|
jo ich weis nicht was das sein könnte aber ich wollt mal ins i-net und hab ganz normal ne adresse eingegeben und da wurde aus www.web.de-> www.www.web.de.org und aus www.waslos.de-> www.www.waslos.de.org und so weiter. des is mir zwar nur dreimal passiert aber weis da trotzdem jemand was des verusrsacht haben könnte??? danke borg22 edit: es gab keine verdächtigen anwendungen im taskdingsbums und ich hab win98SE |
ne, das hat was mit dem IE zu tun...ne Einstellungssache. Weiss aber nich mehr was., da ich ihn schon ewig nich mehr benutze. |
Moin, klemmt vielleicht zufällig eine der beiden [STRG]-Tasten?? Wenn man nämlich bei der Eingabe einer Webadresse [STRG] + [ENTER] gleichzeitig drückt, wird die eingegebene Adresse vorne um ein 'www' und am Ende um ein 'org' ergänzt... tschööö, DerBilk |
Du hast dir wohl einen HiJacker eingefangen. Poste mal das HiJackThis Logfile |
</font><blockquote>Zitat:</font><hr />Original erstellt von paff: Du hast dir wohl einen HiJacker eingefangen. Poste mal das HiJackThis Logfile </font>[/QUOTE]Nein das ist nen "Feature" im IE. Wenn dieser eine Seite nicht finden kann, dann macht er sowas. Björn |
</font><blockquote>Zitat:</font><hr />...das ist nen "Feature" im IE. </font>[/QUOTE]...das ist aber nicht dein Ernst, oder ?. |
</font><blockquote>Zitat:</font><hr />Original erstellt von Rene-gad: </font><blockquote>Zitat:</font><hr />...das ist nen "Feature" im IE. </font>[/QUOTE]...das ist aber nicht dein Ernst, oder ?. </font>[/QUOTE]Warum nicht? siehe Bilks Post. Feature vom IE: </font><blockquote>Zitat:</font><hr /> URLs schneller eingeben Um beispielsweise die Seite http://www.microsoft.com zu besuchen, tippen Sie in der Adressleiste einfach 'microsoft' (ohne '') ein und die Strg + Enter-Tasten drücken. </font>[/QUOTE]Quelle: http://www.heisig-it.de/ie6_tipps.htm Warum vermutet ihr eigentlich hinter allem direkt einen Wurm, Trojaner oder sonstige Malware? Das es vielleicht auch mal ein Feature sein kann?? mfg Björn |
@Lucky, Ach, mit der Strg-Taste !!! Sorry ;) . |
ok, keine taste klemmt weder Strg noch sonstwas und des ist mir des erste mal passiert sonst noch nicht. und wieso kommt dan hinten ein .org drann wenn er die seite nicht finden kann, denn sosnt komm ich immer auf ein "aktion abbgebrochen" oder "seite kann nicht gefunden werden" o.ä. und soll ich jetz ein HiJackThis logfile posten oder nicht?? |
Ist es immer noch so? Benutzt Du IE6SP1? Darufhin updaten + neuste Patches Suchen in Adressleiste unter EXTRAS=>Internetoptionen ausschaltet (dort "zur wahrscheinlichsten" eingestellt könnte für sowas schon ausreichen!) alle Plugins mal melden lasse den CWShredder drüber laufen und SpyBot Search&Destroy oder Adaware ist es dann immer noch so dann kannst Du das Logfile mal posten. |
ok ich hab ein HiJackThis-log gemacht der cwsh... geht nicht zum downloaden seite kaputt oder so Logfile of HijackThis v1.97.7 Scan saved at 13:12:38, on 13.02.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\MHOTKEY.EXE C:\GMOUSE\GNETMOUS.EXE C:\WINDOWS\SOUNDMAN.EXE C:\PROGRAMME\GIGABYTE\EASYTUNE\EASYTUNE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE C:\PROGRAMME\AHEAD\INCD\INCD.EXE C:\WINDOWS\WT\UPDATER\WCMDMGR.EXE D:\DETEMEDIEN\GELBESEITEN MAP&ROUTE\OMALARM.EXE C:\PROGRAMME\GIGABYTE\GIGABYTE WINDOWS UTILITY MANAGER\GWUM.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spaceart.de/ O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAMME\MEDIALOADS ENHANCED\ME1.DLL (file missing) O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [CHotKey] mHotkey.exe O4 - HKLM\..\Run: [gnetmous] C:\Gmouse\gnetmous.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [EasyTuneIII] C:\PROGRAMME\GIGABYTE\EASYTUNE\EASYTUNE.EXE O4 - HKLM\..\Run: [SaveNow] C:\Programme\SaveNow\SaveNow.exe O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE O4 - HKLM\..\Run: [kazaa] C:\PROGRAMME\Kazaa\Kazaa.EXE /SYSTRAY O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKCU\..\Run: [YAW starten] "D:\YAW 3.5\yawguard.exe" O4 - Startup: OfficeManager Terminerinnerung.lnk = D:\DeTeMedien\GelbeSeiten Map&Route\OMAlarm.exe O4 - Startup: gwum.lnk = C:\Programme\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...875.2055902778 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/update/MaxisSimCity4PatcherX.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://simcity.ea.com/update/EARTPX.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: ChatSpace Full Java Client 3.1.0.235 - http://chat.waslos.de/Java/cfs31235.cab O16 - DPF: {BF985246-09BF-11D2-BE62-006097DF57F6} (SimCityX Control) - http://simcity.ea.com/play/classic/SimCityX.cab O16 - DPF: {BC18E6DF-BE57-4580-93E8-F228F9A133AA} (MaxisSimCity4LotTeleX Control) - http://simcity.ea.com/exchange/lots/...y4LotTeleX.cab edit:ich lass grad nav durchlaufen mal schaun was er sagt [ 13. Februar 2004, 13:39: Beitrag editiert von: borg22 ] |
Bitte mit HijackThis 'fix'en (Eintrag entfernen): </font><blockquote>Zitat:</font><hr />O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAMME\MEDIALOADS ENHANCED\ME1.DLL (file missing)</font>[/QUOTE]Die folgenden würde ich fixen, allerdings wird dann Kazaa u. U. nicht mehr korrekt funktionieren: </font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\Run: [SaveNow] C:\Programme\SaveNow\SaveNow.exe <-- Advertising spyware. Installed as part of the Kazaa Media Desktop bundle. O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H <-- Medialoads is advertising software - running DownloadWare as its executable. Installed as a bundle with Kazaa Media Desktop. </font>[/QUOTE]Unabhängig davon glaube ich nicht, dass es sich um Malware handelt. Was sollte jemand davon haben, Leute auf Seiten umzuleiten, die es nicht gibt?!? tschööö, DerBilk |
</font><blockquote>Zitat:</font><hr /> Die folgenden würde ich fixen, allerdings wird dann Kazaa u. U. nicht mehr korrekt funktionieren: Zitat: -------------------------------------------------------------------------------- O4 - HKLM\..\Run: [SaveNow] C:\Programme\SaveNow\SaveNow.exe <-- Advertising spyware. Installed as part of the Kazaa Media Desktop bundle. O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H <-- Medialoads is advertising software - running DownloadWare as its executable. Installed as a bundle with Kazaa Media Desktop. </font>[/QUOTE]nicht mehr korrekt funktionieren??in wiefern funzt des dann nimmer??? edit:denn anderen eintrag gefixt. und sonst gabs keine probleme mehr bei dem log-file?? [ 13. Februar 2004, 13:58: Beitrag editiert von: borg22 ] |
</font><blockquote>Zitat:</font><hr />in wiefern funzt des dann nimmer??? </font>[/QUOTE]Kann ich Dir leider nicht genau sagen, da ich Kazaa nicht benutze. Ich gehe aber davon aus, dass es wahrscheinlich gar nicht mehr 'funzt'! Kazaa ist ja dafür bekannt, dass es Ad- und/oder Spyware mitbringt. Wenn man diese Dinge 'ausknipst', laufen die eigentlichen Programme in der Regel gar nicht mehr. Du must Dich schon entscheiden, ob Du dich weiterhin mit Ad- und/oder Spyware zuballern lassen willst oder in Zukunft auf Kazaa verzichtest. Eine Alternative kann ich Dir allerdings nicht nennen (falls die Frage kommen sollte), da ich kein Filesharing mache. ;) tschööö, DerBilk |
C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE was sind denn das für dinger??? |
</font><blockquote>Zitat:</font><hr /> ...Kazaa ist ja dafür bekannt, dass es Ad- und/oder Spyware mitbringt. Wenn man diese Dinge 'ausknipst', laufen die eigentlichen Programme in der Regel gar nicht mehr. </font>[/QUOTE]..das stimmt, wenn man von Kazaa Media Desktop redet: so 'ne Ad- und Spyware-Kollektion habe ich in meinem Leben noch nie gesehen. Kazaa Lite dagegen ist von Ad- und Spyware frei. [ 13. Februar 2004, 15:10: Beitrag editiert von: Rene-gad ] |
</font><blockquote>Zitat:</font><hr />Original erstellt von borg22: C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE was sind denn das für dinger??? </font>[/QUOTE]Beide Dateien gehören zu Windows und können ignoriert werden. Näheres dazu findest du zB unter http://www.answersthatwork.com/Taskl...s/tasklist.htm Gruß Tiber |
Ja, sorry. Es ist bekannt dass der CWShredder direkt zur Zeit nicht zum Downloaden ist. kann bei Chip geladen werden, versuchs mal hiermit http://www.chip.de/downloads/c_downl...5bd0d4a7b5c99e ich weis aber nicht ob in dem Link oben irgendwie eine Session-ID eingebaut ist, also da mit 3-4 mal weiter klicken geht es auf jeden Fall: http://filepony.de/download-cwshredder/ |
[ 13. Februar 2004, 23:54: Beitrag editiert von: Cobra ] |
kann mir bitte jemand genau sagen was der cwshredder macht und wieso ich den brauch??? |
This tool will find and destroy all traces of the CoolWebSearch (CWS) hijacker on your system. This includes: * Redirections to CoolWebSearch related pages * Redirections when mistyping URLs * Redirections when visiting Google * Enormous IE slowdowns when typing * IE start page/search page changing on reboot * Sites in the IE Trusted Zone you didn't add * Popups in Google and Yahoo when searching * Errors at startup mentioning WIN.INI or IEDLL.EXE * Unable to change or see certain items in IE Options * Unable to access IE Options at all Click 'Fix' to start removing the infection. |
@borg: ein parr Nervprogramme verändern ein paar Einstellung in der Registry bzw. fügen ein paar hinzu, so dass der Browser (IE) noch weniger das macht was Du willst sondern das macht was die Malware will. Der Browser wird entführt => Hijacked. besonders unrühmlich war/ist dabei das "Tool" CoolWebSearch Natürlich könnte man die Registryeinstellungen auch per Hand wieder in Ordnung bringen, wenn man weiß wer die "bösen" sind und weiß wie die guten aussehen sollten, aber man läßt halt suchen *bg* Des weiteren entfernt CWShredder IMHO die Malware selber auch noch aus dem System |
ok cwshredder sagt alles ist clean. ist des jetz ganz sicher so oder könnte es immer noch sein dass ich was drauf hab??? |
</font><blockquote>Zitat:</font><hr />Original erstellt von borg22: ist des jetz ganz sicher so oder könnte es immer noch sein dass ich was drauf hab??? </font>[/QUOTE]Nichts ist sicher. Nur wenn die üblichen Programme (wie HijackThis, CWShredder, AdAware und Spybot S&D) alle nichts mehr finden und Du kein seltsames Verhalten mehr erkennst, ist die Wahrscheinlichkeit recht groß, dass Dein PC clean ist. |
Hallo, habe das gleiche Problem, auch schon gepostet http://www.trojaner-board.com/showth...905#post120905 gibts da schon eine Lösung? Hab bereits folgende Progs laufen lassen und nichts gefunden: Spybot ad-Aware SE Personal CWSShredder Microsoft AntiSpyWare Norton Anti Virus Hijack (gepostet) mfg VG |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board