|
Browser wurde gehijackt ICh hab highjack this durchlaufen lassen und folgendes Log erhalten: Logfile of HijackThis v1.99.0 Scan saved at 13:30:15, on 25.01.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe t:\stuff\norton~1\norton~1\NPROTECT.EXE C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe T:\stuff\norton~1\Speed Disk\nopdb.exe C:\WINNT\system32\stisvc.exe C:\TEMP\_VWUPSRV.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Internet Explorer\iexplore.exe C:\WINNT\system32\RUNDLL32.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Nikon\NkView6\NkvMon.exe C:\Programme\OpenOffice.org1.1.3\program\soffice.exe C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\WINNT\system32\wuauclt.exe C:\WINNT\msagent\AgentSvr.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchdom.net R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchdom.net/?re= (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchdom.net/?re= (obfuscated) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Programme\OpenOffice.org1.1.3\program\quickstart.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe O13 - DefaultPrefix: http://%77%77%77%2E%73%65%61%72%63%6...%6E%65%74/?re= O13 - WWW Prefix: http://%77%77%77%2E%73%65%61%72%63%6...%6E%65%74/?re= O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: pcAnywhere Host Service - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Norton Unerase Protection - Symantec Corporation - t:\stuff\norton~1\norton~1\NPROTECT.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: Speed Disk service - Symantec Corporation - T:\stuff\norton~1\Speed Disk\nopdb.exe O23 - Service: AntiVir Update Temp - H+BEDV Datentechnik GmbH, Germany - C:\TEMP\_VWUPSRV.EXE Im unteren teil stehen so sachen mit diesen % zeichen. Kann es sein das daurch meine Startseite usw. verändert wurden? Kann ich das durch highjack this irgendwie wieder beheben?? Gruss, Sebastian |
Hi, im abgesicherten Modus folgendes mit HJT fixen (nach dem scan Häkchen bei den von mir genannten Punkten machen und auf "fix checked"clicken): R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchdom.net R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchdom.net/?re= (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchdom.net/?re= (obfuscated) O13 - DefaultPrefix: http://%77%77%77%2E%73%65%61%72%63%...6E%65%7 4/?re= O13 - WWW Prefix: http://%77%77%77%2E%73%65%61%72%63%...6E%65%7 4/?re= Dann neu booten (normal) und neues Logfile posten; deine Probs sollten weg sein. cacatoa |
Ich habs genau so gemacht, aber das bleibt alles wie gehabt. Was kann ich nun tuen? |
Erst mal ein neues Logfile posten. cacatoa |
Das logfile ist das gleich wie unten zu sehen! Es hat sich absolut nichts verändert! |
Du hast das im abgesicherten Modus gefixt? Glaub ich nicht. cacatoa |
Ich weis doch was ich gemacht habe!!! Ich versichere dir das ich es so gemacht habe! |
Hallo @Sebi84 Deinstalliere unter Software das Programm "MSSoft" Öffne das Notepad, kopiere folgenden Inhalt und speichere es als fix.reg ab: Zitat:
Wechsle in den abgesicherten Modus und fixe diese Einträge nochmal: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchdom.net R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchdom.net/?re= (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchdom.net/?re= (obfuscated) O13 - DefaultPrefix: http://%77%77%77%2E%73%65%61%72%63%...6E%65%7 4/?re= O13 - WWW Prefix: http://%77%77%77%2E%73%65%61%72%63%...6E%65%7 4/?re= Danach Doppelklick auf fix.reg, Neustart und zuguterletzt postest du ein neues HJT Log-File. |
Zitat:
aber wie kann man sich sowas denn eigentlich "einfangen"? :confused: |
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board