IE wird auf andere Seite geleitet

Manitu71 · 26. Mai 2004

Hi, ist zwar nicht das erste Mal, das ich miÂ´r die Art eingefangen habe, aber diesesmal ziemlich hartnäckig

Versuche mit Adaware, Hijack, CW Shredder, Stinger haben nix gebracht

Log von HJ ist:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated)

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load

O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Tevion Scanner Finder.lnk = C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe

O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html

O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)

O9 - Extra button: Recherchieren (HKLM)

O9 - Extra button: ICQ 4.0 (HKLM)

O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)

O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 (HKLM)

O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 (HKLM)

O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38091.7215162037

O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab

ich bring das Teil einfach ned weiter. Umgeleitet wird auf eine angebliche Spywareseite

alexf10 · 26. Mai 2004

versuche IE neu zu installieren und danach lass Spybot laufen.

Darth_Zeus · 26. Mai 2004

Such in deiner C Partition die hosts Datei und schau, was dort eingetragen ist.

Normalerweise liegt die unter Winnt/systems32/drivers/etc. Dort dürfen diese Umleitungen nicht eingetragen sein. Wenn ja, diese Einträge rauslöschen.

Vorsicht:

Manchmal findest du mehrere hosts Dateien, auch in anderen Ordnern unter C. Schau dir auch diese an. Wenn da der Quatsch drinsteht, benenn die Datei um, meinetwegen in hosts.bak. Wenn der Fehler dann behoben ist, lösch die hosts, in denen der Fehler war.

Frag nicht, woher ich das alles weiss, es war ein harter Abend, damals...

Manitu71 · 26. Mai 2004

original erstellt von Darth_Zeus:
Frag nicht, woher ich das alles weiss, es war ein harter Abend, damals...

mit einem kleinen Schluck kühlen Weißbier

Danke, ich versuchs mal so

alexf10 · 26. Mai 2004

@Darth_Zeus

Hallo?

Erstens HKCU usw deuten eher auf Registryeinträge genauso CSLID.

Zweitens hat Hosts mit IE Startseite nichts zu tun.

Drittens nicht alles was in Hosts steht ist schlecht

127.0.0.1 www.seitemitvielpopups.com leitet alle anfragen ins leere. Schlechte wenn dort was anderes außer 127.XXX.XXX.XXX steht.

Es sei denn irgendwelche wichtige Daten stehen dort zB

Mailserver1 10.x.x.x (wenn das wirklich Firmenserver sein soll).

Spybot und ein paar andere Programme nutzen sogar diese Auflösung und tragen einige "böswillige Seiten" auf 127.... somit werden die ins leere weitergeleitet.

Frage an @Manitu71

mit welchem Programm hast du diese Einträge bekommen?

Es sind ein paar Programme die bei dir in Registry-Autostart liegen, ein Paar Toolbars wie von google zB. und andere Sachen. ActiveX ist nicht immer "böse". Genauso die Schaltflächen im IE wie ICQ kanst ruhig ignorieren.

Gruß, Alex

Darth_Zeus · 26. Mai 2004

@alexf10

Hallo was? Ich bin nicht dein Saufkumpan, nur zur Erinnerung.

Ich hab auch nicht gesagt, dass alle Einträge schlecht sind. Ich hatte das Problem mit der Umleitung von google und ähnlichem mehr und hab es so in den Griff bekommen. Deswegen steht in meiner Antwort, er soll die betreffenden Einträge löschen. Dasselbe gilt für unterschiedliche hosts Dateien.

Nachdem die Symptome des Fehlers analog zu meinen damaligen sind, habe ich mir erlaubt, ihm zu schreiben, wie ich es in den Griff bekommen habe.

Danke.

Manitu71 · 26. Mai 2004

@ D_Z

da steht leider gar nix drin

@ alexf10

mit welchem Programm ich die bekommen hab :confused:

na auf irgendeiner Seite bin ich umgeleitet worden und schon hatte ichs *fg*

Google Toolbar ist okay, die brauch ich

sonst find ich aber nix aussergewöhnliches im Log bis auf die 2 fettgedruckten, und die müssen sich woanders wo wieder generieren

Bako · 26. Mai 2004

Welche Windows-Version hast Du?

Wenn XP, 2K, NT etc..., dann guck in den Taskmanager und guck Dir speziell die Tasks an, die nicht von SYSTEM gestartet werden oder LOKALER DIENST oder NETZWERKDIENST sind, sprich User-Prozesse. Wenn da komisch klingende Prozesse drin sind, ohne sinnvollen Namen, ist das meist Anzeichen, dass das die Datei ist, die das Hijacking fortführt. Nach dieser Datei würd ich dann in der Registry suchen und den Key rausnehmen (vorher evtl. sichern). Dann die Datei selber im Dateisystem löschen und dann neu starten. Dann zum Abschluss die schon genannten Tools rüberpflügen lassen. Damit haben wir so ein Ding mühsam runterbekommen.

DogKult · 28. Mai 2004

Das ding sieht mir nach Favorite Man aus.

überprüfe mal deine /System32 bzw /system ordner. Nach dateien (dll's) die neuer Natur sind. Und wie oben genannt nach ungewöhnlcihen TASK suchen.

ZU empfehlen ist ne lokale kleine firewall wie kiero oder wie das heisst Da siehst du alle datein die aufs Internet zugreifen wollen und anderes. Könnte hilfreich sein.

Manitu71 · 28. Mai 2004

@ DogKult

nichts aussergewöhnlichs zu finden

@ Bako

XP

Taskmanager ist relativ.

Die Prozesse da unten laufen alle übern Administrator:

IEXPLORE.EXE (IE)

msmsgs.exe (Messenger)

taskmgr.exe (Taskmanager)

DitExp.exe

ScannerFinder.exe (Medion Scanner)

jusched.exe (Sun Java Update)

htpatch.exe

Dit.exe

atiptaxx.exe (ATI)

daemon.exe (virtuelles LW)

GhostStartTrayApp.exe (Norton)

CCAPP.exe

explorer.exe

mittlerweiles Log:

Logfile of HijackThis v1.97.7

Scan saved at 19:22:41, on 28.05.2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Ahead\InCD\InCDsrv.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe

C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe

C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe

C:\Programme\D-Tools\daemon.exe

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\Dit.exe

C:\WINDOWS\htpatch.exe

C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe

C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe

C:\WINDOWS\DitExp.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll