[Hijacking] Browser-Hijacker?

wutzbaer

wutzbaer

nicht mehr wegzudenken
Browser-Hijacker?

Hi, Leute!

Kann sich bitte mal jemand meines Logfiles annehmen?
Gestern war noch alles O.K.
Doch als ich heute Morgen den Rechner startete gab's Troubles.
Sieht mir verd.... nach Hijacker aus.

Danke für die Antworten und Hilfe.
Habe Gottseidank mit True Image eine Kopie vom unverseuchten Rechner erstellt.
Hier das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 09:07:47, on 08.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\Explorer.exe
C:\Programme\FBM Software\ZeroSpyware\FileDeleter.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\BUHLDA~1\PCFIRE~1\sfw.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\sysinit32p2.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Eset\nod32kui.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.ex e
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Alcatel\Dragdiag.exe
C:\Programme\Pinnacle\Pinnacle PCTV Sat\Remote\Remoterm.exe
C:\Programme\TV Movie\TV Movie ClickFinder\tvtip.EXE
C:\Programme\AtomTime Pro\AtomTime.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\PolarSoft\TaskMate Pro\TaskMate.exe
C:\Programme\GnuPT\GPGRelay\GPGrelay.exe
C:\Programme\GnuPT\WPT\WinPT.exe
C:\WINDOWS\BricoPacks\Longhorn Inspirat\YzToolBar\YzToolBar.exe
C:\Programme\Eset\nod32.exe
G:\Sicherung\Internet\Anti-Spyware\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.190.135/?to=FED&from=s...type=start_page
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: Shell=Explorer.exe sysinit32p2.exe
O1 - Hosts: <html>
O1 - Hosts: <head>
O1 - Hosts: <meta http-equiv="Content-Language" content="en-us">
O1 - Hosts: <title>P2dll.com install toolbar</title>
O1 - Hosts: <meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
O1 - Hosts: <link href="style.css" rel="stylesheet" type="text/css">
O1 - Hosts: </head>
O1 - Hosts: <body bgcolor="#FFFFFF" background="images/layout_55.gif" leftmargin="0" topmargin="0" marginwidth="0" marginheight="0">
O1 - Hosts: <!-- ImageReady Slices (layout.psd) -->
O1 - Hosts: <table id="Table_01" width="100" height="651" border="0" cellpadding="0" cellspacing="0">
O1 - Hosts: <!-- MSTableType="nolayout" -->
O1 - Hosts: <tr>
O1 - Hosts: <td colspan="11">
O1 - Hosts: <img src="images/layout_01.gif" width="470" height="104" alt=""></td>
O1 - Hosts: <td colspan="5">
O1 - Hosts: <img src="images/layout_02.gif" width="302" height="104" alt=""></td>
O1 - Hosts: <td width="100" rowspan="8" background="images/layout_03.gif">
O1 - Hosts: <img src="images/layout_03.gif" width="8" height="294" alt=""></td>
O1 - Hosts: <td>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [PC Firewall Professional] C:\PROGRA~1\BUHLDA~1\PCFIRE~1\sfw.exe /waitservice
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.ex e"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\Pinnacle PCTV Sat\Remote\Remoterm.exe
O4 - HKLM\..\Run: [TVTip] C:\Programme\TV Movie\TV Movie ClickFinder\tvtip.EXE /m
O4 - HKLM\..\Run: [AtomTime] "C:\Programme\AtomTime Pro\AtomTime.EXE"
O4 - HKLM\..\Run: [win32 system server] c:\windows\system32\winserver.exe
O4 - HKLM\..\Run: [AVShell] C:\WINDOWS\system32\loader.exe
O4 - HKLM\..\RunServices: [win32 system server] c:\windows\system32\winserver.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [win32 system server] c:\windows\system32\winserver.exe
O4 - HKCU\..\Run: [ZSScheduler] RunDll32.exe "C:\Programme\FBM Software\ZeroSpyware\ZSScheduler.dll", runScheduler C:\Programme\FBM Software\ZeroSpyware\
O4 - Startup: GPGRelay.lnk = C:\Programme\GnuPT\GPGRelay\GPGrelay.exe
O4 - Startup: Windows Privacy Tray.lnk = C:\Programme\GnuPT\WPT\WinPT.exe
O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Longhorn Inspirat\YzToolBar\YzToolBar.exe
O4 - Global Startup: Pinnacle PCTV Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O4 - Global Startup: TaskMate Pro.lnk = C:\Programme\PolarSoft\TaskMate Pro\TaskMate.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\BUHLDA~1\PCFIRE~1\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\BUHLDA~1\PCFIRE~1\TRASH.EXE (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CA9E1A7-8232-4EE3-8DB9-4F1239745ABD}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: ZeroSpyware FileDeleter (FileDeleter) - FBMSoftware - C:\Programme\FBM Software\ZeroSpyware\FileDeleter.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: SFirewall Service (SFirewall) - Unknown owner - C:\PROGRA~1\BUHLDA~1\PCFIRE~1\sfw.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Gruß - wutzbaer
wutzbaer ist gerade online Mit Zitat antworten
 
Also - wieder mal neu aufsetzten.
Komischerweise findet nicht mal Zero-Spyware was.
Auch NOD32 nicht.
Danke jedenfalls für die Antwort.
 
Öh, neu aufsetzen muss nicht sein...
Die Host-Datei liegt normalerweise schreibgeschützt (ok, heisst nicht viel) im Ordner "C:\WINDOWS\system32\drivers\etc\hosts" und sieht so aus:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost


Du kannst also die HTML-Tags alle rauslöschen und die Datei dann speichern + schreibschützen (Rechtsklick/Eigenschaften).
Alternativ hänge ich sie als .txt-Datei an, bitte in hosts (ohne .txt) umbenennen.

Der Rest sieht eigentlich ok aus und du sparst dir eine Menge Arbeit, wenn du einfach folgende Einträge löscht (sagt ja auch schon fast alles das Onlinelog) oder den Kommentar beachtest:

HKLM\System\CCS\Services\Tcpip\..\{8CA9E1A7-8232-4EE3-8DB9-4F1239745ABD}: NameServer = 195.3.96.67 195.3.96.68

Hmmm... hast du in deinen Netzwerkeigenschaften diese IPs als DNS-Server eingetragen? Wenn nein: Rechtsklick (ab hier: RK ;)) Netzwerkumgebung, RK LAN-Verbindung, Internetprotokoll anwählen, Eigenschaften und dort unter: "Folgende DNS-Serveradressen..." nachsehen.

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
Manuell suchen und auf 0 setzen bzw. HijackThis nutzen (fix checked)

Ebenso bei den R0- und F2-Einträgen: Fixen lassen!

Unklar ist mir O4 - HKLM\..\Run: [AVShell] C:\WINDOWS\system32\loader.exe und O4 - HKLM\..\RunServices: [win32 system server] c:\windows\system32\winserver.exe

NOD solte eigentlich Alarm schlagen, wenn diese Dateien Viren wären, du hast doch sicher eine tagesaktuelle Signatur? Weil, wenn Viren, würden noch weitere Einträge in verschiedenen Bereichen auftauchen...
Naja, um Arbeit zu sparen, erst einmal die obigen Fixes antesten. Hilft das nicht, bleibt folgende Vorgehensweise: Zuerst die Systemwiederherstellung abstellen: Systemsteuerung -> System -> Systemwiederherstellung -> (...) auf allen Laufwerken deaktivieren
Dann im abgesicherten Modus (F8 während des Bootens) starten und versuchen, die Dateien zu löschen.
Nochmals Hijack laufen lassen, sollten die ganzen Einträge von oben wieder da sein, erneut markieren und fixen, und übrigens alle winserver.exe und loader.exe-Einträge ebenso behandeln...

Puh.
Hats geklappt?
Ich denke ja nicht, dass es ein Virus ist, evtl. ein Problem, da du mit dem IE surfst ;)??

 

Anhänge

  • hosts.txt
    818 Bytes · Aufrufe: 343
@JensusUT

Neee. Den IE hab ich schon lange verbannt (mit XP-Lite).
Brauch ich auch nicht für Updates, da es eine Site gibt, wo man sämtliche Patches in einer Datei downloaden kann, die nach SP2 rausgekommen sind.
Und die wird ständig aktualisiert.

Ich fahre mit Feuerfuchs 1.03 zum surfen und Donnervogel 1.02 für Mails.

"Unklar ist mir O4 - HKLM\..\Run: [AVShell] C:\WINDOWS\system32\loader.exe und O4 - HKLM\..\RunServices: [win32 system server] c:\windows\system32\winserver.exe"

Tja, aber genau der hat mir angeblich aber das System zerschossen.
Würde mich interessieren, wo der hergekommen ist.
Hab eben kurzerhand neu aufgesetzt.

Thx für die Hilfe - wutzbaer
 
Da Du ja ein Image der unverseuchten Kiste hast dürfte das zurücksetzen ja kein Thema gewesen sein. Und "einfangen" geht schon per Klick auf einen Link - und schon passiert. Genauso wie durch Mailanhänge. Mach Dir da bloß keinen Kopf. So was passiert immer mal wieder. Ich lass deswegen immer mal Malwarebytes Antimalwäre über die Kiste laufen.
 
Falls sich jemand wundert, den Spammer über @Bullabeisser habe ich in die Wüste geschickt. Dort gibt es viel Sand...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben