hijacker ???

Dieses Thema im Forum "Sicherheit" wurde erstellt von freddy_freizeit, 24. Juni 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. freddy_freizeit

    freddy_freizeit Byte

    Registriert seit:
    27. November 2003
    Beiträge:
    9
    Hallo !!!
    Ich weiss nicht ob es ein Virus ist oder Trojaner, aber kann wenn ich ins Internet gehe über Internet Explorer kommt jedesmal vorher

    [URL]http://www.[/URL] microsoit.coj/direct.php?url

    Lasse ich Search & Destroy durchlaufen findet es zwei Probleme.
    1. Common hijakcer: PrefixChange
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\www=http
    Im Registrierungseditor steht unter angegebener Adresse:

    Name Wert
    [Standard] [Wert nicht eingesetzt]
    ftp "ftp://"
    gopher "gopher://"
    home "[URL]http://"[/URL]
    mosaic "http://
    www "http://www.microsoit.com/direct.php?url=

    2. Common hijacker: Prefixchange
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Default
    Prefix\=http://
    Im Registrierungseditor steht:
    Name Wert
    Standard "http://www.microsoit.com/direct.php?url="

    Search & Destroy kann die Probleme nicht beheben, sie kommen nach dem Neustart immer wieder.

    Kann mir jemand helfen ???

    Danke im vorraus
    Gruss freddy_freizeit
     
  2. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo freddy_freizeit

    Lade dir mal das Programm HijackThis von dieser Seite herunter:

    http://hjt.klaffke.de/

    Starte den PC anschließend im abgesicherten Modus und führe das Programm aus. Poste anschließend den Inhalt der Log-Datei hier.

    Gruß
    Nevok
     
  3. Gast

    Gast Guest

    Spinnt die Forensoftware jetzt eigentlich komplett?? Woher kommt dieser gigantische Beitrag? Es wird immer schlimmer hier...

    @freddy_freizeit:

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoit.com/direct.php....microsoit.com/direct.php?url=www.t-online.de">[URL]http://www.microsoit.com/direc....microsoit.com/direct.php?url=www.t-online.de[/URL][/URL][/URL][/URL][/URL]

    Fixen.

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = [URL]http://www.microsoit.com/direct.php?url=www.t-online.de">http://www.microsoit.com/direct.php?url=">O4[/URL] - HKLM\..\Run: [USB Disk Tool] C:\Programme\USB Disk Tool\USNDISKT.EXE

    Auch fixen.

    Mach Dich mal schlau, was das hier sein soll:
    O4 - HKLM\..\RunServices: [CRZK.EXE] C:\WINDOWS\CRZK.EXE
    O4 - HKCU\..\Run: [Mani] C:\WINDOWS\Anwendungsdaten\rdsu.exe
    O4 - HKCU\..\Run: [NDrv] C:\WINDOWS\SYSTEM\NDrv.exe

    Du müßtest ja wissen, was Du installiert hast und was nicht.

    [URL]http://127.0.0.1:8080/proxyconf">[URL]http://www.microsoit.com/direct.php?url=www.t-online.de">http://www.microsoit.com/direct.php....microsoit.com/direct.php?url=www.t-online.de[/URL][/URL][/URL]
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Mart WebServices
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = [URL]http://127.0.0.1:8080/proxyconf
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.t-online.de/">[URL]http://www.microsoit.com/direct.php?url=www.t-online.de
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Mart WebServices
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = [URL][URL]http://127.0.0.1:8080/proxyconf">[URL]http://www.microsoit.com/direct.php?url=www.t-online.de">http://www.microsoit.com/direct.php....microsoit.com/direct.php?url=www.t-online.de[/URL][/URL][/URL]
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Mart WebServices
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = [URL]http://127.0.0.1:8080/proxyconf
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.t-online.de/ O2 - BHO: ...hp?url=">[URL]http://127.0.0.1:8080/proxyconf

    So. Ansonsten: Wie kommts daß Dein Logfile hier xmal drinsteht? Liegt das an der Software, hat HijackThis n Knacks oder Fehler Deinerseits?

    Ansonsten: Wenn ich mir das hier so ansehe, hast Du Dir einen üblen Hijacker eingefangen.
    Internet Explorer beenden, Systemwiederherstellung ausschalten, Einträge fixen lassen, bei fraglichen erstmal Google befragen.

    Ach ja, auch wenn das hier eventuell einen neuen Krieg lostritt: Denk bitte mal über einen Browserwechsel nach. Der IE ist der einzige, der sich auf diese Weise angreifen läßt.

    MfG
    Vimes
     
  4. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
    Gratuliere - du hast wohl anspruch auf einen Platz im Guinnesbuch der Rekorde mit dem längsten Hijackthis Log der Welt - das beste in deinem Fall ist die Fomatierung und die Neuinstallation von Windows (incl. aller verfügbaren Patches).
     
