verunsichert aufgrund von "O1" (hijack) Einträgen

#0
19.04.2004, 11:16
...neu hier

Beiträge: 4
#1 hallo,

ich war mir eigentlich immer recht sicher, mein system weitestgehend zu erkennen und vor fremdzugriffen zu schützen.

jetzt habe ich mir mal spasseshalber "hijack this" gezogen und meinen rechner gescannt. daraufhin habe ich ne menge O1 einträge gefunden. Diese finde ich dementsprechend auch wieder in der C:\winnt\system32\drivers\etc\hosts. ich weiss aber, dass ich diese nicht dort eingetragen habe und die einträge sind recht offensichtlich, da es im großen und ganzen pornoseiten sind.

Die Frage, die ich mir stelle ist, wie kommen diese einträge dahin? Geschieht das alles durch Sicherheitslücken im Browser? Ist mein System trotz Desktop Firewall + Virenscanner doch nicht so sicher wie immer vermutet?

Leider konnte ich nichts darüber finden, wie Einträge in meine hosts datei kommen. DAher bin ich für Hilfe und Aufklärung dankbar.
Seitenanfang Seitenende
19.04.2004, 11:58
Moderator

Beiträge: 7805
#2 Das ist relativ leicht zu machen und wird auch von Spyware/Hijackern gerne gemacht. Es gibt im internet aber auch "negativ Listen", sprich dort werden hosteintraege/Dateien angeboten, in denen solche "XXX" Seite auf eine harmlose Seite umgeleitet werde. Aber wenn du es selber nicht gemacht hast.......

Du kannst dein Hijackthis log ja mal posten.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
19.04.2004, 15:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 Saebere mal deine IE :
Klicke auf "Extras" > "Internetoptionen". Das folgende Dialogfeld wird geöffnet:
Klicke auf die Schaltfläche "Dateien löschen" in der Mitte. Dadurch wird ein zweites Dialogfeld geöffnet:
Aktiviere die Option "Alle Offlineinhalte löschen", und klicke auf "OK"

sowie mit dem ClearProg ...loeschen der TemporaryInternetFiles u.a.

http://www.clearprog.de/

Dann sollte der IE immer aktualisiert sein.(updaten !)
Und man kann den Firefox als Zweitbrowser laden....ist viel schneller und sicherer.
http://firefox.bric.de/index.php?page=downloads


Das alles sollte natuerlich nicht daran hindern, den HijackThis -Log hier zu posten.
Erfahrungsgemaess werden viel Spyware und Viren, Trojaner ....gefunden.
Dazu bekommt man Anleitungen,was entfernt werden muss und auf welche Weise.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.04.2004, 08:35
...neu hier

Themenstarter

Beiträge: 4
#4 also um diese O1 Einträge zu löschen habe ich jetzt meine hosts datei einmal manuell gesäubert. anbei der hijackthis.log meines rechners:

Zitat

Logfile of HijackThis v1.97.7
Scan saved at 08:28:06, on 20.04.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\COMPAQ\ACLIENT\ACLIENT.exe
C:\WINNT\Cpqdiag\Cpqdfwag.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\iFtpSvc\iFtpSvc.exe
C:\Programme\GFILANguard Network Security Scanner 33333\sscansvc.exe
C:\WINNT\LogWatNT.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\VetMsgNT.exe
C:\WINNT\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\MSSQL7\Binn\sqlmangr.exe
C:\Programme\CA\eTrust EZ Armor\eTrust EZ Firewall\ca.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE
C:\WINNT\msagent\AgentSvr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\workwork\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0407/bl8.asp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.100:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.0.*;<local>
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,,C:\LDCLIENT\SDISTHK.EXE
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [VetTray] C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINNT\Cpqdiag\CpqDfwAg.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\MSSQL7\Binn\sqlmangr.exe
O4 - Global Startup: EZ Firewall.lnk = C:\Programme\CA\eTrust EZ Armor\eTrust EZ Firewall\ca.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: SEAGULL J Walk Java Client 3_2C8 - http://212.108.7.13/jwalk/jwalk/jwalk_ie.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38040.096087963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = mywork.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{D10B3F75-8AF5-4EEC-A205-520F26DD7B04}: NameServer = 192.168.0.99
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = mywork.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = mywork.de
irgendwas verdächtiges was ich fixen sollte?
Seitenanfang Seitenende
20.04.2004, 10:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Also, es sieht eigentlich sauber aus.
Laden Sie dennoch mal den AdAware und scanne Sie

http://download.com.com/3000-8022-10214379.html?tag=lst-3-8

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.04.2004, 12:08
...neu hier

Themenstarter

Beiträge: 4
#6 das ist bereits die logdatei nach dem scannen und säubern druch adaware und spybot - denke mal jetzt ist alles gut.

by the way. du bruachst mich nicht zu siezen, so alt bin ich nun auch nicht :p
Seitenanfang Seitenende
20.04.2004, 16:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Tschuldigung,,,ehhhh

Viel Glueck mit dem sauberen Comp...
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: