nun hab mir auch mal was ganz übles eingefangen:
glaub es ist ein Hijacker und nennt sich:
"sergey7.offshoreclicks"
hat sich bei mir im IE6 eingenistet und startet jeden Tag erneut.
Er verändert die Startseite des IE6 und will ein Tool installieren(hab aber DSL [img]smile.gif[/img] )
seit zwei Tagen geht das nun schon so.
mein System: WinXp Pro, IE6 (sämtliche Patches)
Cleanversuche: Adaware, Spybot - Search, The Cleaner, AntiTrojan und (schäm) NIS
eine Systemwiederherstellung brachte bisher auch nichts.....

Hi Ufo!
es ist nicht viel, aber versuche mal...
Nachtrag: JS.Fortnight.B@mm kommt stark in Frage. Bitdefender hat ein Online-Scan-Dienst, nimm den in Anspruch, NAV-Virenwächter abschalten!

[ 04. September 2003, 20:41: Beitrag editiert von: Rene-gad ]

ja, thanks...die Seite hatte ich auch schon,
leider in English....hab nur die hälfte verstanden [img]graemlins/crazy.gif[/img]

http://www.tomcoyote.org/hjt/

HijackThis herunterladen -> installieren -> scannen
Sodann verwandelt sich der "Scan"-Button in "Save log".
Diesen klicken, den Log speichern, den Inhalt kopieren und hier posten.

</font><blockquote>Zitat:</font><hr />Original erstellt von Ufo:
ja, thanks...die Seite hatte ich auch schon,
leider in English....hab nur die hälfte verstanden [img]graemlins/crazy.gif[/img] </font>[/QUOTE]...lass die mit http://reversonet.lycos.de übersetzen. Und der 2.Link ist auf Hochdeutsch.

hab mit Bitdefender einen Online-Scan gemacht, ohne Ergebnis, auf den Virus "JS.Fortnight.B@mm"
tippe ich nicht, denn es wird ja nur die Startseite des IE geändert....
hab auch den Aluria-Scanner installiert, leider ist die "Light-Version" nicht voll funktionsfähig, hat aber etwas gefunden im
C:\system volume information\-restore(345....)PR357\A0017403.ocx SpywareName: SearchIt

[ 05. September 2003, 12:38: Beitrag editiert von: Ufo ]

hi Ufo,
1. Was im _restore falsch liegt lässt sich mit SWH-Abschaltung erledigen (Link in meiner Signatur, dann P6 oder hier im Board suchen)
2. Versuche mit einem Registry-Tool nach Einträge mit den "sergey" sowie "offshore" suchen. Aus nix kommt nix: diese Namen sind irgendwo gespeichert.

in der Registry findet man unter HKEY_UserS/S-1-5-21/Software/Microsoft/Search Assistent/ACMru/A5603/mehrere Einträge
das ist wohl nur der Suchassistent von MS, oder?

wenn ich die SWH abstelle, dann neu boote, ist dann der Restore Ordner anschließend leer ?

</font><blockquote>Zitat:</font><hr /> in der Registry findet man unter HKEY_UserS/S-1-5-21/Software/Microsoft/Search Assistent/ACMru/A5603/mehrere Einträge
das ist wohl nur der Suchassistent von MS, oder?
</font>[/QUOTE]...mach mal bitte TemporaryInternetFiles+Cookies leer. Weiter mit dem Link
</font><blockquote>Zitat:</font><hr />
wenn ich die SWH abstelle, dann neu boote, ist dann der Restore Ordner anschließend leer ? </font>[/QUOTE]... so isses ;) . vergiss bitte nicht, sobald der Rechner sauber ist, SWH wieder einzuschalten.

...Ordner Cookies und TempInternetFiles leere ich regelmäßig, in den letzten zwei Tagen des öfteren
SWH habe ich auch durchgezogen, leider keine Änderung, eben startete der Browser wieder mit der "Sergey7/offshoreclick" Seite,
ich werde nun mal den Link ausprobieren......