  5. Gast

    Gast Guest

    Spinnt die Forensoftware jetzt eigentlich komplett?? Woher kommt dieser gigantische Beitrag? Es wird immer schlimmer hier...

    @freddy_freizeit:

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.microsoit.com/direct.php?url=">h**p://www.microsoit.com/direct.php?url=www.t-online.de">h**p://www.microsoit.com/direct.php?url=">h**p://www.microsoit.com/direct.php?url=www.t-online.de

    Fixen.

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = h**p://www.microsoit.com/direct.php?url=www.t-online.de">h**p://www.microsoit.com/direct.php?url=">O4 - HKLM\..\Run: [USB Disk Tool] C:\Programme\USB Disk Tool\USNDISKT.EXE

    Auch fixen.

    Mach Dich mal schlau, was das hier sein soll:
    O4 - HKLM\..\RunServices: [CRZK.EXE] C:\WINDOWS\CRZK.EXE
    O4 - HKCU\..\Run: [Mani] C:\WINDOWS\Anwendungsdaten\rdsu.exe
    O4 - HKCU\..\Run: [NDrv] C:\WINDOWS\SYSTEM\NDrv.exe

    Du müßtest ja wissen, was Du installiert hast und was nicht.

    http://127.0.0.1:8080/proxyconf">h*....microsoit.com/direct.php?url=www.t-online.de
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Mart WebServices
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = h**p://127.0.0.1:8080/proxyconf R1....microsoit.com/direct.php?url=www.t-online.de
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Mart WebServices
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = h**p://127.0.0.1:8080/proxyconf R1...ckt einer hier unvorsichtig und dann BOING...
     
  6. wwwTerror

    wwwTerror Byte

    Registriert seit:
    24. Juni 2004
    Beiträge:
    8
    Die Sünden! Und die Gegenwaffen!


    Hiermit rufe ich zum Gi-WWW-had auf!

    Meine Mission ist es alle User dieses Boards dazu zu bekehren es umgehend zu verlassen. Das Board ist unwürdig und hat die ganzen User und ihre Geduld nicht verdient.

    Wir werden hier tyrannisiert, schikaniert und lächerlich gemacht.
    Wer traut sich noch zu sagen Ich bin User im PC-Welt-Forum? ? KEINER!
    Also lasst Uns alle dieses Land verlassen. Aber zuvor machen wir es dem Erdboden gleich!
    Diese Taktik hat schon im zweiten Weltkrieg Früchte getragen. Hier ist es noch schlimmer!

    Alle Ungläubigen, die hier bleiben werden, werden Wir mit gezielten Attacken vertreiben. Die Wahrheit ist, dass keine von Euren tausenden Atomwaffen euch vor uns ,der Gefahr, beschützen kann! Ein Auserwählter von Uns kann euch in Angst und Schrecken versetzen.

    Herr Willeke, Sie haben dem Board nicht die Wahrheit gesagt, als Sie verkündeten, dass Wir eine bessere und schnellere Forumsoftware erhalten. Sie haben Uns für dumm verkauft! Die Reaktionen der PC-Welt und der IDG grenzen an Nichts. Sie sind das Nichts! Was für eine Absurdität. Wir sind Zielscheibe Ihrer Machenschaften. Aber dies ändert sich. Jetzt sind Sie Zielscheibe der Terroristen, weil SIE gehasst werden. Wir werden Unseren Feldzug gegenüber der grenzenlosen Ignoranz unvermindert bis zum Ende gehen. Bis dass die Sonne zum letzten Mal untergeht und alles in ewiger Dunkelheit erscheint.

    Wir werden aus dem Ungewissen kommen, Zuschlagen, um dann wieder ins Ungewisse zurückzukehren und einen neuen Anschlag planen, sollte der erste unerwartet seinen gewünschten Erfolg nicht erfüllen. Wir schrecken nicht davor zurück Unser Leben für Unsere Ziele einzusetzen. Wir sind mitten unter Euch und kennen das System und seine Schwächen! Bei diesen BUGs, die hier herrschen, ist es kein Wunder für Uns sich einen Zugang zu verschaffen.

    Zusammenfassend heißt das: Wir sind gut und Ihr seid böse. Wer würde Euch dann hassen, wenn Ihr die Guten währt? Wer sollte Euch dann bombardieren? Dies ist die Wahrheit, IDG und PC-Welt. Und es ist nötig, dass das Board sie hört.

    Unsere Forderung ist es unser heiliges Land, wie es vor dem 02.06.2004 war, wieder zu haben. Sollte dies nicht geschehen, wird alles Untergehen! Schützt euch und erfüllt diese Forderung!

    Gez.
    FFC
    FanatischeForumCommunity

    wwwTerror
    Meine Homepage
    KLICK
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen