|
Hallo. Ich habe ein Problem, und frage mich, ob jemand helfen kann. Seit einigen Tagen werden bestimmte Adressen auf meinem IE6 gehijackt. www.google.de wird zu www.www.google.de.com (United-Domains), www.google.co.uk und www.google.com, aber auch sites wir symantec und Microsoft funktionieren gar nicht mehr. Ich habe verschiedene scanner durchlaufen lassen (f-prot, spybot, CW shredder), aber das Problem besteht weiter. Kann mir jemand helfen? HH Anbei mein "hijack this" log: Logfile of HijackThis v1.97.7 Scan saved at 12:22:18, on 29/03/04 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\CPQALERT.EXE C:\WINDOWS\CPQDMI.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\DMI98\WIN32\BIN\WIN32SL.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\ESSNDSYS.EXE C:\WINDOWS\SYSTEM\CHPSTART.EXE C:\PROGRAMME\COMPAQ\PROGRAMMABLE KEYS 95\CPQKL.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\PROGRAMME\CD-WRITER PLUS\DIRECTCD\DIRECTCD.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAMME\FSI\F-PROT\F-STOPW.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\PROGRAMME\VERBATIM STORE N GO\VERBATIM STORE 'N' GO.EXE C:\WINDOWS\SYSTEM\WLANSTA.EXE C:\PROGRAMME\FSI\F-PROT\F-SCHED.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\DESKTOP\ANTI VIRUS ETC\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.faz.net/s/homepage.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm F1 - win.ini: run=hpfsched O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [ESSNDSYS] ESSNDSYS.EXE O4 - HKLM\..\Run: [CHIPSStart] CHPSTART.EXE O4 - HKLM\..\Run: [Compaq PK Daemon] C:\Programme\COMPAQ\Programmable Keys 95\CPQKL.EXE O4 - HKLM\..\Run: [Hibernation] C:\Programme\COMPAQ\PWRCON\HIB32.EXE O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [Adaptec DirectCD] C:\Programme\CD-Writer Plus\DirectCD\DIRECTCD.EXE O4 - HKLM\..\Run: [CPQCalib] C:\Programme\COMPAQ\PWRCON\CPQCALIB.EXE O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [F-STOPW.EXE] "C:\Programme\FSI\F-Prot\F-STOPW.EXE" O4 - HKLM\..\Run: [System Tray] C:\WINDOWS\MSCCN32.EXE O4 - HKLM\..\Run: [CriticalUpdate] c:\windows\SYSTEM\wucrtupd.exe -startup O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [VERBATIM STORE 'N' G] c:\programme\verbatim store n go\verbatim store 'n' go.exe sys_auto_run C:\PROGRAMME\VERBATIM STORE N GO O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [CPQALERT] CPQALERT.EXE O4 - HKLM\..\RunServices: [CPQDMI] CPQDMI.EXE O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKCU\..\Run: [System Tray] C:\WINDOWS\MSCCN32.EXE O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra button: Real.com (HKLM) O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...960.1980671296 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab [ 29. März 2004, 14:00: Beitrag editiert von: HH ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von HH: Ich habe ein Problem, und frage mich, ob jemand helfen kann. </font>[/QUOTE]Fragst Du jetzt Dich oder uns? Bin mit Win98 inzwischen recht unfit, geh' mal auf suchen => Datei namens hosts, wenn sie da ist mit dem Editor öffnen und den Inhalt hier posten. Wenn sie nicht da ist, ist DIES nicht das Problem. IIRC kommt Win98 'ohne' daher. Prinzipiell lädts Du recht viel Blödsinn, den ich zum Teil auch nicht kenne (z.B. Verbatim...., bist Du Kunde von Verbatim?) Auf jeden Fall solltest Du (Ausnahmen gibt es aber) die depperte Indexerstellung ausschalten (fastfind, kostet normalerweise nur Leistung), auch den Office-Start-Link würde ich killen. |
Hi HH, nimm mal bitte die Programme, die Du kennst, aus dem Autostart raus (i.d.R. über die Konfiguration bei den entsprechenden Programmen), und beende möglichst alle Programme, bevor Du mit Hijackthis scannst, z.B. über den Taskmanager, so dass dort nur noch "Explorer" und "Systray" stehen. Der Log wird dann viel übersichtlicher und wir müssen nicht bei jedem zweiten Eintrag nachfragen, ob Du das Programm installiert hast. ;) Außerdem gibts unter http://www.trojaner-board.de/51130-a...ijackthis.html eine gute Anleitung zu HJT, hast Du Dich damit schon beschäftigt? Ein HJT-Log unter Win98 kann nämlich auch so aussehen: Logfile of HijackThis v1.97.7 Scan saved at 19:21:43, on 29.03.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE D:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab Gruß [img]graemlins/daumenhoch.gif[/img] Yopie [ 29. März 2004, 19:37: Beitrag editiert von: Yopie ] |
Guten Tag. Danke erstmal für den Rat. Ich bin alles andere als ein Profi mit dem Computer. Werde wohl mal ordentlich aufräumen müssen. (Verbatim brauche ich aber, das ist der Treiber für den memory stick). Im Augenblick versucht jemand auf www.spywareinfo.com, mir zu helfen (mit mäßigem Erfolg bisher, aber man wird sehen); und es widerspricht wohl der Etikette, gleich zwei Foren zu beschäftigen. HH |
</font><blockquote>Zitat:</font><hr />Original erstellt von HH: Im Augenblick versucht jemand auf www.spywareinfo.com, mir zu helfen (mit mäßigem Erfolg bisher, aber man wird sehen); und es widerspricht wohl der Etikette, gleich zwei Foren zu beschäftigen.</font>[/QUOTE]Ich finde, solange man es angibt, ist es ok. Es müsste sich um diesen Beitrag handeln, oder? ;) Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
Richtig. Hat auch einen ganzen Tag lang wunderbar funktioniert. Muß aber doch wohl immer noch dasselbe Problem sein (ich rate...). Kann sowas wirklich am google bar liegen? HH |
hi, bitte mal folgendes fixen: </font><blockquote>Zitat:</font><hr /> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.faz.net/s/homepage.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\system32\blank.htm F1 - win.ini: run=hpfsched O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE </font>[/QUOTE]bei dem critical update bin ich mir nicht sicher, zu was das gehört. sicherlich sind dort noch einige sachen, die nicht unbedingt in den autostart gehören. bitte öffne deine win.ini und suche unter "run" den eintrag oben und lösche diesen (nur diesen) |
Also, ich habe meine startseite (faz.net) entfernt, und im Augenblick geht alles wieder. Mal sehn, wie lang... Aber wie kann denn das sein, daß meine startseite (die ich vor 2 oder 3 Jahren eingestellt habe) damit was zu tun hat? HH |
...zu früh gefreut. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:52 Uhr. |
Copyright ©2000-2025, Trojaner-Board