Hilfe! Hijacker Software redirectet Startseite,added Bookmarks und öffnet fenster

Dieses Thema im Forum "Sicherheit" wurde erstellt von Jazmin, 5. März 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Jazmin

    Jazmin Byte

    Registriert seit:
    18. Juli 2002
    Beiträge:
    32
    hallo ich habe mir schon "hijack this" besorgt ein gutes tool
    nur weiss ich nicht was ich damit alles löschen soll

    ausserdem habe ich den CW Shredder runtergeladen er half vielen mit Hihjacker problemen.
    Hier is das Scanresultat des Shredders:
    "
    Windows XP (5.01.2600 SP1)
    Windows dir: C:\WINDOWS
    Windows system dir: C:\WINDOWS\system32
    AppData folder: C:\Dokumente und Einstellungen\anon\Anwendungsdaten
    Username: anon

    Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (56 bytes, R)
    Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
    UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,
    CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwebsearch.com [*] dword:4
    Registry value: DefaultPrefix (should be http://) [] http://
    Registry value: WWW Prefix (should be http://) [www] http://
    Registry value: Mosaic Prefix (should be http://) [mosaic] http://
    Registry value: Home Prefix (should be http://) [home] http://
    Found Win.ini file: C:\WINDOWS\win.ini (513 bytes, -)
    Found line in Win.ini: run=
    Found System.ini file: C:\WINDOWS\system.ini (260 bytes, -)"

    hilft alles nix, spybot search and destroy oder adaware erkennt zwar nen hijacker/Umleitung aber das löschen nützt nich viel beim nächsten browser öffnen oder restart alles wieder da :(






    und hijack this hat folgende prozesse usw ausgemacht:

    "Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Anwendungen\AVPersonal\AVGUARD.EXE
    C:\Anwendungen\AVPersonal\AVWUPSRV.EXE
    C:\Programme\Internet Explorer\iexplore.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\system32\srvany.exe
    C:\WINDOWS\system32\resetservice.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\msprotect.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\PROGRA~1\ICQ\ICQ.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Dokumente und Einstellungen\anon\Desktop\hijackthis\HijackThis.exe

    O1 - Hosts: 213.159.117.235 auto.search.msn.com
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ANWEND~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
    O4 - HKLM\..\Run: [PIX501] C:\WINDOWS\System32\msprotect.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [RealUpdater] C:\WINDOWS\System32\realupd.exe
    O4 - HKCU\..\Run: [aimboot] %SystemRoot%\winrar.exe
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: Download with GetRight - C:\Anwendungen\GetRight\GRdownload.htm
    O8 - Extra context menu item: Open with GetRight Browser - C:\Anwendungen\GetRight\GRbrowse.htm
    O9 - Extra button: ICQ Pro (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ (HKLM)
    O9 - Extra 'Tools' menuitem: PopThis! Options... (HKLM)
    O15 - Trusted Zone: www.camelot-europe.com
    O15 - Trusted Zone: www.billing.camelot-europe.com
    O15 - Trusted Zone: www.camelot-europe.goa.com
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38001.2753819444
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F80-00104B107C96}

    "


    nur da weiss ich nich was ich löschen darf und was nich
    hilfe :(
     
  2. Gast

    Gast Guest

    O4 - HKCU\..\Run: [aimboot] %SystemRoot%\winrar.exe

    Verdächtig. Was hat AIMBOOT mit Winrar zu tun und warum sollte ein Packprogramm im Systemordner beheimatet sein und dann noch im Hintergrund laufen?
     
  3. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.590
    Wenn man seine XP Version nicht von MS freischalten lässt, sondern etwas wie "......." benutzt, hat man halt ein "resetservce" und ein "srvany" ständig im Hintergrund laufen

    Ich habe so den Verdacht, dass es sich bei dem XP um eine.....handelt.:rolleyes:
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen