Common hijacker, Startseite wird ueberschrieben |
Willkommen, Gast ( Anmelden | Registrierung )
Common hijacker, Startseite wird ueberschrieben |
27.06.2004, 20:33
Beitrag
#1
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 6 Mitglied seit: 27.06.2004 Mitglieds-Nr.: 1.088 |
Hallo Leute,
vielleicht könnt Ihr mir helfen - hab mir zwei "Common hijacker" eingefangen. SpyBot und Ad-aware 6.0 können beide Einträge zwar löschen, aber nach dem naechsten Hochfahren sind sie wieder da. Einzige Auswirkung scheint das ändern meiner Startseite zu sein...? Verwendet habe ich bisher (je neuste Version) Ad-aware 6.0 SpyBot-Search & Destroy CWShredder Virenscanner: AntiVir Firewall: Sygate Personal Firewall HijackThis bringt folgend Info (kann damit leider nicht wirklich was anfangen). Was kann/soll/muss ich fixen...? Gruß und vielen Dank im Vorraus.. Rovan Logfile of HijackThis v1.97.7 Scan saved at 21:20:13, on 27.06.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\PROGRAMME\SYGATE\SPF\SMC.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\GMX PROGRAMME\CFOS\CFOSDW.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\SYSTEM32\WINEXPLOR.EXE C:\PROGRAMME\FREE HISTORY ERASER\HISTORYERASER.EXE C:\PROGRAMME\ANALOG DEVICES\TELEDAT 300 USB TREIBER\DSLMON.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\GMX PROGRAMME\GMX INTERNET MANAGER\GMX_INTERNET_MANAGER.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ "(Hab ich von Hand gerade geändert - sonst steht da die Adresse von irgendeiner Sexseite drin)" R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.webtvparty.com/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.webtvparty.com/searchbar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.webtvparty.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.webtvparty.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.webtvparty.com/searchbar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online F1 - win.ini: run=C:\PROGRA~1\GMXPRO~1\CFOS\CFOSDW.EXE O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRAMME\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE" +c O4 - HKLM\..\Run: [mysoft] C:\WINDOWS\SYSTEM32\WINEXPLOR.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE O4 - HKCU\..\Run: [SPSTEALT] "C:\PROGRAMME\FREE HISTORY ERASER\HISTORYERASER.EXE" /stealt O4 - Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE10\EXCEL.EXE/3000 O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O9 - Extra button: Recherche-Assistent (HKLM) O9 - Extra button: Real.com (HKLM) O13 - DefaultPrefix: O13 - WWW Prefix: O15 - Trusted Zone: http://*.windowsupdate.mirosoft.com O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/....CAB?38165.4225 |
|
|
04.07.2004, 10:57
Beitrag
#2
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 6 Mitglied seit: 27.06.2004 Mitglieds-Nr.: 1.088 |
Hab das File an virus@rokop-security.de geschickt.
Mehr Info zu meinem "Problem" (ist vielleicht gar keines...) Search & Destroy findet folgenden Eintrag: Common hijacker --- Prefix change HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\www!=http:// Registrierungsdatenbank-Änderung --- Prefix change HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\!=http:// Registrierungsdatenbank-Änderung Ad-aware meldet 2 Neue Objekte - 2 Reg.Daten identifiziert Im Log steht das drin (Ausschnitt): Starte Prüfung der Registrierung ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Windows Objekt identifiziert! Typ : Reg.Daten Daten : Rootkey : HKEY_LOCAL_MACHINE Objekt : Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix Wert : Daten : Windows Objekt identifiziert! Typ : Reg.Daten Daten : Rootkey : HKEY_LOCAL_MACHINE Objekt : Software\Microsoft\Windows\CurrentVersion\URL\Prefixes Wert : www Daten : Löschen mit Ad-aware oder Spybot - Search & Destroy bringt nichts. CWShredder bringt auch nichts. Gruß Rovan |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 27.05.2024, 19:03 |