Spybot

Hallo.
???Habe auf meinem Rechner (98SE) Spybot vor längerem installiert. Habe nach einem Update und anschließendem Scan folgende Meldung bekommenossible extension hijack Spybot gibt keine weiteren Infos dazu an. Die Meldung erscheint nach jedem Scan. Obwohl ich das Problem jedesmal makiere und von Spybot beheben lasse. Meine Frage ist jetzt was ist das für ein Prog und wie werde ich es wieder los??
Vielen Dank im vorraus.

für hijacking sind cwshredder und hijackthis zuständig. die tools gibts auch im downloadbereich, laß zuerst cwshredder laufen mit der option fix anschließend dann hijackthis un poste das log hier rein, dann kann dir geholfen werden. ließ auch mal den artikel von pan_fee, zu dem thema hijackthis ...

greetz

hugo

Das ist kein Artikel, sondern ein Tipp, wenngleich er den Umfang eines Artikels hat...
Den gibts hier: http://www.wintotal.de/Tipps/Eintrag.php?RBID=1&TID=873&URBID=3

Bitte genau lesen und alles so machen, wie dort beschrieben, ansonsten ist das Log nutzlos.

Hallo zusammen.
Habe bei Spybot noch folgenden eintrag unter Possible extension hijack gefunden efault command file handler
HKEY_CLASSES_ROOT\cmdfile\shell\open\command\!=?%1?%*

Anbei das Logfile von HIYACKTHIS
Die suche mit CHshreder war ohne Ergebnis(Also kein Eintrag)
Temp Dateien und Browser waren bei der Suche geschloßen bzw geleert.


Logfile of HijackThis v1.98.0
Scan saved at 11:38:28, on 24.07.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISSERV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\SYMPROXYSVC.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKUFIND.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\IAMAPP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\EIGENE DATEIEN\DOWNLOAD PROGRAMME\TRANSPARENT PROG\TRANSPARENTB.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\ATRACK.EXE
C:\EIGENE DATEIEN\DOWNLOAD PROGRAMME\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rz-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe -reg
O4 - HKLM\..\RunServices: [nisserv] C:\Programme\Norton Internet Security\NISSERV.EXE
O4 - HKCU\..\Run: [Microsoft Works Update Detection] ?\WkDetect.exe
O4 - Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Verknüpfung mit TransparentB.lnk = C:\Eigene Dateien\Download Programme\transparent Prog\TransparentB.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra->Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab

Hallo.
Habe das Log mal reingestellt. Leider bis jetzt noch keinen Tip bekommen ob da irgendetwas verdächtiges dabei ist. Habe bei IE auch keine veränderung bei Startseite oder sonstige verdächtigen Seiten. Schönen Tag noch und Danke für die zwei Tips mit den Progs.

meiner meinung nach ist da nichts auffälliges zu sehn, die meldung von spybot ist ja nur ein hinweis es könnte was sein, muß aber nicht. der eintrag den spybot anmeckert sollte den wert

%1 %* haben und nicht !=?%1?%*

versuch den wert mal mit regedit zu ändern, dann neu starten und spybot nochmal laufen lassen und prüfen ob er den schlüssel noch anmeckert ...

greetz

hugo

Hallo zusammen!
Danke für die hilfe und die hinweise. Habe nach eigenem suchen von Spybot ein Forum gefunden das sich nur mit Spybot geschäfftigt. Es scheint ein Bug direkt von Spybot zu sein. Das mit einem Update gelöst werden soll.
Vielen Dank und schönen Tag noch. 8)

Hallo

ich hatte genau die gleiche Meldung von Spybot.

Der Eintrag kommt immer wieder, aber nichts ungewöhnliches passiert. Es handelt sich tatsächlich um einen Bug.
Hattest du denn auch von CW-Shredder eine Meldung?
Der hat sich bei mir nämlich gleich hinterher gemeldet.

Hallo.
Cwshredder war ohne Befund.
Werde aber sobald ich Zeit habe mal den Tipp von Hp mal testen.
Schönen Tag noch.

Hallo.
Habe den Tipp von Hp mal getestet.
Der angegebene Schlüßel sieht in der Reg bei mir so aus.
HKEY_CLASSES_ROOT\cmdfile\shell\open\command\Standart''''
Der von Spybot angegebene ist nicht zufinden.
Denke es wird ein Bug von Spybot sein.
Werde mal das nächste Update von Spybot abwarten und das Ergebnis hier nochmal reinschreiben.
Wünsche allen einen schönen Tag noch und Danke für die Hilfe. 8)