Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Common Hijacker Virus?!+mshta.exe

MX Mc Grath / 18 Antworten / Baumansicht Nickles

Hallo seit kurzem habe ich bei Spybot (nach Spybot update) eine Warnung: Common Hijacker: Umgeleiteter Host auto.search.msn.com=205.177.124.66 ,  Possible Hijacker:Global settings HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Styles\User Stylesheet ,  Possible Hijacker:Global settings HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Styles\Use My Stylesheet=W=0. Kann mir hierbei jemand sagen um was es sich hierbei handelt? Und wie ich es wieder los werde? Mit Spybot schon öfters versucht aber ohne Erfolg. Als System XP Pro+Servicepack 1, Norton Internet Security 2002 immer auf  dem neusten Stand. DSL Zugang über SMC 7404BRB Router mit Hardware Firewall. Aufgefallen ist mir das ganze auch nur als Norton mir meldete das mshta.exe dauernd auf das Internet zugreifen wollte, was vorher nie der Fall war. Benutze das System schon ca 1 Jahr ohne das so etwas je vorgekommen ist. Für Antworten wäre ich sehr dankbar.


 


 

bei Antwort benachrichtigen
-IRON- MX Mc Grath „Common Hijacker Virus?!+mshta.exe“
Optionen
Guckst du eins tiefer...
Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
MX Mc Grath Nachtrag zu: „Common Hijacker Virus?!+mshta.exe“
Optionen

Hallo danke für die schnelle Antwort.

Hier das

Logfile of HijackThis v1.97.7
Scan saved at 15:57:05, on 22.12.2003
Platform: Windows XP SP1
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
G:\Programme\Norton AntiVirus\navapsvc.exe
G:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
G:\Programme\Norton Internet Security\NISSERV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
G:\Programme\Norton Internet Security\SymProxySvc.exe
G:\PROGRA~1\T-DSLS~1\tsmsvc.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
G:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
G:\Programme\D-Tools\daemon.exe
G:\PROGRA~1\NORTON~1\navapw32.exe
G:\Programme\Norton Internet Security\IAMAPP.EXE
G:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
G:\Programme\ZMatrix\matrix.exe
G:\Programme\Norton Internet Security\ATRACK.EXE
C:\Programme\Internet Explorer\iexplore.exe
G:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://webcoolsearch.com/?id=54
O1 - Hosts: 205.177.124.66 auto.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - G:\Programme\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - G:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - G:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "G:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "G:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "G:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NAV Agent] G:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] G:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "G:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "G:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: ZMatrix.lnk = G:\Programme\ZMatrix\matrix.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: AIM (HKLM)
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F0A5228-D3A7-41A2-B445-A86F5C9D0566}: NameServer = 192.168.2.1
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)

Ich finde da nichts Verdächtiges bin ja auch kein Profi ;-)
Möchte das Ding einfach nur wieder loswerden. Verstehe auch nicht wie so was passieren kann, trotz Firewall und Antivirus Programm.

Ich habe jetzt mal zum Testen Opera, ist er ok?

Danke für deine Hilfe.

bei Antwort benachrichtigen
-IRON- MX Mc Grath „Hallo danke für die schnelle Antwort. Hier das Logfile of HijackThis v1.97.7...“
Optionen

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://webcoolsearch.com/?id=54
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)

Weg damit.
Für einige der anderen Anwendungen würde ich nicht die Hand ins Feuer legen, da ich nicht weiß, welche der Geräte, auf die man anhand der Dateinamen und Verzeichnisse schließen kann, wirklich installiert sind. Hinzu kommt, dass einige der Systemdateien durchaus auch von Malware ersetzt sein können, was man ja anhand dieses Reports nicht erkennen kann.

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
MX Mc Grath Nachtrag zu: „Common Hijacker Virus?!+mshta.exe“
Optionen

Danke erst mal. Habe jetzt nur noch folgendes Problem das ich nicht weiß wo ich diesen Eintrag finde. Habe unter Regedit schon gesucht. Also wie bekomme ich das Ding nun los damit ich ruhe habe. Kann man eigentlich den IE soweit entfernen das (fast) nicht mehr als das nötigste bleibt? und nur noch Opera verwenden. wo speichert Opera 7.22 die Temporary Internet Files? sind bei Opera auch Favicons möglich?

