Dufpy.com: Ie-startseite ändert Sich, Firewall +virusscanner Reagieren seltsame attacke, bisher ohne sichtbare negative folgen, aber ...
#1
geschrieben 20. Oktober 2009 - 01:41
Anzeige
#2
geschrieben 20. Oktober 2009 - 02:12
Bitte lade dir http://free.antivirus.com/hijackthis/
und lass dir eine .txt erstellen (logfile), welche du hier postet bzw auch selber auf http://www.hijackthis.de/ auswerten kannst.
Wobei das nichts heißen mag, da Trojaner meistens eh Fud gecryptet sind und daher eher selten entdeckt werden (falls es einer ist).
Zu der Webseite, ich bin zwar kein Super Spezialist, aber der Quelltext sieht nach eine einfachen Costum Search Seite von google aus also harmlos.
Was auch eine Erklärung wäre, das du ein Programm installiert hast, du schnell alles durchgeklickt hast und dabei so eine nette Zusatzoption ala "Setze meine Startseite zu" übersehen hast.
Also als erstes Hiijack this posten bzw selber auswerten wenn du es kannst
Falls da nichts auffälliges ist würde ich dir noch Malwarebytes' Anti-Malware ans Herz legen mal durchlaufen zu lassen.
http://www.malwarebytes.org/mbam.php
Ich hoffe ich konnte etwas helfen
#3
geschrieben 20. Oktober 2009 - 11:22
was mich mehr irritiert ist eh die geschichte mit den nun dauernd neu kommenden firewall-rückfragen (thunderbird) mit jeweils neuen kryptischen zeichen bei "das programm (zeichen) versucht das programm moz.thunderbird zu starten..." - was passiert da?
also hier erstmal das logfile, rest folgt, danke für deine/eure mühe!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:00:45, on 20.10.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal
Running processes:
C:\Program Files (x86)\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe
C:\Program Files (x86)\FRITZ!DSL\FwebProt.exe
C:\Program Files (x86)\winamp556\Winamp\winamp.exe
C:\Program Files (x86)\Sophos\AutoUpdate\ALMon.exe
C:\Program Files (x86)\autoruns.exe
C:\Program Files (x86)\MailWasher Pro\MailWasher.exe
C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
E:\Downloads\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O1 - Hosts: 60.12.193.37 auto.search.msn.com
O1 - Hosts: 60.12.193.37 auto.search.msn.es
O1 - Hosts: 60.12.193.37 ie.search.msn.com
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - E:\Downloads\flashget_installed!\jccatch.dll (file missing)
O2 - BHO: Sophos Web Content Scanner - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SophosBHO.dll
O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - E:\Downloads\flashget_installed!\getflash.dll (file missing)
O4 - HKLM\..\Run: [ScreenManager Pro for LCD] C:\Program Files (x86)\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Program Files (x86)\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Program Files (x86)\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files (x86)\Sophos\AutoUpdate\ALMon.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - E:\Downloads\flashget_installed!\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - E:\Downloads\flashget_installed!\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\Downloads\flashget_installed!\FlashGet.exe (file missing)
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\Downloads\flashget_installed!\FlashGet.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix:
O20 - AppInit_DLLs: C:\PROGRA~2\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Program Files\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files (x86)\Cyberlink\Shared files\RichVideo.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Software Licensing (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Program Files (x86)\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - Unknown owner - C:\Windows\System32\TuneUpDefragService.exe (file missing)
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - Unknown owner - C:\Windows\System32\TUProgSt.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
--
End of file - 8462 bytes
#4
geschrieben 20. Oktober 2009 - 12:23
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2997
Windows 6.0.6002 Service Pack 2
20.10.2009 13:21:53
mbam-log-2009-10-20 (13-20-51).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 447919
Laufzeit: 1 hour(s), 13 minute(s), 55 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
D:\System Volume Information\_restore{688B1919-E4BC-478D-9E46-7C68F5DB08A0}\RP260\A0060745.exe (Rogue.Installer) -> No action taken.
#5
geschrieben 20. Oktober 2009 - 13:21
diese Einträge unbedingt fixen:
O1 - Hosts: 60.12.193.37 auto.search.msn.com
O1 - Hosts: 60.12.193.37 auto.search.msn.es
O1 - Hosts: 60.12.193.37 ie.search.msn.com
diese IP's leiten dich nach CN um
#6
geschrieben 20. Oktober 2009 - 13:25
Dieser Beitrag wurde von eddie_f bearbeitet: 20. Oktober 2009 - 13:35
#7
geschrieben 20. Oktober 2009 - 13:53
Der eingetragenen Ip kann man entnehmen http://whois.domaint...om/60.12.193.37 da sie aus China kommt und du dorthin weiter geleitet wirst.
abändern kannst du es indem du im windows ordner nach einer datei mit dem namen host(s) suchst und da per editor nach dem eintrag suchst und diesen entfernst.
Dafür gibt es keine Garantie, also am besten backup der Datei anlegen^^ Nur dieser Eintrag manipuliert dein Internet etwas.
Desweiteren bin ich mir nicht sicher ob dein Rechner nicht noch etwas anderes hat, weil einfach so schreibt sich das nicht in die Host Datei, normal um ganz sicher zu gehen wäre eine Neu Installation gut.
Dieser Beitrag wurde von REtenderjw bearbeitet: 20. Oktober 2009 - 13:55
#8
geschrieben 20. Oktober 2009 - 13:58
#9
geschrieben 20. Oktober 2009 - 14:01
Immer diese Chinesen, jetzt versuchen die uns zu ausspionieren.
Mache dein PC neu, dann ist Ruhe.
Ein Programm muss dir das eingebracht haben.
Tipp: www.virustotal.com/de
Dann die Datei, die du zuletzt installiert hast hochladen.
Irgendeine Datei hat bei dir einen Registry Eintrag gemacht.
#10
geschrieben 20. Oktober 2009 - 15:28
Zitat (Phoenix0870: 20.10.2009, 15:01)
Immer diese Chinesen, jetzt versuchen die uns zu ausspionieren.
Mache dein PC neu, dann ist Ruhe.
Ein Programm muss dir das eingebracht haben.
Tipp: www.virustotal.com/de
Dann die Datei, die du zuletzt installiert hast hochladen.
Irgendeine Datei hat bei dir einen Registry Eintrag gemacht.
Virustotal ist auch nicht das gelbe vom ei, wenn du etwas Fud cryptest wird es für ein paar tage zumindestens von keinem gefunden...
Daher mach am besten den Rechner platt
#11 _Niedlicher Zwerg_
geschrieben 20. Oktober 2009 - 17:32
Aber platt machen ist sicherer.
Dieser Beitrag wurde von Niedlicher Zwerg bearbeitet: 20. Oktober 2009 - 17:33
#12
geschrieben 20. Oktober 2009 - 21:13
Zitat (yellow: 20.10.2009, 14:21)
diese Einträge unbedingt fixen:
O1 - Hosts: 60.12.193.37 auto.search.msn.com
O1 - Hosts: 60.12.193.37 auto.search.msn.es
O1 - Hosts: 60.12.193.37 ie.search.msn.com
diese IP's leiten dich nach CN um
ich hab die ips gelöscht, danach das ms-hotfix laufen lassen, zudem firefox neu installiert. nun geht ff extrem langsam, es fehlt offenbar ein "guter" host-eintrag. was gehört an die nun gelöschte stelle? bitte schnell antworten! danke!
#13
geschrieben 21. Oktober 2009 - 07:38
Zitat (eddie_f: 20.10.2009, 22:13)
Normalerweise sollten außer 127.0.0.1 localhost gar keine weiteren Einträge in der hosts Datei vorhanden sein.
Und die 3 Einträge, die bei dir drin standen, waren sicher keine 'guten Einträge'.
Hier mal eine hosts Datei von einem sauberen Rechner mit XP SP 3:
# Copyright (c) 1993-1999 Microsoft Corp. # # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP # für Windows 2000 verwendet wird. # # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen. # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP- # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen # Hostnamen stehen. # Die IP-Adresse und der Hostname müssen durch mindestens ein # Leerzeichen getrennt sein. # # Zusätzliche Kommentare (so wie in dieser Datei) können in # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden, # aber müssen mit dem Zeichen '#' eingegeben werden. # # Zum Beispiel: # # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost
Ich würde dir raten, den Rechner komplett 'platt zu machen', d.h. formatieren und Windows + alle Programme neu installieren.
Dann kannst du wirklich sicher sein, dass du den Schädling wirklich los bist.
Viele Grüße,
Анди
Internetzugang: T-Home VDSL 50 @ 51392 kbit/s down, 10048 kbit/s up || Router: FritzBox 7360 @ FW 111.05.24
#14
geschrieben 21. Oktober 2009 - 16:47
was wären ev konsequenzen, wenn ich das nicht täte? was ist möglicherweise im gange? es gibt bisher keinen unbekannten prozess oder erhöhten traffic ...
#15
geschrieben 21. Oktober 2009 - 17:15