|
Hm, ich war mir relativ sicher, dass ich diese Datei schon einige Male als potentiell verseucht gesehen habe, kann aber unter XP gewesen sein. |
@Hallo...sorry..dass ich hier langsam nerve... aber die untere Zeile...http...// ist die Antwort auf die Browsereingabe ..."www.windowsupdate.microsoft.com"... (Eingabe)... "http://v4.windowsupdate.microsoft.com/de/thanks.asp"...(Ausgabe)... mir kommt das irgendwie trojanisch vor...kein Seitenaufbau mit Mozilla 1.7.2... ...vielleicht doch format c:... :schmoll: ...sehe momentan keine anderen Lösungen ... lg...Tom :schmoll: |
Mit dem Mozilla Browser kannst du so keine Updates runterladen, das ist normal. Das funktioniert nur mit dem IE http://v5.windowsupdate.microsoft.co...r/default.aspx ! |
@Hallo... poste jetzt nochmal den log vom letzten scan, den ich gerade im Normalmodus gemacht habe... Logfile of HijackThis v1.98.2 Scan saved at 16:28:02, on 02.10.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\SBPCI\CTMIX32.EXE C:\WINDOWS\SYSTEM\HPZTSB04.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\NETDDE.EXE C:\WINDOWS\WINHLP32.EXE C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.microsoft.com/access/allinone.asp R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE" ...mache jetzt nochmal einen scan im abgesicherten ... Gruß...Tom |
das sieht gut aus! mfg |
noch mal Tom... hier der Scan im abgesicherten Modus... Logfile of HijackThis v1.98.2 Scan saved at 16:40:10, on 02.10.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\EXPLORER.EXE C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE" ...übrigens...wenn ich mit Mozilla zu www.db24.de gehen will, müsste im Browsereingabefenster erscheinen "www.deutsche-bank/content...." es erscheint jedoch "www.deutsche-bank/jumppages...", wohl ein eindeutiger Hinweis, daß der Browser gehijackt ist, oder? lg Tom |
Zitat:
Die jumppages verweisen z.B. auf Kunden-Login, Kontoübersicht, Überweisung usw. Sieh dir die Seiteninformation , danach auf Links, mal an. ;) |
@cidre... ich hatte dieses prob schonmal mit einem Plagegeist... wenn ich von anderen Pcs zu www.db24.de gehe, erscheint im Browser ausnahmslos "/content/"... "/jumppages/" ist definitiv nicht oki!!!...so daß ich davon ausgehe, dass versucht wird, den Browser umzuleiten... Der Mist ist nur, ich kann den IE 6 nicht heile machen, da die Deinstallationsdateien defekt sind, auch dieses Problem hatte ich damals... ich meine mich zu erinnern, daß es "TR/Tofger...." war. lg Tom |
Logs brauchst du nur im normalen Modus zu machen, im abgesicherten sind sie weniger aussagekräftig. Auch über die jumppages brauchst du dir keinen Kopf zu machen, das hat nichts mit einem Hijacker zu tun, sondern vielmehr mit den Browsereinstellungen. Manche Seiten brauchen (leider!) bestimmte aktive Inhalte wie Java-Script, sonst werden sie nicht angezeigt. Das wird in Mozilla evtl. deaktiviert sein (was gut ist), aktiviere es für diese Seite dann. In Opera habe ich ohne Java-Script auch nur die weiße Seite mi Jumppages, mit JS gehts dann. |
@Mountainking... danke dir, werde es mal versuchen...was kann ich mit meinem IE6 machen?? die "ie6setupexe" bekomme ich logischerweise nicht aus dem System... Gestern Abend lief er mit den herkömmlichem Einstellungen kurz ganz normal, beim zweiten Aufruf war er wieder platt und konnte keine Seiten anzeigen... lg Tom |
@Mountainking... habe vielleicht ein Java - Problem, aber Java 1.4...ist installiert und aktiviert... lg Tom |
Zitat:
|
@Cidre...der IE6 funzt nachwievor nicht...mit dem Mozilla 1.7.2 geht es auch nicht, obwohl ich ihn offen gemacht habe wie ein Scheunentor!! hatte gedacht, es könnte an Java liegen und habe es nochmal...1.4.2...installiert...aber es klappt nicht... lg Tom :teufel1: |
Es geht aber nicht um Java, ich meine Java-Script. Auf jeden Fall hat diese jumppages-Seite nichts mit einem Browserhijacking zu tun. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board