AnnoZone Forum

hi alle zusammen,

ich hab momentan ein problem mit einem browser-hijacker, den ich einfach nicht loswerde - habs schon im trojaner-board.de versucht, aber die werden schon mit anfragen überschwemmt.. vielleicht kann mir ja einer der comp-experten hier helfen ?


das problem ist folgendes :

1. die startseite des ie stellt sich automatisch auf about:blank.
2. ständig poppen browser-fenster auf .. mit adressen wie "mediabuy-nic" etc.

ich hab norton, antivir, spybot, adaware, spysubtract, cwshredder und highjackthis laufen lassen.. hat alles nix genutzt. und leider kenn ich mich nicht genug aus, um die highjackthis-logfile richtig auszuwerten.
hab auch die startseite in der registry manuell geändert - aber nach jedem neustart ist alles beim alten.

ich fummel jetzt schon seit drei tagen in meinem system rum aber nix hilft .. weiss jemand von euch rat ?

grüsse, lisa

soo .. tempordner leerräumen hat nix gebracht
ausserdem hab ich im ordner windows/tempinternetfiles/contentIE5 einige komische ordner gefunden - die namen der ordner setzen sich aus willkürlichen buchstaben- und zahlenkombinationen zusammen und enthalten hauptsächlich gifs .. is das normal ?

ach ja.. hab immer noch win98 (auf meiner kiste läuft sonst nix)




hier ist mal das logfile :

Logfile of HijackThis v1.98.2
Scan saved at 12:07:44, on 15.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\ASERV32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\HOTKEY32.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ASUSService] ASERV32.EXE
O4 - HKLM\..\Run: [ASUSKey] HOTKEY32.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\RunServices: [ASUSService] ASERV32.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\windows\system\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system\aklsp.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a224.g.akamai.net/7/224/52/200104…meInstaller.exe
O21 - SSODL: OLE Module - {01B1C4D9-BC71-8916-38AD-9DEA5D213614} - C:\WINDOWS\SYSTEM\bsmhn.dll
O21 - SSODL: OLE Automation Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)




hab versucht, die ersten O1-einträge zu fixen, aber die sind nach jedem neustart wieder da. und diese winsock-geschichten machen mich auch etwas nervös..
ausserdem werden nach jedem neustart die konfigurationsdateien aktualisiert - und ich krieg die fehlermeldung "msghk reagiert nicht".

argh

ich geh ja normalerweise mit firefox ins netz, aber damit hab ich zwei probleme..
ich kann nicht in foren rumsurfen (bin nach jedem klick wieder ausgeloggt) und ich kann kein flashplugin installieren. deswegen bin ich doch immer wieder beim ie gelandet.. werd aber mal opera ausprobieren.

Zitat

Original von Budgie
@ lisa simpson:

Du kannst das Logfile von HijackThis online analysieren lassen. Hier der Link: http://www.hijackthis.de/index.php

Hab's schon mal spaßeshalber ausprobiert und gesehen, dass da etwas Arbeit auf dich zukommt.

Auch die beiden letzten Einträge im File könnten problematisch sein. Bevor du die fixt, mach aber auf jeden Fall eine sicherung deines Systems.

hmm das hab ich auch schon ausprobiert.. leider ohne erfolg - ein trojaner schwirrt immer noch in meinem system rum. wenn ich das an diesem wochenende nicht in den griff kriege, wird die kiste halt geplättet würd ihr eh mal gut tun.
trotzdem danke für die tips