Fröhliche Weihnachten und

Danke nochmals

bei Antwort benachrichtigen
-IRON- MX Mc Grath „Common Hijacker Virus?!+mshta.exe“
Optionen

Wenn du mit "Eintrag" R1 meinst: HKCU= HKEY_CURRENT_USER...der Rest ist ja selbsterklärend.
Den IE zu entfernen, ist nicht so ohne weiteres möglich und da zunehmend diverse Programme und u.a. auch die WIndows-Hilfe den IE bzw. seine DLLs benötigen (würg), auch nicht unbedingt ratsam. Man kann es aber durchaus tun, und zwar mit den Tools von litepc.com
Einen alternativen Browser fürs Web zu nutzen ist unbedingt empfehlenswert.
Wo Opera seinen Cache hat und auch alles andere zu seiner Bedienung steht in der Opera-Hilfe.

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
MX Mc Grath -IRON- „Wenn du mit Eintrag R1 meinst: HKCU HKEY_CURRENT_USER...der Rest ist ja...“
Optionen

Hallo Iron muß dich leider nochmal belästigen.
Also den Key finde ich in der Registrie kann ihn auch löschen doch wenn ich die Reg wieder öffne ist er wieder da. Habe auch noch was gefunden unter C:\Windows eine datei die "hh.htt" kann nichts damit anfangen.Habe aber gerade noch einen rechner hier mit genau dem selben System wie ich, der hat diese hh.htt datei nicht, auch fehlen die Reg einträge im gleichen verzeichnis. Wenn ich hh.htt bei mir löschen will geht das nicht schon mit allem versucht(Shredder usw), datei ist sofort wieder da. Habe jetzt auch Ad-aware und noch ein paar tools laufen lassen doch auch diese bekommen das ding nicht weg. Auch die Beta version von Spybot S&D findet immer den selben eintrag. Die ganzen Favoriten des IE wurden glöscht also scheint es nicht ganz harmlos zu sein. Wie schon gesagt Spybot & Ad-aware & CWShredder & HijackThis finden es immer wieder und können es auch nicht löschen.

Vielen Danke und schöne Feiertage

bei Antwort benachrichtigen
-IRON- MX Mc Grath „Hallo Iron muß dich leider nochmal belästigen. Also den Key finde ich in der...“
Optionen

Dann gibts offensichtlich einen weiteren Prozess, der übersehen wurde, sei es, weil er sich besonders geschickt tarnt oder weil deine Programme nicht auf dem aktuellen Stand sind.
Man könnte natürlich noch alternative Prozessviewer drüberjagen oder gründlicher forschen, aber mein ernsthafter und endgültiger Rat:

System neu aufsetzen, inklusive verfügbarer Patches fürs Betriebssystem und dann den IE in einer feuchten, kalten und dunklen Ecke verhungern lassen.

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
funnyone MX Mc Grath „Common Hijacker Virus?!+mshta.exe“
Optionen

Hallo,

ich habe ein ähnliches Problem.... Nicht nur, dass diese blöde websearch seite aufgerufen wird, und die entsprechende hh.htt sich ständig neu schreibt, nein... auch alle Favoriten im Hauptordne wurden gelöscht und durch Sex-Links ersetzt... Danke.

Jedenfalls gibt es (Dank Eurer Hilfe hab ichs gefunden) einen Eintrag in der Regystry, der unter Microsoft - Internet Explorer - Styles den Key "User Sytlesheet" mit dem entsprechenden hh.htt Wert hat...

Ich werde den mal löschen und schauen, ob das entsprechende Abhilfe schafft!

Grüße
funnyone

bei Antwort benachrichtigen
funnyone Nachtrag zu: „Hallo, ich habe ein ähnliches Problem.... Nicht nur, dass diese blöde...“
Optionen

okok...

Also die htt kommt immer wieder. Aber bisher kamen die Links nicht wieder und die Suche auch nicht...

Im abgesicherten Modus hab ich die hh.exe gelöscht. Mal sehen, ob das was bringt.

Grüße
Funnyone

bei Antwort benachrichtigen
MX Mc Grath Nachtrag zu: „Common Hijacker Virus?!+mshta.exe“
Optionen

Hallo ich habe auch mit allem möglichen versucht das ding zu löschen ohne erfolg. Habe jetzt das System neu gemacht da ich es ja nicht anders los geworden binn. Die Reg einträge haben sich bei mir immer neu geschrieben. Hoffe funnyone das du mehr glück hast als ich. @ Iron danke für deine Hilfe.

bei Antwort benachrichtigen
funnyone MX Mc Grath „Hallo ich habe auch mit allem möglichen versucht das ding zu löschen ohne...“
Optionen

Hallo MX Mc Grath.... Tja, ich hatte es mit SpyBot geschafft, dass die Startseite sich nicht mehr ändert und alle werte auf "blank" gesetzt... Die Links kommen aber trotzdem wieder :)) und heute morgen war auch die Such-/Startseite wieder da...

