- #1
A
Amducias
Neues Mitglied
Themenersteller
- Dabei seit
- 15.02.2004
- Beiträge
- 3
- Reaktionspunkte
- 0
Hallo,
ich habe mir wohl auch einen dieser HiJacker eingefangen und auch schon das FAQ dazu gelesen. Allerdings ist der Download zu dem CoolWebShredder irgendwie nicht mehr verfügbar und auch im Netz konnte ich ihn nicht finden.
Mit HiJackthis erhalte ich folgende Auflistung:
Logfile of HijackThis v1.97.7
Scan saved at 17:42:18, on 15.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINXPPRO\System32\smss.exe
C:\WINXPPRO\system32\winlogon.exe
C:\WINXPPRO\system32\services.exe
C:\WINXPPRO\system32\lsass.exe
C:\WINXPPRO\system32\svchost.exe
C:\WINXPPRO\System32\svchost.exe
C:\WINXPPRO\system32\spoolsv.exe
C:\WINXPPRO\Explorer.EXE
E:\AVPersonal\AVWUPSRV.EXE
C:\WINXPPRO\System32\nvsvc32.exe
C:\WINXPPRO\System32\svchost.exe
E:\cFos\cFosDNT.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINXPPRO\System32\WinSys.exe
C:\WINXPPRO\SOUNDMAN.EXE
E:\Winamp5\winamp.exe
E:\HiJackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://opti.riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://opti.riviera.cc (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://opti.riviera.cc (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://opti.riviera.cc (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://opti.riviera.cc (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://opti.riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated)
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINXPPRO\bi.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXPPRO\System32\msdxm.ocx
O3 - Toolbar: (no name) - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - (no file)
O4 - HKLM\..\Run: [cFosDNT] E:\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [WinSys] C:\WINXPPRO\System32\WinSys.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINXPPRO\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://e:\MICROS~1\Office10\EXCEL.EXE/3000
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4526F8A-7323-482B-A452-B854B4AB0726}: NameServer = 217.5.113.240 194.25.2.129
Könnt ihr mir vielleicht sagen, welcher Eintrag mir dort immer die http://riviera.cc als Startseite beschert? Habe die Einträge mit dem Zusatz obfuscate auch schon mal gelöscht und hatte bei einer neuen Sitzung das gleiche Problem. :/
Vielen Dank schon mal im voraus!
ich habe mir wohl auch einen dieser HiJacker eingefangen und auch schon das FAQ dazu gelesen. Allerdings ist der Download zu dem CoolWebShredder irgendwie nicht mehr verfügbar und auch im Netz konnte ich ihn nicht finden.
Mit HiJackthis erhalte ich folgende Auflistung:
Logfile of HijackThis v1.97.7
Scan saved at 17:42:18, on 15.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINXPPRO\System32\smss.exe
C:\WINXPPRO\system32\winlogon.exe
C:\WINXPPRO\system32\services.exe
C:\WINXPPRO\system32\lsass.exe
C:\WINXPPRO\system32\svchost.exe
C:\WINXPPRO\System32\svchost.exe
C:\WINXPPRO\system32\spoolsv.exe
C:\WINXPPRO\Explorer.EXE
E:\AVPersonal\AVWUPSRV.EXE
C:\WINXPPRO\System32\nvsvc32.exe
C:\WINXPPRO\System32\svchost.exe
E:\cFos\cFosDNT.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINXPPRO\System32\WinSys.exe
C:\WINXPPRO\SOUNDMAN.EXE
E:\Winamp5\winamp.exe
E:\HiJackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://opti.riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://opti.riviera.cc (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://opti.riviera.cc (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://opti.riviera.cc (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://opti.riviera.cc (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://opti.riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated)
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINXPPRO\bi.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXPPRO\System32\msdxm.ocx
O3 - Toolbar: (no name) - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - (no file)
O4 - HKLM\..\Run: [cFosDNT] E:\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [WinSys] C:\WINXPPRO\System32\WinSys.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINXPPRO\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://e:\MICROS~1\Office10\EXCEL.EXE/3000
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4526F8A-7323-482B-A452-B854B4AB0726}: NameServer = 217.5.113.240 194.25.2.129
Könnt ihr mir vielleicht sagen, welcher Eintrag mir dort immer die http://riviera.cc als Startseite beschert? Habe die Einträge mit dem Zusatz obfuscate auch schon mal gelöscht und hatte bei einer neuen Sitzung das gleiche Problem. :/
Vielen Dank schon mal im voraus!