hi

habe (wieder .. grrrr) einen hijacker in meinem IE6 am arbeitsplatz.

das ganze sieht so aus:
http://nytemare.com/hijack.jpg (screenshot)

die URL in dem popup verweist auf ein unterverzeichnis von h**p://www.searchx.cc/blabla......

weder mit SpybodSD, noch mit adaware6 noch mit CWSShredder bekomme ich das ding weg - weiß jemand rat?

danke im voraus [img]smile.gif[/img]

HiJackThis (HJT) log hier mal posten, bzw. zuerst mal selber ansehen
Was ist HJT? Boardsuche benutzen
http://www.trojaner-board.de/51130-a...ijackthis.html

werde mir die software runterladen - danke soweit erstmal [img]smile.gif[/img]

das ergebnis sieht so aus (screenshot):

http://nytemare.com/log.gif

danke im voraus für weitere hilfe.

PS:
in dem log sind ja auch einträge zu sehen, die sich auf andere browser als den IE beziehen - mein problem bezieht sich nur auf den IE, alles andere kann also ignoriert werden.

Hallo,

versuche es bitte als erstes nach dieser Anleitung:
http://www.trojaner-info.de/anleitun...llow_page.html

Wenn Du mit dem dort genannten Tool Killbox das Problem nicht lösen kannst, wird es (noch) aufwendiger. Bitte melde Dich dann noch einmal.

Gruß,
Lutz

ich scheitere leider schon an schritt 4 der von dir empfohlenen anleitung - der wert 61c00000 61440 kann in der durch die runme.bat erzeugten textdatei nicht gefunden werden.

[img]graemlins/dummguck.gif[/img]

Dann handelt es sich 'leider' um einen anderen CWS-Hijacker...

Auf die 'Schnelle' hätte ich noch folgendes anzubieten:
</font><blockquote>Zitat:</font><hr />
http://forums.net-integration.net/in...c=13515&st=210
Posted: Apr 28 2004, 11:27 AM
*********************************
Zitat:

Ok everybody. Here you go!

http://tools.zerosrealm.com/startchmfix.exe

Download it. Run it and extract the folder to the desktop preferably.

Open the folder after extracted.

Double click the fix.bat

Please make sure all Internet Explorers are closed.

Only run it once or you will lose the backups although they shouldn't be needed.

I managed to verify the bad dll today is 20kb.

Notepad will open at the end with the bad file. Please post that line here.
*********************************

Der obige Link geht zu einem Megathread über mittlerweile 22 Seiten, allerdings alles in englisch...
Da ich nicht selbst betroffen bin, konnte ich das Tool nicht auf Funktionalität überprüfen. Ich habe lediglich feststellen können, dass es bei mir keinen Schaden angerichtet hat. Es werden in erster Linie Registry-Einträge entfernt und in einer Log-Datei die 'bösartige' *.dll angezeigt.</font>[/QUOTE]Gruß,
Lutz

danke nochmals - leider hat's nicht geklappt, bin mir aber auch nicht sicher, ob ich alles richtig gemacht habe (die angezeigte bösartige DLL existiert - zumindest unter dem pfad - nicht; wird die von dem tool selbsttätig entfernt..?).

allerschlimmstenfalls werde ich eventuell den IE neu installieren (falls microsoft noch stand-alone downloads anbietet).
dazu gleich 'ne frage: ich finde bei msn.com immer nur ie service pack 1 (dateiname: ie6setup.exe) als download - ist das nur der IE oder nur eine ergänzung? muß ich den vorhandenen IE deinstallieren oder kann ich den neuen einfach drüberinstallieren?

[ 04. Mai 2004, 11:31: Beitrag editiert von: paulemsig ]

</font><blockquote>Zitat:</font><hr />die angezeigte bösartige DLL existiert - zumindest unter dem pfad - nicht; wird die von dem tool selbsttätig entfernt..?).</font>[/QUOTE]Wenn startchmfix.exe das richtige Tool für Deinen Hijacker gewesen ist, löscht dieses die dll. Ich muss allerdings fairerweise zugeben, dass ich nicht immer an jedem Log 100%ig erkennen kann, um welchen Hijacker es sich genau handelt...

Erstelle doch noch mal ein aktuelles Log mit HijackThis, dann können wir sehen, ob startchmfix.exe erfolgreich war.

Die Neuinstallation des IE wird Dir nicht viel weiterhelfen. Du solltest Dich lieber nach einem alternativen Browser umschauen.

Lutz

</font><blockquote>Zitat:</font><hr />Original erstellt von Lutz (DerBilk):

Zitat:

(...)

Erstelle doch noch mal ein aktuelles Log mit HijackThis, dann können wir sehen, ob startchmfix.exe erfolgreich war.

Die Neuinstallation des IE wird Dir nicht viel weiterhelfen. Du solltest Dich lieber nach einem alternativen Browser umschauen.

Lutz

Zitat:

</font>

ich erstelle einen neuen log und poste den dann hier.

thema alternativer browser: mir ist die problematik bewußt, da ich hier aber u.a. webdesign mache, brauche ich verschiedene browser, um kompatibilitäten zu testen. es handelt sich um den rechner an meinem arbeitsplatz und anscheinend war am wochenende jemand mit meinem rechner im inet und hat leider meine sicherheitseinstellungen geändert (sprich: java und activex re-aktiviert).

hier die neu erstellte logfile (screenshot):

http://nytemare.net/log.gif

Es wäre einfacher, du würdest das Log hier direkt hinein posten (Save Log und die erstellte txt-Datei dann hierhin kopieren)...
Aber versuchen wir es so

Fixe bitte im abgesicherten Modus(*1) des Betriebssystem (XP??)
alle R0 und R1 - Einträge
außerdem:
den 2. und 3. von O2

Wenn das Bild nicht die ganze Log-Datei zeigt, schau Dir evtl, vorhandene weitere Einträge unter O16 genauer an.

Falls es diese Datei noch gibt, bitte löschen:
C:\System32\cok.dll

Falls noch nicht geschehen, lade bitte die Tools Ad-aware, Spybot Search&Destroy und CWShredder herunter (Links überall im Forum). Aktualisiere die Tools Ad-aware und Spybot S&D und führe alle drei nacheinander im abgesicherten Modus aus.

*1 = Hinweise zum abgesicherten Modus

Nachtrag:
Noch ein Versuch:
Lade Dir hier http://www.mwti.net/antivirus/free_utilities.asp das Tool Free eScan Antivirus Toolkit Utility herunter und lass es -ebenfalls im abgesicherten Modus- laufen.

Lutz

[ 04. Mai 2004, 12:53: Beitrag editiert von: Lutz (DerBilk) ]

sorry, wußte auf anhieb nicht, wie ich den log kopiere, daher die screenshots. die darstellung des logs ist vollständig.

ich werde bei gelegenheit in ruhe deiner anleitung folgen - vielen dank nochmal.

</font><blockquote>Zitat:</font><hr />Original erstellt von Lutz (DerBilk):
(...)

Fixe bitte im abgesicherten Modus(*1) des Betriebssystem (XP??)
alle R0 und R1 - Einträge
außerdem:
den 2. und 3. von O2</font>[/QUOTE]PS: "fixen" =&gt; mit dem HijackThis-tool? und: ja, mein OS ist XP.

nur interessehalber: ich habe eigentlich einen popupblocker (google toolbar), trotzdem spuckt diese hijack-software ein popup aus (jedesmal, wenn ich den IE öffne). wie bzw. warum ist das möglich..?

</font><blockquote>Zitat:</font><hr />nur interessehalber: ich habe eigentlich einen popupblocker (google toolbar), trotzdem spuckt diese hijack-software ein popup aus (jedesmal, wenn ich den IE öffne). wie bzw. warum ist das möglich..? </font>[/QUOTE]Nunja um es genau sagen zu können müsste man mal wieder den eigentlichen auslöser vorliegen haben. Im grunde wird das ding aber nichts anderes machen als deinen IE nocheinmal zu starten mit der entsprechenden Seite