Automatischer Eintrag im Favoriten Ordner |
||
---|---|---|
#0
| ||
02.03.2004, 11:16
...neu hier
Beiträge: 7 |
||
|
||
02.03.2004, 12:21
Member
Beiträge: 504 |
#2
Hat sich deine Startseite geändert? Wenn ja, ändern!
Wie hast du ZoneAlarm konfiguriert? Gruß Spike __________ Wenn wir bedenken, dass wir alle verrückt sind, ist das Leben erklärt. (Mark Twain) |
|
|
||
03.03.2004, 10:53
...neu hier
Themenstarter Beiträge: 7 |
#3
Hi Spike20,
danke für Deine schnelle Antwort. Meine Startseite hat sich nicht geändert. Die ZoneAlarmkofig.: Firewall Sicherheit für Internetzone -Hoch Sicherheit für sichere Zone -Mittel Prorammeinstellungen -Mittel Automatische Sperre -Aus Angezeigte Warnmeldungsereignisse -Ein Basic MailSafe -Ein Aktuelle Version 4.5.538.001 Seit der Instalation ( 26.02.04 nach 15 Tagen Test der Pro Version ) wurden 36 Eindringversuche registriert davon 0 Erster Rang Firewall hat 2 Angriffsversuche verhindert 37 Programme sind gesichert 0 verdächtige E-Mail-Anhänge in Quarant. Die Favoritenordner sind wahrscheinlich schon vorher reingekommen. Habe einige Zeit selbst nicht an PC und im Netz gearbeitet deshalb kann ich es nicht genau sagen. Hatte Anfang Januar mehrere Warnungen von AntiVir wegen Dialer und Trojaner. Hoffe Du kannst damit was anfangen. Gruß Öhler |
|
|
||
03.03.2004, 13:36
Member
Beiträge: 1095 |
#4
Das sieht nach CWS aus
Probiere mal das hier aus. http://board.protecus.de/t9373.htm besonders den Teil mit "CWShredder" Dann bist du zumindest sicher, das keine HiJacker oder trojaner mehr in deinem WIndows sind. Poste dann das HiJackThis Logfile hier. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
03.03.2004, 22:19
Member
Beiträge: 14 |
#5
Moin.
Mache alles der reihenfolge nach was hier www.browser-hijacking.de.vu beschrieben ist. Gruss BC |
|
|
||
05.03.2004, 20:28
...neu hier
Themenstarter Beiträge: 7 |
#6
Hallo Paff,
habe Deine Tipps befolgt, hier nun das HiJackThis Logfile. Logfile of HijackThis v1.97.7 Scan saved at 20:16:27, on 05.03.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Visioneer OneTouch\OneTouchMon.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\ScanSoft\PAPERP~1\PPWebCap.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\hijackthis1977\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.scourweb.net/nph-search.cgi?partner=wesb1&look=sbar1_srchbtn R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://office.freenet.de/dienste/emailoffice/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.scourweb.net/nph-search.cgi?partner=wesb1&look=sbar1_srchbtn R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [OneTouch Monitor] C:\Programme\Visioneer OneTouch\OneTouchMon.exe O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64" O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [PPWebCap] C:\PROGRA~1\ScanSoft\PAPERP~1\PPWebCap.exe O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~4\Office\1031\phdintl.dll/phdContext.htm O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37879.0026736111 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Hoffe Du kannst was mit anfangen. AdWare und Spyboot haben zwar viele Dateien gefunden und entfernt, aber die Favotitenordner sind immer noch da. Werde diese Dinger jetzt nochmals löschen, dann Schau mer mal. Gruß und herzlichen Dank Öhler Hallo Paff, hallo Braincaos, Eure Tipps waren super, haben beide auf den gleichen weg gewiesen, hat super geklappt, auch wenn ich etwas Bauchweh hatte dabei, da die Programme auf englisch sind, und meine Englischkenntnisse etwas spärlich sind. Nachdem ich die Favoritenordner in allen Benutzerkonnten gelöscht hatte, und den Rechner ganz ausgeschaltet hatte, sind sie nach em wiederhochfahren nicht wiedergekommen. Super Super Super herzlichen Dank an Euch Beide. Waren super Tipps. Viele Grüße Öhler Dieser Beitrag wurde am 06.03.2004 um 20:48 Uhr von öhler editiert.
|
|
|
||
08.03.2004, 17:32
...neu hier
Beiträge: 6 |
#7
Ich hatte mal den Spooner auf meinem Rechner.
Unter http://www.trojanerinfo.de gab's hierzu aber gute Anleitungen (unter anderem auch HiJackThis), wie man diesen loswird. Letztendlich war diesem Trojaner recht einfach beizukommen, da er nichts tat, um seine Existenz zu verbergen. Er war sogar beim Durchzappen durch die Anwendungen mit ALT+TAB als eigenständige Anwendung zu sehen, seine Dateien lagen offen im Systemordner Windows etc... Prozess abgeschossen Dateien und Registryeinträge (nach der Anleitung, gefunden hätt' ich die REG-Keys nie!) gelöscht SYSTEMWIEDERHERSTELLUNG DEAKTIVIERT (hatte ich erst vergessen und wunderte mich, wieso er schon wieder da ist...) Runtergefahren hochgefahren Systemwiederherstellung reaktiviert Dumm gelaufen ist leider, dass einem dadurch sämtliche bisherigen Systemwiederherstellungspunkte (zumindest laut Aussage von Windows) verlorengehen. Naja, noch nie benötigt...also ex und hopp Dieser Beitrag wurde am 08.03.2004 um 17:33 Uhr von Comrade editiert.
|
|
|
||
habe seit einiger Zeit einige Ordner in meinen Favoriten ( bei allen Benutzerkonten ) die ich nicht selbst hinzugefügt habe und immer wieder zurückkommen.
z.B. -Autos- , -Business-Directory_ , -Entertainment- , -Shopping- usw und alle verlinken auf engl. Seiten ( http://search.scourweb.net/nph-search.cgi?... )
Löschen in allen möglichen Variationen bringt nichts, nach erneuten Internetkontakt sind sie wieder da.
Benutze das Betriebssystem Win XP
Antivir Guard mit aktuellem Update
ZoneAlarm mit aktuellem Update
Wer kann mir bitte helfen, diese Dinger wieder los zu werdenlos. Schaden haben sie, soweit ich feststellen konnte bisher nicht angerichtet, sind aber sehr lästig.
Bitte nicht zu viel Fachchinesisch, da ich kein Computerspezialist bin, aber lernfähig.
Schon mal vielen Dank an die Helfer und viele Grüße von der verschneiten Ostalp
öhler