Hijacker Remove Tool läßt sich nicht starten! |
||
---|---|---|
#0
| ||
02.03.2004, 08:33
...neu hier
Beiträge: 4 |
||
|
||
02.03.2004, 09:28
Moderator
Beiträge: 7805 |
#2
Dein Hijackthis( meinst du doch?) ist anscheinend defekt. du kannst die hier eine Neue Version herunterladen und das log dann hier posten: http://www.spywareinfo.com/~merijn/files/HijackThis.exe
__________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 02.03.2004 um 09:28 Uhr von raman editiert.
|
|
|
||
02.03.2004, 10:01
...neu hier
Themenstarter Beiträge: 4 |
#3
Thx.
Der Link bzw. das Programm funzt. Ich hab Hijacker jetzt mal scannen lassen und die komischen Einträge rausgelöscht, allerdings waren es wohl die falschen, weil nach einem Neustart hat sich nix geändert. Hier kommt jetzt mal das log file. Welche Positionen muß ich den da fixen? Zitat Logfile of HijackThis v1.97.7Die "neue" (ungewollte) Startseite ist yoursearch24.com... doobie Dieser Beitrag wurde am 02.03.2004 um 12:48 Uhr von raman editiert.
|
|
|
||
02.03.2004, 10:20
Moderator
Beiträge: 7805 |
#4
Fix mal das:
O4 - HKLM\..\Run: [Soundmx] \soundmx.exe O4 - HKLM\..\Run: [Online Service] C:\WINNT\svchost.exe O4 - HKLM\..\Run: [VB_run] C:\WINNT\vbrun.exe O4 - HKLM\..\Run: [Windows Security Assistant] C:\WINNT\system32\rundll32.vbe O4 - HKLM\..\RunServices: [Windows Security Assistant] C:\WINNT\system32\rundll32.vbe O4 - HKCU\..\Run: [Windows Security Assistant] C:\WINNT\system32\rundll32.vbe O19 - User stylesheet: C:\WINNT\Web\tips.ini O19 - User stylesheet: C:\WINNT\hh.htt (HKLM) und alles mit "R" und "O1" Dann neu starten und hier durcharbeiten: http://board.protecus.de/t9373.htm Es waeere nett, wenn du mir diese Dateien schicken koenntest ( Adresse siehe mein Profil, oder virus@protecus.de): C:\WINNT\vbrun.exe C:\WINNT\system32\rundll32.vbe C:\WINNT\Web\tips.ini C:\WINNT\hh.htt C:\WINNT\svchost.exe soundmx.exe __________ MfG Ralf SEO-Spam Hunter |
|
|
||
02.03.2004, 12:22
Member
Beiträge: 1095 |
#5
Falls nach dem durcharbeiten von
http://board.protecus.de/t9373.htm diese O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia.cab 016 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://sologratis.ath.cx/exe/ger***.xe noch da sind bitte fixen __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 02.03.2004 um 12:48 Uhr von raman editiert.
|
|
|
||
02.03.2004, 12:43
Member
Beiträge: 293 |
#6
hab das selbe problem, werde aber aus der log nicht schlau....
Zitat Logfile of HijackThis v1.97.7startseite ist http://your-search.cc/. außerdem hab ich das prog net transport schon vor längerer zeit wieder deinstalliert.... mit Regcleaner,trotzdem wird es noch im autorun angezeigt. könnte mal jemand drüber gucken und mir sagen was ich fixen muss? __________ Wir leben in einer kranken welt,aber ich bin stolz,dass ich dazu gehöre! |
|
|
||
02.03.2004, 12:52
Moderator
Beiträge: 7805 |
#7
Das ist auch ein Coolwebsearch hijacker. Einfach an den Rokop-security-Link halten.
@paff und doobie: Ich habe die Exedatei-Link aus dem Log entschaerft. Nicht das sich unbedacht da einer einen Dialer einfaengt! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
02.03.2004, 13:55
Member
Beiträge: 1095 |
#8
@raman
Thanx for this __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
02.03.2004, 19:57
...neu hier
Beiträge: 6 |
#9
******* C:\WINNT\System32\khooker.exe ******** aus dem ersten Post kenne ich nicht....
|
|
|
||
02.03.2004, 20:33
Moderator
Beiträge: 7805 |
#10
Die Datei gehoert wohl zu den Treibern des SIS Chipsatzes.
Gerade auf sysinfo gefunden: SiS Keyboard Daemon. System Tray utility which gets installed by the drivers of the latter day SiS VGA cards __________ MfG Ralf SEO-Spam Hunter |
|
|
||
02.03.2004, 22:32
Member
Beiträge: 1095 |
#11
@080815
Hier ein Heißer Tip http://www.windowsstartup.com/wso/search.php Dürfen aber auch andere benutzen __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
02.03.2004, 23:00
...neu hier
Beiträge: 2 |
#12
Hallo. Ich hoffe, hier ist wer, der mir helfen kann. Ich habe - nach einigen Schwierigkeiten - die hijack.exe starten können. Hier mein log-file:
Logfile of HijackThis v1.97.7 Scan saved at 22:48:29, on 02.03.2004 Platform: Windows 2000 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\spoolsv.exe C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE C:\WINNT\System32\svchost.exe C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE C:\WINNT\System32\mgabg.exe C:\Programme\F-Secure\Anti-Virus\fssm32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programme\F-Secure\Common\FSMA32.EXE C:\Programme\F-Secure\Common\FSMB32.EXE C:\Programme\F-Secure\Common\FCH32.EXE C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe C:\Programme\F-Secure\Common\FNRB32.EXE C:\Programme\F-Secure\Common\FAMEH32.EXE C:\Programme\F-Secure\Common\FIH32.EXE C:\Programme\F-Secure\Anti-Virus\fsav32.exe C:\WINNT\Explorer.exe C:\WINNT\System32\PDesk\PDesk.exe C:\Programme\F-Secure\Common\FSM32.EXE C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe C:\WINNT\System32\internat.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\wzip80d\winzip32.exe C:\DOKUME~1\Silke\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.msn.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O12 - Plugin for .jsp&time=1042891764539&topic1=immobilien&topic2=baufinanzierung&WebLogicSession=PilCp7AqVN03Dx2MtDmTVfJNJXdRM17qFNagjYul9g2HmEva37lL|2821092868997257061/-1: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://212.105.78.59/cult.cab O16 - DPF: {AB1E62EB-3DE3-428F-A417-64AB3C9B6CF0} (eConn Class) - http://econnect.libereco.net/econnect.cab O16 - DPF: {AE7E5F20-35C3-11D2-A16C-006008662F80} (Internet-Banking) - https://www.onlinebankservice.de/brokat/srwgib187.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{378AC590-D446-4C76-AE52-1119CC690511}: NameServer = 62.104.191.241 62.104.196.134 Sieht hier jemand etwas? Ich hatte den lovesan auf meinem PC, der allerdings entfernt wurde. Ich erhalte jedoch immer noch die Meldung "scvhost.exe" hat Fehler verursacht. Ab und an stürzt Excel ab...etc ...etc.. Ich bitte um Hilfe. Merci Silke |
|
|
||
03.03.2004, 00:09
Member
Beiträge: 1095 |
#13
Hi Silke
Das hier bitte Fixen O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://212.105.78.59/cult.cab O16 - DPF: {AB1E62EB-3DE3-428F-A417-64AB3C9B6CF0} (eConn Class) - http://econnect.libereco.net/econnect.cab Dann bitte mal das hier durcharbeiten http://board.protecus.de/t9373.htm und poste dann nochmal das HiJackThis Logfile und ganz wichtig bei dir machmal www.windowsupdate.com Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
03.03.2004, 12:05
...neu hier
Themenstarter Beiträge: 4 |
#14
Danke an alle!
Der Hijacker ist weg. Wenn ich jetzt noch das blöde Windoof updaten kann, bin ich wirklich glücklich. Da bekomme ich nämlich auch so ne hübsche Fehlermeldung, obwohl Active X (noch) zugelassen ist. Zitat Windows Update Site meldete@raman: Die Dateien hab ich dir in ein zip File gepackt. doobie Dieser Beitrag wurde am 03.03.2004 um 12:12 Uhr von doobie editiert.
|
|
|
||
03.03.2004, 22:48
...neu hier
Beiträge: 2 |
#15
Hallo Paff!
Die Dateien habe ich gefixt. Die File, den Du mir angegeben hast, kann ich nicht öffnen. Bleibe immer auf halber Stelle stehen. Hier meine momentane Logfile. Kannst Du mir sagen, was hier bei mir schief läuft? Liegt das noch an dem lovesan, der drauf war oder ist hier ein Trojaner am Werk? Wer weiß was? Merci vorab. Gruss Silke |
|
|
||
Ich hab einen Hijacker auf meinem Rechner. Dummerweise läßt sich Hijack.exe nicht starten.
Ich bekomme von Win ME die Meldung:"Hijack.exe ist keine zulässige Win32 Anwendung!"
Was ist denn da jetzt los?
Ich sitze hinter einem Router mit Firewall. Mich wundert sowieso, wie ich mir den einfangen konnte...
Mein Windoof läßt sich auch nicht updaten. Hängt das irgendiwe auch damit zusammen oder sind meine Security Einstellungen zu "scharf"?
doobie