Rund ums BrowserHijacking, Spyware und Trojanern

[VCXZtrooper]

Hallo Leute,

bei mir öffnet sich ständig der Opera (ca. alle 5 Minuten) obwohl ich das nicht möchte.

http://www.browserbuy-out.com/normal/yyy102.html

Ist z.B. eine der Seiten die geöffnet werden. Hab Spybot, HiJackThis und Virenscanner paar mal drüber laufen lassen, bloß die finden irgendwie nicht wirklich was.

Hier die Logfile von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 11:52:41, on 25.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\UltraVNC\winvnc.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Aua der schmerz\Desktop\Stuff\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.22:3128
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [internet service] ssvhoost94.exe
O4 - Startup: Control.lnk = C:\Programme\UltraVNC\winvnc.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\p84u0ih9e84.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Den iexplore benutzt ich ja nicht. Hat jemand von euch ne Ahnung woran das liegen könnte?

Der Turl hat vorhin was von den hosts erwähnt.

Hier n kleiner Auszug meiner hosts-datei

127.0.0.1 localhost
127.0.0.1 sds-qckads.com
127.0.0.1 status.qckads.com
127.0.0.1 www.qoolaid.com
127.0.0.1 www.qoologic.com
127.0.0.1 www.CLKPrecision.com
127.0.0.1 www.urllogic.com
127.0.0.1 www.clkoptimizer.com
127.0.0.1 www.isearch.com
127.0.0.1 isearch.com
127.0.0.1 www.idownload.com
127.0.0.1 idownload.com
127.0.0.1 www.mytotalsearch.com
127.0.0.1 mytotalsearch.com
127.0.0.1 www.lop.com
127.0.0.1 lop.com
127.0.0.1 www.page-not-found.net
127.0.0.1 page-not-found.net
127.0.0.1 www.isearchhere.com
127.0.0.1 isearchhere.com
127.0.0.1 as.adwave.com
127.0.0.1 sr.adwave.com
127.0.0.1 www.adwave.com
127.0.0.1 adwave.com EVENT:HOST:127.0.0.1
127.0.0.1 www.pacimedia.com
127.0.0.1 www.exactsearch.net
127.0.0.1 www.contextplus.net
127.0.0.1 www.contextplus.net
127.0.0.1 www.websearch.com
127.0.0.1 websearch.com

Das komische ist nur, an einem anderen Rechner, passiert mir das nicht, obwohl in der hosts ziemlich die gleichen Einträge drinne stehen.

mfg
...trooper

 

[PuppetMaster]

Versuch mal, im abgesicherten Modus mit deaktivierter Sytemwiederherstellung (!) die Datei SSVHOOST94.EXE manuell zu entfernen und anschließend den Eintrag durch Hijackthis zu fixen.

Warum benutzt du nicht die Auswertung von hijackthis.de? Damit bin ich auf den Eintrag gestoßen, und googlen hat anschließend das hier gebracht:

http://virusinfo.prevx.com/pxparall.asp?PXC=941112689903


/edit
Die p84u0ih9e84.dll würd ich auch gleich noch mit rausschmeißen.

 

[VCXZtrooper]

Die Auswertung benutzt ich ja, bloß da sind keine bösen Einträge zu sehen und die Unbekannten, die selbst mir unbekannt vorkommen :-) (interessante Satzkonstellation) hab ich auch schon gefixt.

Ich hab den Registry-Einträg im abgesichertem Modus manuell mal rausgelöscht. Habe vorher die Systemwiederherstellung von den ganzen Laufwerken deaktiviert. Jetzt mal kucken ob der Opera immernoch automatisch öffnet. Auf den Festplatten hab ich keine ssvhoost94.exe gefunden.

 

[Spielkind]

>O4 - HKLM\..\RunServices: [internet service] ssvhoost94.exe

Hierbei kann es sich um den Trojaner Troj/LowZone handeln.

>O4 - Startup: Control.lnk = C:\Programme\UltraVNC\winvnc.exe

Ist das Remote Control Programm erwünscht?

>O20 - Winlogon Notify: SideBySide - C:\WINDOWS\system32\p84u0ih9e84.dll

Diese Datei wird mit der Spyware Look2Me in Verbindung gebracht.

Böse Einträge notieren, die Datei und den Eintrag des Logs im abgesicherten Modus löschen. Vorher die Systemwiederherstellung deaktivieren und nach dem Reboot wieder einschalten.

Warum hängst Du das Log nicht als txt- Datei an.

 

[VCXZtrooper]

Jo, VNC nutz ich da ich zu faul bin an die einzelnen Rechner hinzulaufen.

C:\WINDOWS\system32\p84u0ih9e84.dll find ich nicht mehr im System, kann sein das ich die vorhin schon gefixt hab. Das Problem scheint behoben zu sein, falls noch etwas auftreten sollte rühr ich mich einfach.

HijackThis + Spybot + Virenscanner + FB-Community =

 

[VCXZtrooper]

Hab jetzt Ad Aware auch mal drüber laufen lassen. Und das Prog findet noch paar einträge. Leider kann ich manche dlls mit AdAware nicht entfernen da die bereits genutzt werden. Wenn ich den PC dann neu starte und mit nem Windows PE hochfahre, dann kann ich die Dateien zwar löschen, bloß dann taucht ne weitere dll auf, die von AdAware erkannt wird.

Ich denk mal, isn ganz klarer Fall von hartnäckigen Trojanern. Weiß leider nicht mehr weiter was ich noch machen kann um das Problem loszuwerden.

 

[Spielkind]

Komisch, das sich die Einträge nach jedem Reboot wieder selbst herstellen und Schadcode aus dem Netz nachläd.

Mach mal wieder ein HiJackThis! Analysieren weißt Du ja wo. Nach den Schädlingen mußt Du evt. googeln. Unbekannte und/ oder böse Einträge notieren, die Datei und den Eintrag des Logs im abgesicherten Modus löschen. Vorher die Systemwiederherstellung deaktivieren und nach dem Reboot wieder einschalten.

Warum hängst Du wenn Du ein Log posten willst es nicht als txt- Datei an? Und schau Dir mal Deine Einträge des Logs im 1. Post genau an... ziemlich verräterisch

Was für einen Virenscanner verwendest Du? Eine Freeware- Lösung hat u.U. eine schlechte Erkennungsrate, so das der Schädling möglicherweise durchschlüpft. Abhilfe könnte ein eScan schaffen?! Damit sollte man den Virus identifizieren können. Das Desinfizieren erfolgt dann von Hand.

Viel Glück

 

[PuppetMaster]

Leider kann ich manche dlls mit AdAware nicht entfernen da die bereits genutzt werden.

Was du AdAware im normalen Modus eingesetzt? Wenn ja, probiers mal wie bei HijackThis mit der Kombination Abgesicherter Modus + deakt. Systemwiederherstellung.

 

[VCXZtrooper]

...mit der Kombination Abgesicherter Modus + deakt. Systemwiederherstellung.

Ich mach das schon richtig oder? Systemsteuerung -> System -> Systemwiederherstellung -> Haken bei "Systemwiederherstellung bei allen Laufwerken deak." Oder?

Kann ich nicht irgendwie in einer *.ini nachkucken, welche Gerätetreiber beim Start geladen werden? Komischerweiße werden die dlls auch im abgesicherten geladen. Bin kurz davor meinen Rechner platt zu machen, hab bloß wirklich keine Lust alles vorher abzusichern.

 

[Spielkind]

>Komischerweiße werden die dlls auch im abgesicherten geladen.

Die Killbox könnte Dir evt. jetzt weiterhelfen. Siehe auch die Anleitung zum bereits empfohlenen eScan.

 

[VCXZtrooper]

Ich werd morgen meine Rechner komplett neu aufsetzen. Werde eingeschränkte Konten fürs Surfen einrichten und in diesen Konten noch ne virtuelle Maschine draufspielen. N Image noch vom Virtual PC und dann müsste ich doch auf der sicheren Seite sein oder?