|
unlösbarer Hijacker Ich habe folgendes Prob. Beim Scan mit Adaware wird immer folgender Hijacker gefunden und entfernt. Nach dem Entfernen kann ich sofort neu Scannen und er ist wieder da. Vendor:Possible Browser Hijack attempt Category:Data Miner Object Type:RegData Size:12 Bytes Location:...\Software\Microsoft\Internet Explorer\Main "Start Page" ("about:blank") Last Activity:29.08.2004 Risk Level:Moderate TAC index:3 Comment:Possible Browser Hijack attempt Description:Possible attempt to control/redirect the browser. This object referrs to a "blacklisted" site. If the site listed is the site intended (in other words, it is set to the setting you wish it to be set to), add this listing to your ignorelist. If not, then selecting this item will reset your browser to the default setting for this item. Spybot findet gar nix. Esafe und Anitvir finden auch nix. Auch im abgesicherten Modus. Ich hab mal mit Hijackthis ein Logfile analysieren lassen. Meiner Meinung is da auch nix dabei. Hier das Logfile: Logfile of HijackThis v1.98.2 Scan saved at 17:34:20, on 29.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Cherry\KeyMan\KeyMan.exe C:\TV Movie\TV Movie ClickFinder\tvtip.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\System32\ctfmon.exe C:\Logitech\MouseWare\system\em_exec.exe C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe C:\FRITZ!\FriFax32.exe D:\ShortCut\ShortCut.exe C:\Programme\TechniSat DVB\bin\Server4PC.exe C:\ISDNMoni\isdnmo32.exe D:\OnlineCounter 2004\OnlineCounter.exe C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\WINDOWS\System32\hpoipm07.exe C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe C:\Programme\ASTRA-NET Proxy\proxy.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Cherry\CDI\CDI.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\ASTRA-NET Proxy\proxy.exe C:\WINDOWS\System32\svchost.exe C:\MOZILLA\MOZILLA.EXE H:\Downloads\Spywarechecker\HIJackThis\hijackthis1982\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = h**p://127.0.0.1:2517/www/proxy.pac R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINDOWS\system32\pidd.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [CherryKeyman] "C:\Cherry\KeyMan\KeyMan.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TVTip] C:\TV Movie\TV Movie ClickFinder\tvtip.EXE /m O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\MOZILLA\MOZILLA.EXE" -turbo O4 - Startup: OnlineCounter 2004-Autostart.lnk = D:\OnlineCounter 2004\OnlineCounter-Autostart.exe O4 - Startup: ISDNMoni.lnk = C:\ISDNMoni\isdnmo32.exe O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: FRITZ!fax.lnk = C:\FRITZ!\FriFax32.exe O4 - Global Startup: ShortCut.lnk = D:\ShortCut\ShortCut.exe O4 - Global Startup: Server4PC.lnk = C:\Programme\TechniSat DVB\bin\Server4PC.exe O4 - Global Startup: ASTRA-NET Proxy.lnk = C:\Programme\ASTRA-NET Proxy\Start_Proxy.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\keyman\IEMenuExtKeyman.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll O15 - Trusted Zone: O15 - Trusted Zone: O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5co...b?1093511575031 O17 - HKLM\System\CCS\Services\Tcpip\..\{16FCB9D6-5E8B-4841-85F3-23171F2CA2FC}: NameServer = 212.168.40.5 O17 - HKLM\System\CCS\Services\Tcpip\..\{9749A235-B6BE-4955-AA9F-46F106E7D578}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{C40D5FC0-E0D9-4EDA-85B5-29899BBFA2E2}: NameServer = 145.253.2.81 145.253.2.203 O17 - HKLM\System\CS1\Services\Tcpip\..\{16FCB9D6-5E8B-4841-85F3-23171F2CA2FC}: NameServer = 212.168.40.5 O17 - HKLM\System\CS2\Services\Tcpip\..\{16FCB9D6-5E8B-4841-85F3-23171F2CA2FC}: NameServer = 212.168.40.5 O17 - HKLM\System\CS3\Services\Tcpip\..\{16FCB9D6-5E8B-4841-85F3-23171F2CA2FC}: NameServer = 212.168.40.5 wer kann helfen? Danke Tom |
Scanne mal mit eScan im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083 Was wurde alles gefunden? Danach poste neues Logfile von HijackThis. |
Fragt sich wo mein Posting geblieben ist, hatte auch schon mal drauf geantwortet : Also Amigo, ich bitte Dich mir mal bitte diese ShortCut.exe via zipfile an meine eMail Addy zu senden welche wäre guide-alby(at)gmx.de. (Versieh die bitte mit einem PW deiner wahl und vergiß nicht das PW mitzusenden) - Danke Diese Datei ist nämlich mir nicht ganz geheuer.... |
|
Zitat:
|
Zitat:
Hallo, hab ich ja bereits geschrieben und negativ. Anscheinend handelt es sich hier um einen HIjack Versuch, der mehr oder weniger nur von Adaware gemeldet wird, weil die Startseite meines IE about.blank ist. Die Datei pidd.dll ist von meinem Personal ID Stick. Soll ich sie Dir trotzdem schicken? gruss Helmut |
Hi, Helmi! Ad-Aware findet immer die Startseite "about blank" im Internet Explorer als HiJackAttempt. Kannst ruhig stehen lassen; ist kein Hijacker. :) Verschwindet, wenn Du Mozilla -übrigens auch mit Startseite "blank" -benutzt! Grüße Alex |
Zitat:
Hi, die Datei kommt von den Program shortcut , siehe wwwtyper.de Ich kann sie dir aber trotzdem schicken, wenn du möchtest. |
Nein, wenn du die Datei kennst, ist dies nicht nötig. Achso, deine Startseite ist immer "about:blank". Wenn du dies eingetragen hast, dann ist dies natürlich ok. Ad-aware hat hier einen Bug - der schon im Build 181 vorhanden war. Vielleicht wird ja dieser Bug mit einer der angekündigten nächsten Version behoben. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:27 Uhr. |
Copyright ©2000-2025, Trojaner-Board