Von AdAware entdeckte(s) Objekt(e)

Dieses Thema im Forum "Sicherheit" wurde erstellt von prati, 6. Mai 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. prati

    prati Kbyte

    Registriert seit:
    30. November 2003
    Beiträge:
    140
    Beim gestrigen Scan mit AdAware wurde folgendes Objekt entdeckt:

    Hersteller: Possible Browser Hijack attempt

    Kategorie: Data Miner

    Objekt Typ: Reg. Daten

    Grösse: -

    Ort: Software\Microsoft\Internet Explorer\Main "Start

    War geladen: 06.05.04

    Gefährdung: mittel

    Kommentar: möglicher Browser Hijack-Versuch

    __________

    Beschreibung: Possible attempt to control\redirect the browser

    This object refers to a "blacklisted" site

    Das Ding wurde von AdAware zweimal gefunden, und zwar unter

    HKEY_CURRENT_USER:Software\Microsoft\Internet Explorer\"Main start page" ("about blank")


    und unter


    HKEY_USERS efault\software\microsoft\Internet Explorer\"Main start page"("about blank")

    Nachdem ich das (die) Ding(er) gestern mit AdAware entfernt hatte, waren sie heute morgen - und zwar ohne daß ich mit dem IE ins Internet eingestiegen wäre (tat es mit dem Mozilla Firefox), wieder da.

    Jetzt habe ich die Frage, ob dieses gefährlich ist, etwa in bezug auf allfällige Passworte oder ähnliches bzw. wie man das endgültig wieder los werden kann.

    Worst case: Wenn man - rein theoretisch - mittels eines ADSL-Splitters über einen zweiten PC ins Internet einsteigt, der ansonsten völlig unabhängig vom ersten ist, findet der potentielle HiJacker auch diesen aufgrund der über den Spion erhaltenen Date?

    Ergänzen möchte ich noch hinzufügen, daß sich mein PC gestern auffällig oft aufgehängt hat (nur RESET-Taste half).
     
  2. juerwa

    juerwa ROM

    Registriert seit:
    3. Juli 2002
    Beiträge:
    6
  3. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    @prati

    das scheint sauber zu sein bei dir.
    ich musste nach einigen prozessen etwas googlen, aber ist nix gefährliches dabei in dein log...

    bei dem hier musste aufpassen:
    O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
    im system-folder handelt es sich um das richtige programm
    im windows-folder handelt es sich um einem wurm
     
  4. prati

    prati Kbyte

    Registriert seit:
    30. November 2003
    Beiträge:
    140
    O.K., hier das Ergebnis:

    Logfile of HijackThis v1.97.7
    Scan saved at 23:34:33, on 06.05.04
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\windows\SYSTEM\LXDBOXCP.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
    C:\WINDOWS\SYSTEM\STIMON.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
    C:\PROGRAMME\BROWSER MOUSE\1.3\MOUSE32A.EXE
    C:\WINDOWS\98SAFEREMOVE.EXE
    C:\PROGRAMME\MULTIMEDIA KEYBOARD UTILITY\1.3\KBDAP32A.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
    C:\WINDOWS\SYSTEM\SPOOL32.EXE
    C:\WINDOWS\SYSTEM\RNAAPP.EXE
    C:\WINDOWS\SYSTEM\TAPISRV.EXE
    C:\INSTALLATIONSDATEIEN\HIJACKTHIS.EXE

    F1 - win.ini: run=lxdboxcp.exe
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar.dll
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL (file missing)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [D066UUtility] C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
    O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
    O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
    O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
    O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Multimedia keyboard utility\1.3\MMKEYBD.EXE
    O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [98SafeRemove] C:\Windows\98SafeRemove.exe
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR.DLL/cmsearch.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR.DLL/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR.DLL/cmsimilar.html
    O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR.DLL/cmbacklinks.html
    O8 - Extra context menu item: Translate Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR.DLL/cmtrans.html
    O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
    O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
    O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
    O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
    O12 - Plugin for .exe: C:\Programme\Opera7\PLUGINS\NPLeechGet.dll
    O12 - Plugin for .zip: C:\Programme\Opera7\PLUGINS\NPLeechGet.dll
    O12 - Plugin for .mwv: C:\Programme\Opera7\PLUGINS\NPLeechGet.dll
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37868.5000462963
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
     
  5. Gast

    Gast Guest

    dann mal das hier runterladen: Klick
    und das Ergebnis hier posten, für unsere Experten.
     
  6. prati

    prati Kbyte

    Registriert seit:
    30. November 2003
    Beiträge:
    140
    Danke für die Antworten.
    Spybot S&D habe ich, auch aktuell, das hat nichts gefunden.
     
  7. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    die neuere spybot search&destroy programmvariante erstellt automatisch ein wiederherstellungspunkt....finde ich zwar praktisch aber zeitverschwendung :p
     
  8. Gast

    Gast Guest

    wieso, hat er die denn noch nicht;)
    ich hoffe doch :D
     
  9. Gast

    Gast Guest

    lade Dir mal das hier runter und lass es mal durchlaufen: Klick
     
  10. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Aber vorher Update machen... ;)
     
  11. goemichel

    goemichel Guest

    Hi, also das erste erscheint mir unbedenklich. Bei mir beschwert sich Adaware auch immer, dass ich im IE (den ich im Übrigen nur für Windows-Update benutze) als Startseite "leere Seite (about blank)" eingestellt habe. Das kommt wahrscheinlich daher, dass du (vermutlich) den IE als Standard-Browser benutzt?

    Gruß, Michael
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen