Eintrag in Hijackthis-Log, browser Hijacker |
Willkommen, Gast ( Anmelden | Registrierung )
Eintrag in Hijackthis-Log, browser Hijacker |
11.07.2004, 20:10
Beitrag
#1
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 44 Mitglied seit: 11.07.2004 Mitglieds-Nr.: 1.197 |
hallo @,
mein problem ist , das ich mir einen browser hijacker eimgefangen habe. spybot, adaware und cwshredder konnten nicht helfen. auto.search.msn.com habe ich mit hijackthis gefixt. aber es kommt immer wieder die warnung vom spy sweeper das jemand versucht mich auf eine andere seite umzuleiten. ausserdem finde ich bei jedem scan: cws aboutblank und coolwww ich habe folgende einträge im Hijack-log: O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINNT\system32\FILORUX[.dll O18 - Filter: text/html - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINNT\system32\FILORUX[.dll O18 - Filter: text/plain - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINNT\system32\FILORUX[.dll den folgenden eintrag habe ich in einem anderen forum gefunden: O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}. stimmt ja fast mit meinen einträgen überein. kann ich die letzten 3 einträge bei mir fixen? es mag sich etwas holperig anhören, was ich schreibe , aber bis vor kurzem habe ich noch nicht mal gewusst, das es solche einträge in meinem pc gibt .das klingt nicht nur nach anfänger, es ist leider so!!!! kann mir jemand einen tipp geben?? aber langsam reden , bin wie gesagt anfänger danke für eure hilfe Baltus |
|
|
11.07.2004, 20:15
Beitrag
#2
|
|
Triumphator Gruppe: Freunde Beiträge: 2.099 Mitglied seit: 12.05.2004 Wohnort: Oberscheidweiler Mitglieds-Nr.: 812 Betriebssystem: Windows7 Virenscanner: KIS11 Firewall: KIS11 |
Am besten Du postest hier dein komplettes Log..
Grüße Christian |
|
|
11.07.2004, 20:33
Beitrag
#3
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 44 Mitglied seit: 11.07.2004 Mitglieds-Nr.: 1.197 |
hallo christian,
hier mein komplettes log: Logfile of HijackThis v1.98.0 Scan saved at 19:41:47, on 10.07.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe D:\Programme\Sygate\SPF\smc.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe d:\Programme\AVPersonal\AVGUARD.EXE d:\Programme\AVPersonal\AVWUPSRV.EXE D:\Programme\Executive Software\DiskeeperLite\DKService.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE D:\Programme\Trojancheck 6\tcguard.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe D:\Programme\AVPersonal\AVGNT.EXE D:\Programme\The Cleaner\tca.exe D:\Programme\The Cleaner\tcm.exe C:\Programme\AIM95\aim.exe C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe D:\Programme\BHODemon\BHODemon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Administrator.BALTUS\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {2BB4572F-2FB3-4B8B-B5FD-AFC78DCB622B} - (no file) O2 - BHO: (no name) - {47EC4237-DD97-4A71-99BE-931F9FD8348A} - (no file) O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - d:\Programme\SpywareGuard\dlprotect.dll O2 - BHO: (no name) - {4F567297-E5FE-4C4F-951D-2441A64503AB} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe" O4 - HKLM\..\Run: [SimpleScreenshot] C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [tcactive] d:\Programme\The Cleaner\tca.exe O4 - HKLM\..\Run: [tcmonitor] d:\Programme\The Cleaner\tcm.exe O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - Startup: BHODemon.lnk = D:\Programme\BHODemon\BHODemon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/13dbf0fcac98e1...RdxIE601_de.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4A831C7D-EA71-4101-8BF4-7DC5E4DE9218}: NameServer = 194.25.165.2,194.25.2.129 O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINNT\system32\FILORUX[.dll O18 - Filter: text/html - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINNT\system32\FILORUX[.dll O18 - Filter: text/plain - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINNT\system32\FILORUX[.dll oops, das ist mein 2. anlauf das log zu posten. mein pc hat gerade selbstständig einen neustart gemacht. hoffentlich kannst du oder das forum mir helfen danke im voraus Baltus |
|
|
11.07.2004, 20:39
Beitrag
#4
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 44 Mitglied seit: 11.07.2004 Mitglieds-Nr.: 1.197 |
mal noch ein paar informationen:
habe bisher immer den IE benutzt, seit einer woche nur noch mozilla-firefox. ich benutze aber immer noch den OE, und dann kommt immer die meldung von spy-sweeper : auto,search.msn.com 213. usw die meldung kommt bei mozilla nicht gruß Baltus |
|
|
11.07.2004, 20:47
Beitrag
#5
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.934 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Schick die DAtei einfach mal an virus@rokop-security.de
C:\WINNT\system32\FILORUX[.dll das scheint ein hijacker zu sein. Der wird nur beim IE oder OE aktiv. -------------------- MfG Ralf
|
|
|
11.07.2004, 21:23
Beitrag
#6
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 44 Mitglied seit: 11.07.2004 Mitglieds-Nr.: 1.197 |
hallo ralf,
würde ich ja gerne hinschicken die datei, bloss...... unter winnt/system32/ steht keine filorux datei!!! gruß Baltus |
|
|
11.07.2004, 21:47
Beitrag
#7
|
|
Triumphator Gruppe: Freunde Beiträge: 2.099 Mitglied seit: 12.05.2004 Wohnort: Oberscheidweiler Mitglieds-Nr.: 812 Betriebssystem: Windows7 Virenscanner: KIS11 Firewall: KIS11 |
Dann gehe mal im Windows Explorer unter Extrtas -->Ortneroptionen-->Ansicht und mache ein Häkchen unter "Versteckte Dateien und Ordner " vor "Alle Dateien und Ornder anzeigen"
|
|
|
11.07.2004, 22:08
Beitrag
#8
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 44 Mitglied seit: 11.07.2004 Mitglieds-Nr.: 1.197 |
ich finde beim IE unter extras keine ordneroptionen
mein system: win 2000 prof auf nt basis |
|
|
11.07.2004, 22:11
Beitrag
#9
|
|
Triumphator Gruppe: Freunde Beiträge: 2.099 Mitglied seit: 12.05.2004 Wohnort: Oberscheidweiler Mitglieds-Nr.: 812 Betriebssystem: Windows7 Virenscanner: KIS11 Firewall: KIS11 |
Sagte ich Internet Explorer oder Windows Explorer?????
|
|
|
11.07.2004, 22:17
Beitrag
#10
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 44 Mitglied seit: 11.07.2004 Mitglieds-Nr.: 1.197 |
na gut..... hast ja recht aber das häckchen stand schon auf alle dateien anzeigen..... mecker doch nicht gleich mit mir
|
|
|
11.07.2004, 22:31
Beitrag
#11
|
|
Triumphator Gruppe: Freunde Beiträge: 2.099 Mitglied seit: 12.05.2004 Wohnort: Oberscheidweiler Mitglieds-Nr.: 812 Betriebssystem: Windows7 Virenscanner: KIS11 Firewall: KIS11 |
Du könntest Dein System auch noch durchsuchen lassen....darauf achten das hinten noch eine eckige Klammer drann hängt...filorux[.dll !
Eventuell kannst du auch in den abgesicherten modus wechseln (F8 gedrückt halten wärend dem Neustart). Vielleicht zeigt sich das Biest dann... Und nebenbei ich meckere doch nicht mir dir Der Beitrag wurde von christian4u2 bearbeitet: 11.07.2004, 22:32 |
|
|
11.07.2004, 22:45
Beitrag
#12
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 44 Mitglied seit: 11.07.2004 Mitglieds-Nr.: 1.197 |
im suchmodus habe ich das gefunden!!!!
ich weiss doch das du nicht gemeckert hast!!!!! warum kann ich nicht die letzten 3 einträge beim hijack log nicht einfach fixen??? |
|
|
11.07.2004, 22:50
Beitrag
#13
|
|
Triumphator Gruppe: Freunde Beiträge: 2.099 Mitglied seit: 12.05.2004 Wohnort: Oberscheidweiler Mitglieds-Nr.: 812 Betriebssystem: Windows7 Virenscanner: KIS11 Firewall: KIS11 |
Weil damit nicht die Ursache deines Übels bereinigt wird, da die Einträge wahrscheinlich mit dieser dll-Datei generiert werden. Also, nachdem Du sie so schön gefunden hast schicke Sie doch per Mail an virus@rocop-security.de!!
Die analysieren sie und sagen Dir was Du mir ihr anstellen kannst... Grüße Christian |
|
|
11.07.2004, 22:54
Beitrag
#14
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.373 Mitglied seit: 15.04.2003 Wohnort: Monaco di Baviera Mitglieds-Nr.: 20 |
QUOTE(christian4u2 @ 11. July 2004, 23:49) ...schicke Sie doch per Mail an virus@rocop-security.de!! Das wird wahrscheinlich nicht ankommen. Nimm lieber virus@rokop-security.de, also mit 'k'. -------------------- But don’t forget the songs that made you cry And the songs that saved your life Yes, you’re older now, and you’re a clever swine But they were the only ones who ever stood by you. |
|
|
11.07.2004, 22:59
Beitrag
#15
|
|
Triumphator Gruppe: Freunde Beiträge: 2.099 Mitglied seit: 12.05.2004 Wohnort: Oberscheidweiler Mitglieds-Nr.: 812 Betriebssystem: Windows7 Virenscanner: KIS11 Firewall: KIS11 |
nagut heute mal an diese adresse
|
|
|
11.07.2004, 23:11
Beitrag
#16
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 44 Mitglied seit: 11.07.2004 Mitglieds-Nr.: 1.197 |
au backe ist das spannend!!! sowas habe ich ja noch nie gemacht!!!!
also ich habe das doppelt angeklickt... dann stand da "öffnen mit" da mein notepad nicht funktioniert habe ich es mit dem wordpad geöffnet... alles markiert und an die genannte adresse geschickt... habe ich das richtig gemacht??? sorry |
|
|
11.07.2004, 23:16
Beitrag
#17
|
|
Triumphator Gruppe: Freunde Beiträge: 2.099 Mitglied seit: 12.05.2004 Wohnort: Oberscheidweiler Mitglieds-Nr.: 812 Betriebssystem: Windows7 Virenscanner: KIS11 Firewall: KIS11 |
An Deiner Stelle würde ich mir angewöhnen unbekannte Dateien nicht zu öffnen. Das nächste mal eine neue Mail anfangen und die Datei als Dateianlage an diese Mail anhängen!!
Mal sehen ob sie mit dem was du ihnen geschickt hast etwas anfangen können... Der Beitrag wurde von christian4u2 bearbeitet: 11.07.2004, 23:16 |
|
|
11.07.2004, 23:26
Beitrag
#18
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 44 Mitglied seit: 11.07.2004 Mitglieds-Nr.: 1.197 |
hihi christian,
also, habe die datei bei "suchen" mit rechts angeklickt, öffnen mit wordpad, markiert und in die e-mail kopiert und abgeschickt.... ist das ok??? Baltus |
|
|
11.07.2004, 23:33
Beitrag
#19
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 44 Mitglied seit: 11.07.2004 Mitglieds-Nr.: 1.197 |
ooops
habe alles nicht sofort lesen können habe ich was falsches gemacht??? |
|
|
12.07.2004, 07:16
Beitrag
#20
|
|
Orakel-Profi Gruppe: Freunde Beiträge: 5.200 Mitglied seit: 07.12.2003 Wohnort: Weiden (Oberpfalz) Mitglieds-Nr.: 256 Betriebssystem: Linux Mint 17.1 |
Ja, die Datei kam leider vollkommen unlesbar bei uns an
Bitte hänge die Datei einfach an die Mail an; im Mail-Programm gibt es dafür eine entsprechende Funktion. -------------------- Grüße, Jörg
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 19.04.2024, 23:23 |