|
nun hab mir auch mal was ganz übles eingefangen: glaub es ist ein Hijacker und nennt sich: "sergey7.offshoreclicks" hat sich bei mir im IE6 eingenistet und startet jeden Tag erneut. Er verändert die Startseite des IE6 und will ein Tool installieren(hab aber DSL [img]smile.gif[/img] ) seit zwei Tagen geht das nun schon so. mein System: WinXp Pro, IE6 (sämtliche Patches) Cleanversuche: Adaware, Spybot - Search, The Cleaner, AntiTrojan und (schäm) NIS eine Systemwiederherstellung brachte bisher auch nichts..... |
Hi Ufo! es ist nicht viel, aber versuche mal... Nachtrag: JS.Fortnight.B@mm kommt stark in Frage. Bitdefender hat ein Online-Scan-Dienst, nimm den in Anspruch, NAV-Virenwächter abschalten! [ 04. September 2003, 20:41: Beitrag editiert von: Rene-gad ] |
ja, thanks...die Seite hatte ich auch schon, leider in English....hab nur die hälfte verstanden [img]graemlins/crazy.gif[/img] |
http://www.tomcoyote.org/hjt/ HijackThis herunterladen -> installieren -> scannen Sodann verwandelt sich der "Scan"-Button in "Save log". Diesen klicken, den Log speichern, den Inhalt kopieren und hier posten. |
</font><blockquote>Zitat:</font><hr />Original erstellt von Ufo: ja, thanks...die Seite hatte ich auch schon, leider in English....hab nur die hälfte verstanden [img]graemlins/crazy.gif[/img] </font>[/QUOTE]...lass die mit http://reversonet.lycos.de übersetzen. Und der 2.Link ist auf Hochdeutsch. |
hab mit Bitdefender einen Online-Scan gemacht, ohne Ergebnis, auf den Virus "JS.Fortnight.B@mm" tippe ich nicht, denn es wird ja nur die Startseite des IE geändert.... hab auch den Aluria-Scanner installiert, leider ist die "Light-Version" nicht voll funktionsfähig, hat aber etwas gefunden im C:\system volume information\-restore(345....)PR357\A0017403.ocx SpywareName: SearchIt [ 05. September 2003, 12:38: Beitrag editiert von: Ufo ] |
hi Ufo, 1. Was im _restore falsch liegt lässt sich mit SWH-Abschaltung erledigen (Link in meiner Signatur, dann P6 oder hier im Board suchen) 2. Versuche mit einem Registry-Tool nach Einträge mit den "sergey" sowie "offshore" suchen. Aus nix kommt nix: diese Namen sind irgendwo gespeichert. |
in der Registry findet man unter HKEY_UserS/S-1-5-21/Software/Microsoft/Search Assistent/ACMru/A5603/mehrere Einträge das ist wohl nur der Suchassistent von MS, oder? wenn ich die SWH abstelle, dann neu boote, ist dann der Restore Ordner anschließend leer ? |
</font><blockquote>Zitat:</font><hr /> in der Registry findet man unter HKEY_UserS/S-1-5-21/Software/Microsoft/Search Assistent/ACMru/A5603/mehrere Einträge das ist wohl nur der Suchassistent von MS, oder? </font>[/QUOTE]...mach mal bitte TemporaryInternetFiles+Cookies leer. Weiter mit dem Link </font><blockquote>Zitat:</font><hr /> wenn ich die SWH abstelle, dann neu boote, ist dann der Restore Ordner anschließend leer ? </font>[/QUOTE]... so isses ;) . vergiss bitte nicht, sobald der Rechner sauber ist, SWH wieder einzuschalten. |
...Ordner Cookies und TempInternetFiles leere ich regelmäßig, in den letzten zwei Tagen des öfteren SWH habe ich auch durchgezogen, leider keine Änderung, eben startete der Browser wieder mit der "Sergey7/offshoreclick" Seite, ich werde nun mal den Link ausprobieren...... |
...werd bald wahnsinnig :confused: hab nun Dialerschutz.de durchgearbeitet leider auch kein Erfolg.... kann man den IE komplett entfernen und neu installieren :confused: |
</font><blockquote>Zitat:</font><hr /> ...werd bald wahnsinnig...</font>[/QUOTE]..nööö, lieber nein! Verzicht vom IE lohnt sich allerdings auf jedem Fall. [img]graemlins/daumenhoch.gif[/img] Aber: es MUSS doch was in Registry sein! Mach die Suche mit JV16...Suchbegriff "sergey" und "offshore" oder wie das Vieh heißt. |
Nur noch einmal kurz der Hinweis, daß mit Hilfe von HijackThis alle Komponenten der Hijacker/Spyware-Kombination "SearchIt" realativ einfach zu entfernen sind. Aber wer nicht will, der hat schon... Den IE neu zu installieren, ist ist letztlich keine Lösung, denn dieser ist die Ursache der Hijacker-Installation. SearchIt und die meisten anderen Hijacker (oder auch Hijacker-Dialer-Spyware-Kombinationen) werden über den Unsicherheitsbrowser IE per ActiveX-Control installiert. |
die Shareware-Version von HijackThis scannt zwar, kann aber keine entfernen, leider |
@ Rene-gad: hab mit JV(neuste Version) gesucht, es ist kein Eintrag vorhanden |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board