Common hijacker - Rokop Security

Rokop Security

Mitglieder Moderatoren

Regeln

Hilfe

Suche

Mitglieder

Kalender

Willkommen, Gast ( Anmelden | Registrierung )

Rokop Security > Security > HijackThis-Logs

Common hijacker, Startseite wird ueberschrieben

Einstellungen

rovan Profil ansehen	27.06.2004, 20:33 Beitrag #1
Ist neu hier Gruppe: Mitglieder Beiträge: 6 Mitglied seit: 27.06.2004 Mitglieds-Nr.: 1.088	Hallo Leute, vielleicht könnt Ihr mir helfen - hab mir zwei "Common hijacker" eingefangen. SpyBot und Ad-aware 6.0 können beide Einträge zwar löschen, aber nach dem naechsten Hochfahren sind sie wieder da. Einzige Auswirkung scheint das ändern meiner Startseite zu sein...? Verwendet habe ich bisher (je neuste Version) Ad-aware 6.0 SpyBot-Search & Destroy CWShredder Virenscanner: AntiVir Firewall: Sygate Personal Firewall HijackThis bringt folgend Info (kann damit leider nicht wirklich was anfangen). Was kann/soll/muss ich fixen...? Gruß und vielen Dank im Vorraus.. Rovan Logfile of HijackThis v1.97.7 Scan saved at 21:20:13, on 27.06.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\PROGRAMME\SYGATE\SPF\SMC.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\GMX PROGRAMME\CFOS\CFOSDW.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\SYSTEM32\WINEXPLOR.EXE C:\PROGRAMME\FREE HISTORY ERASER\HISTORYERASER.EXE C:\PROGRAMME\ANALOG DEVICES\TELEDAT 300 USB TREIBER\DSLMON.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\GMX PROGRAMME\GMX INTERNET MANAGER\GMX_INTERNET_MANAGER.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ "(Hab ich von Hand gerade geändert - sonst steht da die Adresse von irgendeiner Sexseite drin)" R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.webtvparty.com/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.webtvparty.com/searchbar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.webtvparty.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.webtvparty.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.webtvparty.com/searchbar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online F1 - win.ini: run=C:\PROGRA~1\GMXPRO~1\CFOS\CFOSDW.EXE O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRAMME\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE" +c O4 - HKLM\..\Run: [mysoft] C:\WINDOWS\SYSTEM32\WINEXPLOR.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE O4 - HKCU\..\Run: [SPSTEALT] "C:\PROGRAMME\FREE HISTORY ERASER\HISTORYERASER.EXE" /stealt O4 - Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE10\EXCEL.EXE/3000 O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O9 - Extra button: Recherche-Assistent (HKLM) O9 - Extra button: Real.com (HKLM) O13 - DefaultPrefix: O13 - WWW Prefix: O15 - Trusted Zone: http://.windowsupdate.mirosoft.com O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/....CAB?38165.4225

Antworten

rovan Profil ansehen	04.07.2004, 10:57 Beitrag #2
Ist neu hier Gruppe: Mitglieder Beiträge: 6 Mitglied seit: 27.06.2004 Mitglieds-Nr.: 1.088	Hab das File an virus@rokop-security.de geschickt. Mehr Info zu meinem "Problem" (ist vielleicht gar keines...) Search & Destroy findet folgenden Eintrag: Common hijacker --- Prefix change HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\www!=http:// Registrierungsdatenbank-Änderung --- Prefix change HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\!=http:// Registrierungsdatenbank-Änderung Ad-aware meldet 2 Neue Objekte - 2 Reg.Daten identifiziert Im Log steht das drin (Ausschnitt): Starte Prüfung der Registrierung ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Windows Objekt identifiziert! Typ : Reg.Daten Daten : Rootkey : HKEY_LOCAL_MACHINE Objekt : Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix Wert : Daten : Windows Objekt identifiziert! Typ : Reg.Daten Daten : Rootkey : HKEY_LOCAL_MACHINE Objekt : Software\Microsoft\Windows\CurrentVersion\URL\Prefixes Wert : www Daten : Löschen mit Ad-aware oder Spybot - Search & Destroy bringt nichts. CWShredder bringt auch nichts. Gruß Rovan

Beiträge in diesem Thema

rovan Common hijacker 27.06.2004, 20:33

Yopie QUOTEPlatform: Windows ME (Win9x 4.90.3000) Bitte ... 27.06.2004, 21:07

rovan Hallo Yopie, VIELEN DANK, das war die Lösung. Hab... 27.06.2004, 22:05

rovan Hallo Leute, eigentlich war ich der Meinung, ich ... 30.06.2004, 21:03

rovan Hab gerade gesehen das es eine neue Version von Hi... 30.06.2004, 21:38

rovan Hallo Leute, hab im vorigen Beitrag nochmals mein... 03.07.2004, 11:02

raman Diese Datei bitte mal an virus@rokop-security.de s... 03.07.2004, 11:10

rovan Hab das File an virus@rokop-security.de geschickt.... 04.07.2004, 10:57

« Vorhergehendes Thema · HijackThis-Logs · Folgendes Thema »

1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)

0 Mitglieder:

Anzeige Modus: Wechsle zu: Standard · Wechsle zu: Thema+ · Überblick

Thema abonnieren · Dieses Thema versenden · Dieses Thema ausdrucken · Forum abonnieren

Vereinfachte Darstellung

Aktuelles Datum: 27.05.2024, 19:03

Licensed to: Rokop Security

Impressum

Original Style by Bo Derek, further improvements and board management by Style Biz | Webdevelopment