ich krieg´s einfach nicht weg...

Dieses Thema ich krieg´s einfach nicht weg... im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von aSh, 6. Feb. 2005.

Thema: ich krieg´s einfach nicht weg... hallo erstmal an alle. da ich schoen oefter beim googlen auf diese seite hier gestossen bin, habe ich mich nun...

  1. aSh
    aSh
    hallo erstmal an alle.
    da ich schoen oefter beim googlen auf diese seite hier gestossen bin, habe ich mich nun auchmal hier registriert und bringe gleich ein hartnaeckiges problem mit.

    heute morgen habe ich eine seite im internet angewaehlt, die mir einen haessliches browserhijacker installiert hat, den ich nicht mehr weg bekomme.
    ich hab es schon mit etlichster software, wie Ad-Aware SE Personal, Spybot - Search & Destroy, Microsoft AntiSpyware, Hijackthis und dem CW-Shredder probiert. leider ALLES ohne erfolg. selbst das von hand loeschen aus der registry (HKLM/Software/Autoloader + HKLM/Software/Microsoft/InternetExplorer/AutoURL) half nix.

    vielleicht hat jemand eine idee, wie ich dieses zeug raus bekomme und den BHO gleich mit. hier mein hijack.log:

    Logfile of HijackThis v1.99.0
    Scan saved at 11:09:58, on 06.02.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\CTHELPER.EXE
    C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\wuauclt.exe
    D:\NEU\sicherheit\antispy etc\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unf-unf.de/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    O1 - Hosts: 69.20.16.183 auto.search.msn.com
    O1 - Hosts: 69.20.16.183 search.netscape.com
    O1 - Hosts: 69.20.16.183 ieautosearch
    O2 - BHO: (no name) - {F8A41687-4671-93F3-B27D-C8D3638165DA} - (no file)
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
    O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKCU\..\Run: [Spyware Doctor] C:\Programme\Spyware Doctor\swdoctor.exe /Q
    O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Download Manager\dlall.htm
    O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Download Manager\dlselected.htm
    O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Download Manager\dllink.htm
    O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C:\Programme\Download Manager\dlpage.htm
    O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
    O9 - Extra->Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


    bitte melden, wenn weitere infos benoetigt werden (spybot-suchergebnis o.ä.).


    P.S. Ich gelobe feilerlich an dieser Stelle mich um einen Alternativbrowser zu kuemmern. :D


    gruß der aSh
     
  2. aSh
    aSh
    ich habe gerade ein thread entdeckt, indem folgendes beschrieben wurde:

    zitat:
    O1 - Hosts: 69.20.16.183 auto.search.msn.com
    O1 - Hosts: 69.20.16.183 search.netscape.com
    O1 - Hosts: 69.20.16.183 ieautosearch

    das sind einträge die stehen in der hosts datei drin. die steht unter %systemroot%\system32\drivers\etc und die mußt du mit dem notepad öffnen und alle eintrage bis auf den eintrag 127.0.0.1 localhost löschen ...

    das habe ich ausgefuehrt und werde nun noch spybot, ad-aware und cw-shredder im abgesicherten modus durchfuehren.

    viel glueck wuensch ich mir ;D.
     
  3. aSh
    aSh
    es geht nicht:

    spybot findet das hier :
    --- Report generated: 2005-02-06 11:56 ---

    DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
      HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

    DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
      HKEY_USERS\S-1-5-21-1390067357-616249376-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

    DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
      HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

    DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
      HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

    DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
      HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

    Common hijacker: Umgeleiteter Host (Umgeleiteter Host, fixed)
     

    Common hijacker: Umgeleiteter Host (Umgeleiteter Host, fixed)
     

    CoolWWWSearch.Bootconf: Umgeleiteter Host (Umgeleiteter Host, fixed)
     

    CoolWWWSearch.Loadbat: Umgeleiteter Host (Umgeleiteter Host, fixed)
     

    CoolWWWSearch.Msconfd: Umgeleiteter Host (Umgeleiteter Host, fixed)
     

    CoolWWWSearch.Oslogo: Umgeleiteter Host (Umgeleiteter Host, nothing done)
     

    CoolWWWSearch.Tapicfg: Umgeleiteter Host (Umgeleiteter Host, nothing done)
     

    CoolWWWSearch.Xmlmimefilter: Umgeleiteter Host (Umgeleiteter Host, nothing done)
     

    IGetNet: Umgeleiteter Host (Umgeleiteter Host, fixed)

    kann es aber nicht beseitigen...
     
  4. aSh
    aSh
  5. Spybot meldet DSO Exploit in Zones 1004!=W=3:
    http://www.wintotal.de/Tipps/Eintrag.php?TID=959

    pan_fee
     
  6. aSh
    aSh
    danke fuer deine hilfe.
    es war ein wirklich hartnaeckiger hijacker, der sich im system32-ordner mithilfe staendigem neuerstellen von *.dll-dateien festgesetzt hat. das gemeine daran war, dass er den neu erstellten dateien immer wieder neue namen gegeben hat. so konnte ich die dateien im abgesicherten modus loeschen, so oft ich wollte.


    naja, nun habe ich mittlerweile ein komplett neues system aufgesetzt und den ie in die ewigen jagdgruende geschickt und stromer nun mit dem firefox durch die internet-lande.


    gruß

    der aSh
     
  7. hp
    hp
    sorry, dein problem ist nicht der ie sondern du selber. der firefox schützt dich nur bedingt gegen solche malware, wenn du nicht selber mal dein surfverhalten überdenkst ...

    greetz

    hugo
     
Die Seite wird geladen...

ich krieg´s einfach nicht weg... - Ähnliche Themen

Forum Datum
Hilfe zu einem einfachen Batchjob gesucht Software: Empfehlungen, Gesuche & Problemlösungen 22. Mai 2016
Update von 7 auf 10 klappt einfach nicht Windows 7 Forum 27. Apr. 2016
MoBo tauschen - einfach so möglich!? Hardware 30. März 2016
Update kommt einfach nicht vorran Windows 7 Forum 27. Feb. 2016
Bluetooth Verbindung vom Handy zum PC klappt einfach nicht Windows 8 Forum 22. Juni 2014