HomeSearch Hijack....Hilfe! |
||
---|---|---|
#0
| ||
04.07.2004, 18:33
...neu hier
Beiträge: 2 |
||
|
||
04.07.2004, 21:06
Member
Beiträge: 441 |
#2
Zitat ich hab mir son Schei... hijacker eingefangen der sich dauern reaktiviert und die startseite verändertDas wundert mich nicht, dein System ist nicht am aktuellen Stand. Lade dir SpHjFix und hier die mwav.exe runter und entpacke diese in den Ordner C:\bases, danach die kavupd.exe (Online-Update) ausführen. Diese Prozesse im TaskManager beenden: D:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE C:\WINDOWS\system32\winpq32.exe C:\WINDOWS\mfcyu32.exe Diese Einträge fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gaogc.dll/sp.html#37049 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://gaogc.dll/index.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://gaogc.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gaogc.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://gaogc.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gaogc.dll/sp.html#37049 O2 - BHO: (no name) - {C6819314-0DB4-9E5D-89AB-47AE654BCAD9} - C:\WINDOWS\system32\crpj32.dll O4 - HKLM\..\Run: [InstantAccess] d:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] d:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [winpq32.exe] C:\WINDOWS\system32\winpq32.exe O4 - HKLM\..\RunServices: [RegisterDropHandler] d:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\RunOnce: [mfcyu32.exe] C:\WINDOWS\mfcyu32.exe O4 - HKLM\..\RunOnce: [ipfg32.exe] C:\WINDOWS\ipfg32.exe O16 - DPF: {11111111-1111-1111-1111-111300000000} - mhtml:C:\\NO_SUCH_MHT.MHT!http://216.240.137.40/g1.exe Anmelden im abgesicherten Modus und diese Dateien löschen: C:\WINDOWS\system32\winpq32.exe C:\WINDOWS\mfcyu32.exe C:\WINDOWS\ipfg32.exe C:\WINDOWS\system32\crpj32.dll C:\WINDOWS\system32\gaogc.dll - Temporäre Internet Files löschen - mit mwav.exe (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.) und SpHjfix.exe scannen - Neustart - neues Log-File posten __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
04.07.2004, 21:09
...neu hier
Beiträge: 8 |
#3
Hi Leute,
bin zwar noch Newbe hier aber ich denke ihr glaubt meinen Worten... Nach einigen Nachforschungen habe ich herausgefunden, dass das alles mit CoolWebSearch zusammenhängt...das ist nichts neues, aber es gibt verschiedendsde Versionon dieses Hijackers... die aktuellste ist auch die Hartnäckigste... die neuste "cwshredder" Version erledigt ihn... komischer Weise gibts auf den Deutschen Seiten nur die Version 1.59, die kann gegen den Hijack gar nix machen... aber auf ner amerikanischen Seite fand ich die Version 1.59.1 und die hat ihn wirklich erledigt! Die ganzen sachen mit HijackThis bringen letztendlich gar nichts... Auf den folgenden Seiten findet ihr die aktuellste Version: www.majorgeeks.com/download4086.html www.softpedia.com/public/cat/10/17/10-17-150.shtml Abschließend bleibt zu sagen, dass man immer nach der neusten Cwshredder Version ausschau halten sollte, die bringts fast immer 100% weg! MfG |
|
|
||
04.07.2004, 22:20
Member
Beiträge: 11 |
#4
Ich verstehe nicht, warum hier immer wieder Threads dazu aufgemacht werden, wenn es die lösung schon sämtlichen Threads gbt?! Lest euch doch erstmal die anderen Threads durch!
__________ Rechtschreibfehler sind beabsichtigt und dienen der allgemeinen Belustigung! XD |
|
|
||
05.07.2004, 00:04
Member
Beiträge: 441 |
#5
@ hopeful
Zitat Die ganzen sachen mit HijackThis bringen letztendlich gar nichts...Das ist nicht richtig, in Kombination mit anderen Tools, kannst du auch dieses Problem lösen. Zitat komischer Weise gibts auf den Deutschen Seiten nur die Version 1.59, die kann gegen den Hijack gar nix machenHier findest du die neueste Version http://www.pc-syndrom.de/Downloads-index-req-viewdownloaddetails-lid-186.html Zitat Abschließend bleibt zu sagen, dass man immer nach der neusten Cwshredder Version ausschau halten sollte, die bringts fast immer 100% weg!Da muß ich dich leider enttäuschen, dies ist das letzte offizielle Update des CwShreeder, den Merijn Bellekom der Entwickler des CWShredder hat aufgegeben und sagt selbst: Zitat "Er habe den Krieg gegen den Trojaner verloren. Das Schadprogramm sei nunmehr so ausgefeilt und besitze so raffinierte Funktionen, daß er sein RemovalTool nicht mehr auf aktuellstem Stand halten könne. Nicht einmal die Schutzfunktionen des kommenden SP2 für WindowsXP seinen mittlerweile diesem Trojaner gewachsen." Infos: http://www.desktopsecurity.de/modules.php?name=News&file=article&sid=113&mode=&order=0&thold=0 http://www.theregister.com/2004/06/29/cws_shredder/ Seine Seite http://www.spywareinfo.com/~merijn/ wurde abgeschaltet und ist somit nicht mehr zu erreichen. Die einzige Lösung um vor Browser Hijacking sicher zu sein, ist ein Browserwechsel wie Mozilla oder Firefox. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
05.07.2004, 15:07
...neu hier
Themenstarter Beiträge: 2 |
#6
danke hat mit hijackthis geklappt
hab danach nochmal alle möglichen anti spy progs laufen lassen und ihn liquidiert.... thx |
|
|
||
ich hab mir son Schei... hijacker eingefangen der sich dauern reaktiviert und die startseite verändert
hab hijackthis laufen lassen und das sin die ergebnisse
Logfile of HijackThis v1.97.7
Scan saved at 18:21:58, on 04.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
D:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\winpq32.exe
C:\WINDOWS\mfcyu32.exe
D:\Eigene Dateien\Eigene Musik\hijackthis1977\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gaogc.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://gaogc.dll/index.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.lycos.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://gaogc.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gaogc.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://gaogc.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gaogc.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.lycos.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.lycos.de
O2 - BHO: (no name) - {C6819314-0DB4-9E5D-89AB-47AE654BCAD9} - C:\WINDOWS\system32\crpj32.dll
O3 - Toolbar: ???(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [InstantAccess] d:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] d:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [winpq32.exe] C:\WINDOWS\system32\winpq32.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] d:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\RunOnce: [mfcyu32.exe] C:\WINDOWS\mfcyu32.exe
O4 - HKLM\..\RunOnce: [ipfg32.exe] C:\WINDOWS\ipfg32.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Save F&lash with FlashCapture - res://d:\Programme\FlashCapture\FCIEXT.dll/FCIEXT.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: FlashCapture (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {11111111-1111-1111-1111-111300000000} - mhtml:C:\\NO_SUCH_MHT.MHT!http://216.240.137.40/g1.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38113.3618055556
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553542500} - http://active.macromedia.com/flash2/cabs/swflash.cab
wär toll wenn ihr mir da helfen könntet
danke schonmal im vorraus