highjacker

Dieses Thema highjacker im Forum "Sonstiges rund ums Internet" wurde erstellt von Martin123, 28. Juli 2004.

Thema: highjacker hallo zusammen, mein rechner hat sich irgendetwas eingefangen, was er nicht wieder los wird.... also, zunächst...

  1. hallo zusammen,

    mein rechner hat sich irgendetwas eingefangen, was er nicht wieder los wird.... also, zunächst erscheint eine seltsame startseiten (websearch oder so) obwohl ich eine andere startseite eingestellt habe. ich habe da schon hghjackthis drüber laufen lassen, aber die startseite erscheint nach wie vor. und setzt mit noch seltsame seiten in den verlauf....

    des weiteren findet mein antiviren programm ein trojanisches pferd. (TR/Dldr./will.0) welches der virenscanner aber nicht löschen kann.

    und wenn das alles noch nicht genug wäre, pop jedesmal wenn ich ins internet gehe und diese blöde startseite erscheint ein fenster auf, da mich auffordert irgendeine software zu instalieren. ich hoffe ihr könnt mir helfen.

    ich hänge mal eben den scan reprot von hikackthis an. vielleicht könnt ihr mir sagen, was ich löschen soll. die ganzen einträge mit webserach habe ich bereits gelöscht, ohne erfolg.


    Logfile of HijackThis v1.98.0
    Scan saved at 21:50:39, on 26.07.2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\Explorer.EXE
    D:\WINDOWS\system32\spoolsv.exe
    D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    D:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
    D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
    D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    D:\Programme\ScanSoft\OmniPageSE\opware32.exe
    D:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    D:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
    D:\Programme\AVPersonal\AVGNT.EXE
    D:\WINDOWS\System32\ctfmon.exe
    D:\Programme\Messenger\msmsgs.exe
    D:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
    D:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
    D:\Programme\WinZip\WZQKPICK.EXE
    D:\Programme\AVPersonal\AVGUARD.EXE
    D:\Programme\AVPersonal\AVWUPSRV.EXE
    D:\WINDOWS\system32\drivers\dcfssvc.exe
    D:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
    D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
    D:\WINDOWS\System32\wuauclt.exe
    C:\unzipped\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://weba.directwebsearch.net/search.html
    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://weba.directwebsearch.net/search.html
    R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://weba.directwebsearch.net/search.html
    R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://weba.directwebsearch.net/search.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://weba.directwebsearch.net/search.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://weba.directwebsearch.net/search.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://weba.directwebsearch.net/search.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gmx.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://weba.directwebsearch.net/search.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://weba.directwebsearch.net/search.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://weba.directwebsearch.net/search.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://weba.directwebsearch.net/index.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://weba.directwebsearch.net/search.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://weba.directwebsearch.net/search.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://weba.directwebsearch.net/search.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://weba.directwebsearch.net/search.html
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    F0 - system.ini: Shell=
    F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,
    O1 - Hosts: 69.31.79.101 auto.search.msn.com
    O1 - Hosts: 69.31.79.101 auto.search.msn.com
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [TkBellExe] D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
    O4 - HKLM\..\Run: [HP Software Update] D:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
    O4 - HKLM\..\Run: [DeviceDiscovery] D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    O4 - HKLM\..\Run: [DownloadWare] D:\Programme\DownloadWare\dw.exe /H
    O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [Omnipage] D:\Programme\ScanSoft\OmniPageSE\opware32.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] D:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
    O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
    O4 - HKLM\..\Run: [winupd] D:\WINDOWS\System32\winupd.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] D:\Programme\Messenger\msmsgs.exe /background
    O4 - Global Startup: Kodak EasyShare Software.lnk = D:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
    O4 - Global Startup: KODAK Software Updater.lnk = D:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra->Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
    O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
    O12 - Plugin for .mpeg: D:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
    O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://64.237.41.215:80/iex/ofile.exe?url=http://64.237.41.215:80/dexDE780.exe
     
  2. hp
    hp
    als erstes die systemwiederherstellung ausschalten, dann in den abgesicherten modus gehn und die kiste mit stinger, spybot, avast, ad-aware, cwshredder mal putzen. die tools gibts im downloadbereich. dann installier unbedingt das sp1 und mach den onlineupdate für deine kiste der ie ist auch noch ungapatched. dann lass nochmal hijackthis laufen und poste das ergebnis nochmal rein, dann sollten einige bösewichte weniger auftauchen und man tut sich einfacher ...

    greetz

    hugo
     
  3. hy zusammen,

    habe alles mal drüberlaufen lassen, muss nur noch den ie aktualisieren.. der scan fil sieht jetzt so aus.

    Logfile of HijackThis v1.98.0
    Scan saved at 20:24:49, on 30.07.2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\Explorer.EXE
    D:\WINDOWS\system32\spoolsv.exe
    D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    D:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
    D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
    D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    D:\Programme\ScanSoft\OmniPageSE\opware32.exe
    D:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    D:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
    D:\Programme\AVPersonal\AVGNT.EXE
    D:\WINDOWS\System32\ctfmon.exe
    D:\Programme\Messenger\msmsgs.exe
    D:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
    D:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
    D:\Programme\WinZip\WZQKPICK.EXE
    D:\Programme\AVPersonal\AVWUPSRV.EXE
    D:\WINDOWS\system32\drivers\dcfssvc.exe
    D:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
    D:\WINDOWS\System32\svchost.exe
    D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
    D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
    D:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
    D:\WINDOWS\msagent\AgentSvr.exe
    D:\Programme\Microsoft Office\Office10\WINWORD.EXE
    D:\WINDOWS\System32\wuauclt.exe
    D:\Programme\AVPersonal\AVGUARD.EXE
    D:\Programme\Microsoft Office\Office10\EXCEL.EXE
    C:\unzipped\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gmx.de/
    F0 - system.ini: Shell=
    F2 - REG:system.ini: UserInit=D:\WINDOWS\SYSTEM32\Userinit.exe,
    O4 - HKLM\..\Run: [TkBellExe] D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
    O4 - HKLM\..\Run: [HP Software Update] D:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
    O4 - HKLM\..\Run: [DeviceDiscovery] D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    O4 - HKLM\..\Run: [DownloadWare] D:\Programme\DownloadWare\dw.exe /H
    O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [Omnipage] D:\Programme\ScanSoft\OmniPageSE\opware32.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] D:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
    O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
    O4 - Global Startup: Kodak EasyShare Software.lnk = D:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
    O4 - Global Startup: KODAK Software Updater.lnk = D:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra->Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
    O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
    O12 - Plugin for .mpeg: D:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll

    Was muss denn da jetzt noch von gelöscht werden?

    Grüsse,

    Martin
     
  4. hp
    hp
    D:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
    O4 - Global Startup: KODAK Software Updater.lnk = D:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe

    wenn du das prog bewußt installiert hast, dann mußt du das nicht fixen, pestpatrol führt das prog in ihrer datenbank

    http://www.pestpatrol.com/PestInfo/b/backweb_lite.asp

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    den fixen

    und beim nächsten post alle programme die nicht unbedingt laufen müssen schließen, man tut sich leichter mit dem durchsuchen des logs. du läßt z.b. dein ganzes office mitlaufen, das sind unnötige einträge im log. dann solltest du noch das sp1 einspielen und das system auf den neuesten stand bringen ...

    greetz

    hugo
     
  5. alle Updates installiert? ???
    aktuell ist 6.0.2800.1106

    DownloadWare Spyware (MediaLoads)
    http://www.spy-bot.net/DownloadWare.asp
    unbedingt fixen

    Sun Java
    http://www.wintotal.de/softw/?id=1522
    wenn du es deinstalliert hast, kannst du diesen Punkt auch fixen

    Sun Java, siehe oben

    Alexa
    http://www.wintotal.de/Tipps/Eintrag.php?TID=384
    würde ich fixen

    Alexa, siehe oben

    du kannst auch deine Daten hier mal eingeben, damit du weißt, was sie bedeuten:
    http://www.wintotal.de/Spyware/

    pan_fee
     
  6. Danke euch allen,

    ihr seid die besten.

    Martin
     
Die Seite wird geladen...

highjacker - Ähnliche Themen

Forum Datum
highjacker auch Firefox ? Sonstiges rund ums Internet 2. Aug. 2004