Common hijacker - Rokop Security

Rokop Security

Mitglieder Moderatoren

Willkommen, Gast ( Anmelden | Registrierung )

Rokop Security > Security > HijackThis-Logs

Reply to this topic

Start new topic

Common hijacker, Startseite wird ueberschrieben

rovan Profil ansehen	27.06.2004, 20:33 Beitrag #1
Ist neu hier Gruppe: Mitglieder Beiträge: 6 Mitglied seit: 27.06.2004 Mitglieds-Nr.: 1.088	Hallo Leute, vielleicht könnt Ihr mir helfen - hab mir zwei "Common hijacker" eingefangen. SpyBot und Ad-aware 6.0 können beide Einträge zwar löschen, aber nach dem naechsten Hochfahren sind sie wieder da. Einzige Auswirkung scheint das ändern meiner Startseite zu sein...? Verwendet habe ich bisher (je neuste Version) Ad-aware 6.0 SpyBot-Search & Destroy CWShredder Virenscanner: AntiVir Firewall: Sygate Personal Firewall HijackThis bringt folgend Info (kann damit leider nicht wirklich was anfangen). Was kann/soll/muss ich fixen...? Gruß und vielen Dank im Vorraus.. Rovan Logfile of HijackThis v1.97.7 Scan saved at 21:20:13, on 27.06.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\PROGRAMME\SYGATE\SPF\SMC.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\GMX PROGRAMME\CFOS\CFOSDW.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\SYSTEM32\WINEXPLOR.EXE C:\PROGRAMME\FREE HISTORY ERASER\HISTORYERASER.EXE C:\PROGRAMME\ANALOG DEVICES\TELEDAT 300 USB TREIBER\DSLMON.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\GMX PROGRAMME\GMX INTERNET MANAGER\GMX_INTERNET_MANAGER.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ "(Hab ich von Hand gerade geändert - sonst steht da die Adresse von irgendeiner Sexseite drin)" R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.webtvparty.com/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.webtvparty.com/searchbar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.webtvparty.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.webtvparty.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.webtvparty.com/searchbar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online F1 - win.ini: run=C:\PROGRA~1\GMXPRO~1\CFOS\CFOSDW.EXE O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRAMME\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE" +c O4 - HKLM\..\Run: [mysoft] C:\WINDOWS\SYSTEM32\WINEXPLOR.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE O4 - HKCU\..\Run: [SPSTEALT] "C:\PROGRAMME\FREE HISTORY ERASER\HISTORYERASER.EXE" /stealt O4 - Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE10\EXCEL.EXE/3000 O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O9 - Extra button: Recherche-Assistent (HKLM) O9 - Extra button: Real.com (HKLM) O13 - DefaultPrefix: O13 - WWW Prefix: O15 - Trusted Zone: http://.windowsupdate.mirosoft.com O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/....CAB?38165.4225

Yopie Profil ansehen	27.06.2004, 21:07 Beitrag #2
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.373 Mitglied seit: 15.04.2003 Wohnort: Monaco di Baviera Mitglieds-Nr.: 20	QUOTE Platform: Windows ME (Win9x 4.90.3000) Bitte prüf mal bei http://www.windowsupdate.com , ob es neue Updates gibt. (bei mir steht da Win9x 4.10.2222A) Diesen Prozess beenden (z.B. mit http://www.trojancheck.de ): C:\WINDOWS\SYSTEM32\WINEXPLOR.EXE (es sein denn, Du kennst die Datei und befindest sie für gutartig) Folgende Einträge "fixen": R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.webtvparty.com/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.webtvparty.com/searchbar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.webtvparty.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.webtvparty.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.webtvparty.com/searchbar.html [...] O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - (no file) [...] O4 - HKLM\..\Run: [mysoft] C:\WINDOWS\SYSTEM32\WINEXPLOR.EXE (es sein denn, Du kennst die Datei und...) Wenn alles sauber ist und der Hijacker weg ist, gilt: <gebetsmühle> Um in Zukunft so einen Ärger zu vermeiden solltest Du den Browser wechseln. der IE ist auch mit allen Patches noch unsicher und eigentlich nur für http://www.windowsupdate.com zu benutzen. Die sicheren und besseren Alternativen sind Mozilla, Firefox und Opera. </gebetsmühle> -------------------- But don’t forget the songs that made you cry And the songs that saved your life Yes, you’re older now, and you’re a clever swine But they were the only ones who ever stood by you.

rovan Profil ansehen	27.06.2004, 22:05 Beitrag #3
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 6 Mitglied seit: 27.06.2004 Mitglieds-Nr.: 1.088	Hallo Yopie, VIELEN DANK, das war die Lösung. Hab den Prozess mit "Trojancheck" abgebrochen. Das File: C:\WINDOWS\SYSTEM32\WINEXPLOR.EXE umbenannt und nochmals Spybot - Search & Destroy drüberlaufen lassen - bebootet und weg war das Problem... Windows ME (Win9x 4.90.3000) sollte die aktuelle Version sein. Micorsoft Update bietet mir nichts neueres an... liegt vielleicht am ME. Das mit dem Browser werd ich mir überlegen.... hab auf dem Rechner schon lange Opera laufen... aber im Büro verwenden wir auch den InternetExplorer und man wird halt auf die Dauer unflexibel... (sau schwache Entschuldigung) Gruß Rovan