Werde wohl auch auf die "harte" Tour greifen und das System neu machen müssen...

Trotzdem allen herzlichen Dank!

Grüße
Funny...

bei Antwort benachrichtigen
brommy MX Mc Grath „Common Hijacker Virus?!+mshta.exe“
Optionen

Gehe zu folgendem Link : http://www.spywareinfo.com/~merijn/junk/CWShredder.exe und lade den CW Shredder runter. Schließe alle offenen Fenster und clicke den "NEXT" Button, nicht den "Scan" Button. Wenn der CW Shredder fertig ist, starte den PC neu und führe den CW Shredder nochmals aus ( "NEXT" Button ). Jetzt müsstest du das Problem los sein.

bei Antwort benachrichtigen
gegagel brommy „Gehe zu folgendem Link : http://www.spywareinfo.com/ merijn/junk/CWShredder.exe...“
Optionen

Guten Morgen, guten morgen, und es ist ein wirklich schöner Morgen, denn ich bin nun Mitglied und DANK dem SPITZENMÄSSIGEN Tip von "brommy" (der´s ECHT DRAUFHAT)
kann ich beruhigt ins Bett gehen. DER SPION IST ENTTARNT und VERNICHTET. "Common Hijacker" existiert nicht mehr!
Ich möchte Dir danken und allen verkünden, "DEIN TIP IST GOLD WERT"

Ein gutes, schönes, gesundes und von Viren befreites NeueJahr wünscht
Peter "gegagel"

bei Antwort benachrichtigen
funnyone MX Mc Grath „Common Hijacker Virus?!+mshta.exe“
Optionen

Leutz, Ihr seid Spitze!!!

Vor allem "brommy" einen herzlichen Dank :) Es hat geklappt.

Bisher habe ich nämlich mit der Behelfslösung (beim Aufruf des Explorers direkt about:blank mit anzugeben :) ) leben müssen...

Der Shredder hat sogar die blöden Favoriten wieder gelöscht!

Somit wünsche auch ich Euch allen einen guten, sauberen Start in das neue Jahr :)

Bye
Funny

bei Antwort benachrichtigen
brommy funnyone „Leutz, Ihr seid Spitze!!! Vor allem brommy einen herzlichen Dank : Es hat...“
Optionen

Freut mich das es bei dir und einigen anderen funktiniert hat !!!
Wünsche allen einen "guten Rutsch" und ein viren und wurmfreies 2004

Keep the fire burning !!!!
brommy

bei Antwort benachrichtigen
MX Mc Grath Nachtrag zu: „Common Hijacker Virus?!+mshta.exe“
Optionen

Hallo @Brommy ich hatte auch schon die CWS laufen doch auch leider dieses Programm hat es bei mir nicht geschaft wie gesagt habe auch Adaware und Spybot 1.3 beta 4 versucht auch ohne erfollg. Na ja macht jetzt auch nichts mehr habe mein System neu aufgesetz. @ funnyone ist bei dir auch die hh.htt datei weg? schön das es bei den anderen geklapt hat :-) Danke nochmals an alle die sich bemüht haben und einen Guten Rutsch ins neu Jahr ;-)

bei Antwort benachrichtigen
funnyone MX Mc Grath „Common Hijacker Virus?!+mshta.exe“
Optionen

Hallo MX Mc Grath ,

ich hab grad mal ne Suche laufen lassen und die HH.htt wurde nicht gefunden. Was mich wirklich auf das extremste freut :)

@all.... Guten rutsch :)

Grüße
Funny

bei Antwort benachrichtigen
herrderklaenge MX Mc Grath „Common Hijacker Virus?!+mshta.exe“
Optionen

@ brommy: TAUSEND DANK FÜR DEINEN HEISSEN TIP - DER CWS SHREDDER HAT DIESES LÄSTIGE PROBLEM BEI MIR GELÖST; WAS NORTON AV PROFESSIONAL;ADAWARE 6.0 UND DUTZENDE MANUELLE VERSUCHE IN DER REGISTRY NICHT GESCHAFFT HABEN ! DA ES SICH OFFENSICHTLICH ÜBER EINE ÄUSSERST ÜBLE VARIANTE HANDELTE; HIER FÜR ALLE NOCHMAL NE INTERESSANTE LINK ZUM DURCHLESEN ÜBER DIE ENTWICKLUNG UND AUSWIRKUNGEN DER EINZELNEN CWS VARIANTEN:

http://www.merijn.org/cwschronicles.html

CU HDK

bei Antwort benachrichtigen