Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Browser gehijackt oder Malware????

Hanswurscht1 / 10 Antworten / Baumansicht Nickles

Hallo,
ich habe ein Problem, und zwar habe ich auf meinem Rechner ein "störendes Programm". Zur Beschreibung:
- das Programm öffnet, wenn ich eine Email (Outlook Express) verschicke (nur beim verschicken) eine Website, auf der Gewarnt wird, ich hätte einen Wurm oder Virus auf dem Rechner und es wird auf einen Link hingwiesen
- selbes Problem, beim Internet Explorer
- selbes Problem, bei Mozilla
- selbes Problem, bei Norton Anti Virus
Weiß jemand, was das ist?

Betriebssystem ist Win XP Home.

Bin für jede Hilfe dankbar, weil ich den PC für Geschäftliche Dinge dringend benötige.

Besten Dank im Voraus.

bei Antwort benachrichtigen
T-Rex Hanswurscht1 „Browser gehijackt oder Malware????“
Optionen

Das störende Programm nennt sich Nachrichtendienst und gehört zum Lieferumfang aller NT-basierten Windows'.
Wie Du den Dienst (und einige andere) abschaltest, steht auf www.ntsvcfg.de.


 

 GrüßeT-Rex 
bei Antwort benachrichtigen
GarfTermy Hanswurscht1 „Browser gehijackt oder Malware????“
Optionen

alternative lösung:

firewall, die ports des nachrichtendiensts nach außen/ von außen blockt.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Hanswurscht1 Nachtrag zu: „Browser gehijackt oder Malware????“
Optionen

Dass heißt es wird ein eigentlich nützlicher "Weg" zur Werbung benutzt. Ist es schädlich für mich (ausser für die Nerven) oder nicht?

bei Antwort benachrichtigen
Teletom Hanswurscht1 „Browser gehijackt oder Malware????“
Optionen

Bitte Hijackthis downloaden, ausführen > scan > save log> Schließen und den log-File- Inhalt hier posten, falls das Problem noch besteht:
http://www.spywareinfo.com/~merijn/files/HijackThis.exe

Gruß
Teletom

bei Antwort benachrichtigen
Hanswurscht1 Nachtrag zu: „Browser gehijackt oder Malware????“
Optionen

Hier das Log-File:


Logfile of HijackThis v1.97.7
Scan saved at 15:33:26, on 24.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ASUS\ASUS Live Update\ALU.exe
C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe
C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SpeedswitchXP\SpeedswitchXP.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Asus\Asus ChkMail\ChkMail.exe
C:\Programme\Asus\ASUS Hotkey\Hotkey.exe
C:\Programme\ASUS\WLAN Card Utilities\Center.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Progra~1\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {8578D79F-2577-4A0B-B1DC-60C178EE280C} - C:\WINDOWS\mrhop.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [WeatherOnTray] C:\Programme\Hotbar\bin\4.4.6.0\WeatherOnTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [SpeedswitchXP] C:\Programme\SpeedswitchXP\SpeedswitchXP.exe
O4 - Startup: SpeedswitchXP.lnk = C:\Programme\SpeedswitchXP\SpeedswitchXP.exe
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Hotkey.lnk = C:\Programme\Asus\ASUS Hotkey\Hotkey.exe
O4 - Global Startup: ASUS WLAN Control Center.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com.tw
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38132.5305787037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

bei Antwort benachrichtigen
Teletom Hanswurscht1 „Browser gehijackt oder Malware????“
Optionen

Thx,

es handelt sich um den Browserhijacker:
Hijacker about:blank - ...\sp.html

Bitte Anleitung auf der folgenden Site befolgen, vor allem das dort beschriebene Programm SpHjFix.exe anwenden:
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

Gruß
Teletom

bei Antwort benachrichtigen
Hanswurscht1 Nachtrag zu: „Browser gehijackt oder Malware????“
Optionen

Werd ich gleich machen! Besten Dank schonmal!!!

bei Antwort benachrichtigen
Hanswurscht1 Nachtrag zu: „Browser gehijackt oder Malware????“
Optionen

Konnte das Programm zwar runterladen, aber als ich auf Desinfektion starten geklickt hab, hat sich nix getan. Obwohl ich mit Admin Rechten angemeldet war.

bei Antwort benachrichtigen
Teletom Hanswurscht1 „Browser gehijackt oder Malware????“
Optionen

Hi,

Bitte Systemwiederherstellung deaktivieren:
«Start/Systemsteuerung/Leistung und Wartung/System/Systemwiederherstellung» indem die Option «Systemwiederherstellung auf allen Laufwerken deaktivieren» mit einem Häckchen versehen wird.

Am besten im abgesicherten Modus starten:
Start> Ausführen > msconfig [enter] eingeben
das Systemkonfigurationsprogramm öffnet sich > boot.ini > bei /SAFEBOOT Haken setzen > OK > Neu starten

Darauf achten, dass der Internet Explorer NICHT laufen darf, evtl. schließen.

Hijackthis starten > scan
Haken setzen bei:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
O2 - BHO: (no name) - {8578D79F-2577-4A0B-B1DC-60C178EE280C} - C:\WINDOWS\mrhop.dll

fix checked > ausführen und Hijackthis schließen.

SpHjFix.exe starten, desinfizieren und schließen.

Start> Ausführen > msconfig [enter] eingeben
das Systemkonfigurationsprogramm öffnet sich > boot.ini > bei /SAFEBOOT Haken ENTFERNEN > OK > Neu starten

Nach der Säuberung solltest Du mindestens die Registry sichern und
EruNt einsetzen (Emergency Recovery Utility for NT).

http://home.t-online.de/home/lars.hederer/erunt/erunt.zip
downloaden und in ein Verzeichnis z.B. C:\Programme\Erunt extrahieren.
Im Explorer nach C:\Programme\Erunt wechseln und erunt.exe doppelt anklicken und somit starten - OK
Haken setzen bei Andere geöffnete Benutzerregistrierungen OK
Ordner ex. nicht C:\ERDNT Erstellen? Ja
Sicherung läuft Registry wird in C:\ERDNT gesichert.
Abgeschlossen OK

Falls Du wieder Probleme mit der Registry hast, z.B. Trojaner oder Browser Hijacking, brauchst Du das System nur möglichst im abgesicherten Modus zu starten, im Explorer nach C:\ERDNT zu wechseln und die ERDNT.EXE durch Doppelklick auszuführen. Das System muss anschließend neu gestartet werden und nach dem Neustart hast Du wieder den alten sauberen Zustand der Registry zum Zeitpunkt der Erunt- Sicherung.

Gruß
Teletom

bei Antwort benachrichtigen
Hanswurscht1 Nachtrag zu: „Browser gehijackt oder Malware????“
Optionen

Super! Danke.

bei Antwort benachrichtigen