rovan Profil ansehen	30.06.2004, 21:03 Beitrag #4
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 6 Mitglied seit: 27.06.2004 Mitglieds-Nr.: 1.088	Hallo Leute, eigentlich war ich der Meinung, ich bin die beiden "Common hijacker" los. Aber sowohl Ad-aware 6.0 als auch Spybot - Search & Destroy findet 2 Einträge (die gleichen wie im allerersten Email beschrieben). Beide Programme können beide Einträge löschen, aber nach dem nächsten Booten sind beide "Common hijacker" wieder da. Wirkung sehe ich aber keinerlei.... Anbei findet Ihr das LogFile vor dem Löschen der beiden "Common hijacker". Vielleicht sehr Ihr ja noch ein Problem.... Gruß Rovan.... Logfile of HijackThis v1.97.7 Scan saved at 21:45:59, on 30.06.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\PROGRAMME\SYGATE\SPF\SMC.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\GMX PROGRAMME\CFOS\CFOSDW.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\PROGRAMME\FREE HISTORY ERASER\HISTORYERASER.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\ANALOG DEVICES\TELEDAT 300 USB TREIBER\DSLMON.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac F1 - win.ini: run=C:\PROGRA~1\GMXPRO~1\CFOS\CFOSDW.EXE O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRAMME\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE" +c O4 - HKLM\..\Run: [mysoft] C:\WINDOWS\SYSTEM32\WINEXPLOR.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE O4 - HKCU\..\Run: [SPSTEALT] "C:\PROGRAMME\FREE HISTORY ERASER\HISTORYERASER.EXE" /stealt O4 - Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE10\EXCEL.EXE/3000 O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O9 - Extra button: Recherche-Assistent (HKLM) O9 - Extra button: Real.com (HKLM) O13 - DefaultPrefix: O13 - WWW Prefix: O15 - Trusted Zone: http://.windowsupdate.mirosoft.com O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/....CAB?38165.4225

rovan Profil ansehen	30.06.2004, 21:38 Beitrag #5
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 6 Mitglied seit: 27.06.2004 Mitglieds-Nr.: 1.088	Hab gerade gesehen das es eine neue Version von HijackThis gibt. Hier ist das LogFile mit der neuen Version.... Vielleicht kann jemand hier "was" finden Gruß Rovan Logfile of HijackThis v1.98.0 Scan saved at 22:25:15, on 30.06.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\PROGRAMME\SYGATE\SPF\SMC.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\PROGRAMME\GMX PROGRAMME\CFOS\CFOSDW.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\FREE HISTORY ERASER\HISTORYERASER.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\ANALOG DEVICES\TELEDAT 300 USB TREIBER\DSLMON.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac F1 - win.ini: run=C:\PROGRA~1\GMXPRO~1\CFOS\CFOSDW.EXE O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRAMME\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE" +c O4 - HKLM\..\Run: [mysoft] C:\WINDOWS\SYSTEM32\WINEXPLOR.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE O4 - HKCU\..\Run: [SPSTEALT] "C:\PROGRAMME\FREE HISTORY ERASER\HISTORYERASER.EXE" /stealt O4 - Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE10\EXCEL.EXE/3000 O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O13 - DefaultPrefix: O13 - WWW Prefix: O15 - Trusted Zone: http://.windowsupdate.mirosoft.com O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\msero.dll O18 - Protocol: msencarta - {74D92DF3-6D9D-11D1-8B38-006097DBED7A} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\MSREF.DLL O18 - Protocol: msref - {74D92DF3-6D9D-11D1-8B38-006097DBED7A} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\MSREF.DLL O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL

rovan Profil ansehen	03.07.2004, 11:02 Beitrag #6
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 6 Mitglied seit: 27.06.2004 Mitglieds-Nr.: 1.088	Hallo Leute, hab im vorigen Beitrag nochmals mein Log-File dargestellt. Gibt immer noch den Fehler mit den beiden Commen Hijacker... Ist das ein Problem? Gruß Rovan

raman Profil ansehen	03.07.2004, 11:10 Beitrag #7
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.934 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59	Diese Datei bitte mal an virus@rokop-security.de schicken: C:\WINDOWS\SYSTEM32\WINEXPLOR.EXE wenn du sie noch hast. In welchen Eintraegen findet Adaware den Hijacker denn noch? -------------------- MfG Ralf

rovan Profil ansehen	04.07.2004, 10:57 Beitrag #8
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 6 Mitglied seit: 27.06.2004 Mitglieds-Nr.: 1.088	Hab das File an virus@rokop-security.de geschickt. Mehr Info zu meinem "Problem" (ist vielleicht gar keines...) Search & Destroy findet folgenden Eintrag: Common hijacker --- Prefix change HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\www!=http:// Registrierungsdatenbank-Änderung --- Prefix change HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\!=http:// Registrierungsdatenbank-Änderung Ad-aware meldet 2 Neue Objekte - 2 Reg.Daten identifiziert Im Log steht das drin (Ausschnitt): Starte Prüfung der Registrierung ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Windows Objekt identifiziert! Typ : Reg.Daten Daten : Rootkey : HKEY_LOCAL_MACHINE Objekt : Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix Wert : Daten : Windows Objekt identifiziert! Typ : Reg.Daten Daten : Rootkey : HKEY_LOCAL_MACHINE Objekt : Software\Microsoft\Windows\CurrentVersion\URL\Prefixes Wert : www Daten : Löschen mit Ad-aware oder Spybot - Search & Destroy bringt nichts. CWShredder bringt auch nichts. Gruß Rovan

« Vorhergehendes Thema · HijackThis-Logs · Folgendes Thema »

Reply to this topic

Start new topic

1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)

0 Mitglieder:

Anzeige Modus: Standard · Wechsle zu: Thema+ · Wechsle zu: Überblick

Thema abonnieren · Dieses Thema versenden · Dieses Thema ausdrucken · Forum abonnieren

Vereinfachte Darstellung

Aktuelles Datum: 16.04.2024, 21:23

Powered By IP.Board © 2024 IPS, Inc.

Licensed to: Rokop Security

Original Style by Bo Derek, further improvements and board management by Style Biz | Webdevelopment