Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hijacker leitet auf Seite: http://69.50.160.100/ (https://www.trojaner-board.de/11698-hijacker-leitet-seite-http-69-50-160-100-a.html)

spassig 05.01.2005 17:36
Hijacker leitet auf Seite: http://69.50.160.100/
 
Hallo an ALLE...

habe ein Hijacker auf dem Rechner :confused:

Win98, Internet Explorer6

werde immer auf die Seite http://69.50.160.100/ umgeleitet
und sämmtliche bekannten Programme können die SAU nicht
entfernen...argh!

-Ad Aware
-Spybot search and distroy
-CWShredder
-HijackThis

es werden zwar Daten gefunden und entfernt aber nach jedem Neustart des
Rechners/Explorers tauchen die wieder auf.
Hab die Programme im abgesicherten und normalen Modus ausprobiert....nix

Fals also noch jemand eine Gute Idee Hat...

Logfile von HijackThis:

Logfile of HijackThis v1.99.0
Scan saved at 16:58:39, on 05.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\WINAMP\WINAMPA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\UNZIPPED\HIJACKTHIS_199[1]\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.jethomepage.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.jethomepage.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.jethomepage.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.jethomepage.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.160.100/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.160.100/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.jethomepage.com/ie/
O9 - Extra button: My button - {47FE5D70-9AA2-40F1-9C6B-12A255F085EA} - C:\PROGRAMME\0CAT YELLOWPAGES\STIEBAR.DLL
O9 - Extra 'Tools' menuitem: My menu - {47FE5D70-9AA2-40F1-9C6B-12A255F085EA} - C:\PROGRAMME\0CAT YELLOWPAGES\STIEBAR.DLL
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.160.98/affiliates/acc00...::/acc0000.exe
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253

vielen Dank im Voraus...

Cidre 05.01.2005 17:43
Hallo,

wechsle in den abgesicherten Modus http://www.trojaner-board.de/63335-w...s-starten.html und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.jethomepage.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.jethomepage.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.jethomepage.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.jethomepage.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.160.100/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.160.100/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.jethomepage.com/ie/
O9 - Extra button: My button - {47FE5D70-9AA2-40F1-9C6B-12A255F085EA} - C:\PROGRAMME\0CAT YELLOWPAGES\STIEBAR.DLL
O9 - Extra 'Tools' menuitem: My menu - {47FE5D70-9AA2-40F1-9C6B-12A255F085EA} - C:\PROGRAMME\0CAT YELLOWPAGES\STIEBAR.DLL
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.160.98/affiliates/acc0...m::/acc0000.exe

Lösche:
Ordner C:\PROGRAMME\0CAT YELLOWPAGES
C:\WINDOWS\system32\msvcrta.dll wenn vorhanden

- Neustart
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File posten

spassig 05.01.2005 18:19
Danke dir Cidre.... :aplaus:

lag an der Datei msvcrta.dll
habe diese nun gelöscht und es läuft... :-)

alle anderen Schritte hatte ich wie von dir beschrieben bereits probiert.

Bill G. ist doof :balla:


DANKE


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131