustart
    5. SP1 deines Betriebssytem installieren, sowie weitere sicherheitsrelavante Updates auch für den IE
    6. Neustart
    7. Neues HiJackThis Log File erstellen und nochmals posten

    Diese Einträge fixen:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#37049
    O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\WINDOWS\msak\msak32.dll
    O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\WINDOWS\msqs\mssearch.dll
    O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\WINDOWS\msqs\msiesh.dll
    O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\image.new,Install
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.new,Install
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
     
    Cidre, May 27, 2004
    #12
  13. Avnas

    Avnas Byte

    Logfile of HijackThis v1.97.7
    Scan saved at 20:26:55, on 27.05.2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Programme\TerraTec\CinergyTV\TerraTV App.exe
    C:\Programme\ICQLite\ICQLite.exe
    C:\hijack\hijackthis1977\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#37049
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar.dll
    O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\WINDOWS\msak\msak32.dll
    O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\WINDOWS\msqs\mssearch.dll
    O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\WINDOWS\msqs\msiesh.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar.dll
    O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\image.new,Install
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
    O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.new,Install
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\googletoolbar.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\googletoolbar.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\googletoolbar.dll/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\googletoolbar.dll/cmsimilar.html
    O9 - Extra button: ICQ Lite (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38133.5366550926
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

    -----------------------------------------------------------------------------

    Also alles mit mshp, msak, mssearch und msiesh hab ich schon gelöscht, ging aber nicht...

    Und solte ich mal so weit gekommen sein, dass der Trojaner wieder weg ist, wie aktiviere ich wieder in den Optionen die Schaltfläche für die Startseite?


    Ach ja:
    Der Trojana muss wirklich gut gemacht sein.
    Auf allen Internetseiten, die ich ansurf sucht er nach Stichwörtern, die er gleich mal als Link für die Suchseite ummodelt
     
    Avnas, May 27, 2004
    #13
  14. Cidre

    Cidre Halbes Megabyte

    Hallo Avnas,

    nachdem dein System immer wieder von Trojaner heim gesucht wird, hast du irgendwo eine Sicherheitslücke.
    Erstelle mit HiJackThis ein Log File und poste es hier rein, damit wir deine Schwachstelle entdecken können.
     
    Cidre, May 27, 2004
    #14
Thread Status:
Not open for further replies.

Share This Page