Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hijacker ?? (https://www.trojaner-board.de/2444-hijacker.html)

Ufo 04.09.2003 16:51

nun hab mir auch mal was ganz übles eingefangen:
glaub es ist ein Hijacker und nennt sich:
"sergey7.offshoreclicks"
hat sich bei mir im IE6 eingenistet und startet jeden Tag erneut.
Er verändert die Startseite des IE6 und will ein Tool installieren(hab aber DSL [img]smile.gif[/img] )
seit zwei Tagen geht das nun schon so.
mein System: WinXp Pro, IE6 (sämtliche Patches)
Cleanversuche: Adaware, Spybot - Search, The Cleaner, AntiTrojan und (schäm) NIS
eine Systemwiederherstellung brachte bisher auch nichts.....

Rene-gad 04.09.2003 17:00

Hi Ufo!
es ist nicht viel, aber versuche mal...
Nachtrag: JS.Fortnight.B@mm kommt stark in Frage. Bitdefender hat ein Online-Scan-Dienst, nimm den in Anspruch, NAV-Virenwächter abschalten!

[ 04. September 2003, 20:41: Beitrag editiert von: Rene-gad ]

Ufo 04.09.2003 19:57

ja, thanks...die Seite hatte ich auch schon,
leider in English....hab nur die hälfte verstanden [img]graemlins/crazy.gif[/img]

sPaCeLoRd 04.09.2003 22:43

http://www.tomcoyote.org/hjt/

HijackThis herunterladen -> installieren -> scannen
Sodann verwandelt sich der "Scan"-Button in "Save log".
Diesen klicken, den Log speichern, den Inhalt kopieren und hier posten.

Rene-gad 05.09.2003 06:03

</font><blockquote>Zitat:</font><hr />Original erstellt von Ufo:
ja, thanks...die Seite hatte ich auch schon,
leider in English....hab nur die hälfte verstanden [img]graemlins/crazy.gif[/img]
</font>[/QUOTE]...lass die mit http://reversonet.lycos.de übersetzen. Und der 2.Link ist auf Hochdeutsch.

Ufo 05.09.2003 11:31

hab mit Bitdefender einen Online-Scan gemacht, ohne Ergebnis, auf den Virus "JS.Fortnight.B@mm"
tippe ich nicht, denn es wird ja nur die Startseite des IE geändert....
hab auch den Aluria-Scanner installiert, leider ist die "Light-Version" nicht voll funktionsfähig, hat aber etwas gefunden im
C:\system volume information\-restore(345....)PR357\A0017403.ocx SpywareName: SearchIt

[ 05. September 2003, 12:38: Beitrag editiert von: Ufo ]

Rene-gad 05.09.2003 11:46

hi Ufo,
1. Was im _restore falsch liegt lässt sich mit SWH-Abschaltung erledigen (Link in meiner Signatur, dann P6 oder hier im Board suchen)
2. Versuche mit einem Registry-Tool nach Einträge mit den "sergey" sowie "offshore" suchen. Aus nix kommt nix: diese Namen sind irgendwo gespeichert.

Ufo 05.09.2003 12:00

in der Registry findet man unter HKEY_UserS/S-1-5-21/Software/Microsoft/Search Assistent/ACMru/A5603/mehrere Einträge
das ist wohl nur der Suchassistent von MS, oder?

wenn ich die SWH abstelle, dann neu boote, ist dann der Restore Ordner anschließend leer ?

Rene-gad 05.09.2003 12:21

</font><blockquote>Zitat:</font><hr /> in der Registry findet man unter HKEY_UserS/S-1-5-21/Software/Microsoft/Search Assistent/ACMru/A5603/mehrere Einträge
das ist wohl nur der Suchassistent von MS, oder?
</font>[/QUOTE]...mach mal bitte TemporaryInternetFiles+Cookies leer. Weiter mit dem Link
</font><blockquote>Zitat:</font><hr />
wenn ich die SWH abstelle, dann neu boote, ist dann der Restore Ordner anschließend leer ?
</font>[/QUOTE]... so isses ;) . vergiss bitte nicht, sobald der Rechner sauber ist, SWH wieder einzuschalten.

Ufo 05.09.2003 15:32

...Ordner Cookies und TempInternetFiles leere ich regelmäßig, in den letzten zwei Tagen des öfteren
SWH habe ich auch durchgezogen, leider keine Änderung, eben startete der Browser wieder mit der "Sergey7/offshoreclick" Seite,
ich werde nun mal den Link ausprobieren......

Ufo 05.09.2003 18:48

...werd bald wahnsinnig :confused:
hab nun Dialerschutz.de durchgearbeitet
leider auch kein Erfolg....

kann man den IE komplett entfernen und neu installieren :confused:

Rene-gad 05.09.2003 18:56

</font><blockquote>Zitat:</font><hr /> ...werd bald wahnsinnig...</font>[/QUOTE]..nööö, lieber nein! Verzicht vom IE lohnt sich allerdings auf jedem Fall. [img]graemlins/daumenhoch.gif[/img] Aber: es MUSS doch was in Registry sein! Mach die Suche mit JV16...Suchbegriff "sergey" und "offshore" oder wie das Vieh heißt.

sPaCeLoRd 05.09.2003 19:32

Nur noch einmal kurz der Hinweis, daß mit Hilfe von HijackThis alle Komponenten der Hijacker/Spyware-Kombination "SearchIt" realativ einfach zu entfernen sind.

Aber wer nicht will, der hat schon...

Den IE neu zu installieren, ist ist letztlich keine Lösung, denn dieser ist die Ursache der Hijacker-Installation.

SearchIt und die meisten anderen Hijacker (oder auch Hijacker-Dialer-Spyware-Kombinationen) werden über den Unsicherheitsbrowser IE per ActiveX-Control installiert.

Ufo 05.09.2003 19:40

die Shareware-Version von HijackThis scannt zwar,
kann aber keine entfernen, leider

Ufo 05.09.2003 19:49

@ Rene-gad:
hab mit JV(neuste Version) gesucht, es ist kein Eintrag vorhanden


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19