|
nun hab noch einmal mit HijackThis gescannt, er findet einen Eintrag: SearchIt, Dateiname: dc1.ocx ein Suchen in der Registry fand jetzt unter HKEY_LoKAL_Maschine/Software/Classes/ einen Ordner ohne Namen nur mit einem Stern versehen, hierdrin einen Ordner Shellex/ darin einen Ordner: ContextMenuHandlers/ darin ist der Ordner WinRar markiert, in diesem ein Standart Wert; Typ Reg_SZ danach eine Zahlenkolonne (B41DB860-8EE4...usw. ob ich dieses mal lösche ??? |
Es gibt nur eine Version von HijackThis, und das ist Freeware. Diese entfernt Registry-Einträge, indem man nach dem Scannen "Fix checked" klickt und das System neu startet. Den Eintrag "SearchIt, Dateiname: dc1.ocx" auf die o.g. Weise entfernen. Da dürfte allerdings noch mehr zu finden sein, denn die .ocx-Datei ist nur das ActiveX-Control. Wie gesagt, der einfachste Weg ist noch immer das Posten des Logs. Wenn du das nicht tun willst, auch o.k., dann mußt du eben selber nochmal das Scanergebnis durcharbeiten. Tipp hierzu: Google. |
Also ne... Nochmal genauer: HijackThis entfernt Registry-Einträge, indem man nach dem Scannen die zu entfernenden Einträge mit einem Häkchen versieht, dann "Fix checked" klickt, und dann das System neu startet. |
oh, sorry sPaCeLoRd, glaub jetzt hab ich einen Fehler gemacht, hab hier den Scanner AluriaSpywareScanner, ist wohl nicht der Hijackthis ? |
hier nun das Ergebnis: Logfile of HijackThis v1.96.4 Scan saved at 22:03:43, on 05.09.2003 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\Norton Internet Security Professional\IAMAPP.EXE C:\WINDOWS\twain_32\A4S2600X\WATCH.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security Professional\NISUM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Internet Security Professional\NISSERV.EXE C:\Programme\Norton Internet Security Professional\SymPxSvc.exe C:\WINDOWS\regedit.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE F:\Müll\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trojaner-board.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security Professional\IAMAPP.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe" O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4S2600X\WATCH.exe O4 - Global Startup: NoPopUp 2001 (minimiert).lnk = C:\Programme\NoPopUp 2001\nopopup.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: Yahoo! Chat - http://cs6.chat.sc5.yahoo.com/c381/chat.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...or/sw-intl.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs6.chat.sc5.yahoo.com/v43/yacscom.cab O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/filesharing/activex/upload.cab O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://www.office.microsoft.com/prod...ntent/opuc.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://de.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...863.0828240741 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {DF6A0F17-0B1E-11D4-829D-00C04F6843FE} (Microsoft Office Tools on the Web Control) - http://dgl.microsoft.com/downloads/outc.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D99574BF-0DC7-4D0B-8CD7-DBBE0E9CAC4F}: NameServer = 62.225.253.9 194.25.2.129 |
ich entdecke hier keine Dateien ähnlich einem Namen mit: Sergey7/offshoreclicks" wat nun :confused: |
Nee, Hijacker-mäßiges ist da nicht zu entdecken. Du hattest also auch Spybot S&D angewendet, Temporary Internet Files und Cookies gelöscht und die Systemwiederherstellung deaktiviert, und das Problem ist immer noch vorhanden ? Kaum zu glauben... Letztes radikales Mittel wäre dann vielleicht eine Komplettreinigung (inkl. index.dat-Löschung) mit Tracks Eraser Pro. http://www.acesoft.net/download.htm (15-Tage-Testversion - voll funktionsfähig) |
so, hab jetzt die Radikaltour hinter mir [img]graemlins/crazy.gif[/img] erste "Internetberührung" war normal, d.h. keine Veränderung der IE Startseite [img]graemlins/huepp.gif[/img] hoffentlich bleibt's so |
...so eine Sche... [img]graemlins/kloppen.gif[/img] nun ist wieder alles beim alten... so langsam krieg ich das [img]graemlins/heulen.gif[/img] sämtliche Tool's bleiben ohne Wirkung, wie kann das sein :confused: |
</font><blockquote>Zitat:</font><hr />Original erstellt von Ufo: ich entdecke hier keine Dateien ähnlich einem Namen mit: Sergey7/offshoreclicks" wat nun :confused: </font>[/QUOTE]es ist kein Wunder. Es sind keine Dateien, sondern Registry-Einträge. Suche nach "serg", dann "offshore", dann noch 'ne Buchstabenreihe! Bei JV16 gibt es Registry-Finder! Wenn du nix findest, ist dein IE verhext ;) : Lade mal www.firebird-browser.de herunter und vergiss alles wie ein Albtraum. NACHTRAG: Wollte sofort fragen, dann habe vergessen :cool: : Welches Tool will das Vieh installieren? Mit welcher Seite wird eingentlich gestartet? Bitte kein Link posten, sondern h**p://www.dingsbums.com [ 06. September 2003, 22:25: Beitrag editiert von: Rene-gad ] |
so, hab jetzt mal den JV RegistryFinder angeschmissen, nichts zu finden von sergey oder offshoreclicks [img]graemlins/crazy.gif[/img] Startseiten sind zwei verschiedene: eimal/ sergey7.offshoreclicks.com/dialup/activeX.php und/ network.nocreditcard.com installiert werden soll eine 55500725.exe von Niteline Media oder/und ein InstantAccess von Electronic Group |
achso, das mit dem Firebird Browser ist klar, hab ihn auf meinem anderen Rechner auch laufen, ist jetzt jedoch hier keine Problemlösung.... :cool: |
[img]graemlins/huepp.gif[/img] das Problem scheint gelöst zu sein [img]graemlins/huepp.gif[/img] habe gestern mit dem Prog "PestPatrol" auch noch einmal gescannt und siehe da, es fand sich ein Hijacker mit Namen "RedLabel" , versteckt unter C:\Windows\System32\RedLabel.scr hatte sich also als SreenSaver getarnt, dieses Miestvieh nachdem ich diesen gelöscht [img]tongue.gif[/img] habe ist heute bisher Ruhe gewesen :D |
Was ist eigentlich unter einem Hijacker zu verstehen? Ein Sabotagetool? |
Sabotagetool ist eigentlich schon ganz gut getroffen [img]graemlins/aplaus.gif[/img] für ein Tool oder Prog das sich als "Bildschirmschoner" ausgibt aber gar keiner ist..... [img]graemlins/pfui.gif[/img] |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:36 Uhr. |
Copyright ©2000-2025, Trojaner-Board