...werd bald wahnsinnig :confused:
hab nun Dialerschutz.de durchgearbeitet
leider auch kein Erfolg....

kann man den IE komplett entfernen und neu installieren :confused:

</font><blockquote>Zitat:</font><hr /> ...werd bald wahnsinnig...</font>[/QUOTE]..nööö, lieber nein! Verzicht vom IE lohnt sich allerdings auf jedem Fall. [img]graemlins/daumenhoch.gif[/img] Aber: es MUSS doch was in Registry sein! Mach die Suche mit JV16...Suchbegriff "sergey" und "offshore" oder wie das Vieh heißt.

Nur noch einmal kurz der Hinweis, daß mit Hilfe von HijackThis alle Komponenten der Hijacker/Spyware-Kombination "SearchIt" realativ einfach zu entfernen sind.

Aber wer nicht will, der hat schon...

Den IE neu zu installieren, ist ist letztlich keine Lösung, denn dieser ist die Ursache der Hijacker-Installation.

SearchIt und die meisten anderen Hijacker (oder auch Hijacker-Dialer-Spyware-Kombinationen) werden über den Unsicherheitsbrowser IE per ActiveX-Control installiert.

die Shareware-Version von HijackThis scannt zwar,
kann aber keine entfernen, leider

@ Rene-gad:
hab mit JV(neuste Version) gesucht, es ist kein Eintrag vorhanden

nun hab noch einmal mit HijackThis gescannt,
er findet einen Eintrag: SearchIt, Dateiname: dc1.ocx

ein Suchen in der Registry fand jetzt unter HKEY_LoKAL_Maschine/Software/Classes/ einen Ordner ohne Namen nur mit einem Stern versehen,
hierdrin einen Ordner Shellex/ darin einen Ordner: ContextMenuHandlers/ darin ist der Ordner WinRar markiert, in diesem ein Standart Wert; Typ Reg_SZ danach eine Zahlenkolonne (B41DB860-8EE4...usw.

ob ich dieses mal lösche ???

Es gibt nur eine Version von HijackThis, und das ist Freeware.
Diese entfernt Registry-Einträge, indem man nach dem Scannen "Fix checked" klickt und das System neu startet.
Den Eintrag "SearchIt, Dateiname: dc1.ocx" auf die o.g. Weise entfernen.
Da dürfte allerdings noch mehr zu finden sein, denn die .ocx-Datei ist nur das ActiveX-Control.

Wie gesagt, der einfachste Weg ist noch immer das Posten des Logs.
Wenn du das nicht tun willst, auch o.k., dann mußt du eben selber nochmal das Scanergebnis durcharbeiten.
Tipp hierzu: Google.

Also ne...
Nochmal genauer:
HijackThis entfernt Registry-Einträge, indem man nach dem Scannen die zu entfernenden Einträge mit einem Häkchen versieht, dann "Fix checked" klickt, und dann das System neu startet.

oh, sorry sPaCeLoRd, glaub jetzt hab ich einen Fehler gemacht, hab hier den Scanner AluriaSpywareScanner, ist wohl nicht der Hijackthis ?

hier nun das Ergebnis:

Logfile of HijackThis v1.96.4
Scan saved at 22:03:43, on 05.09.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Norton Internet Security Professional\IAMAPP.EXE
C:\WINDOWS\twain_32\A4S2600X\WATCH.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security Professional\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Internet Security Professional\NISSERV.EXE
C:\Programme\Norton Internet Security Professional\SymPxSvc.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Müll\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.trojaner-board.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security Professional\IAMAPP.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4S2600X\WATCH.exe
O4 - Global Startup: NoPopUp 2001 (minimiert).lnk = C:\Programme\NoPopUp 2001\nopopup.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: Yahoo! Chat - http://cs6.chat.sc5.yahoo.com/c381/chat.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...or/sw-intl.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs6.chat.sc5.yahoo.com/v43/yacscom.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/filesharing/activex/upload.cab
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://www.office.microsoft.com/prod...ntent/opuc.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://de.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...863.0828240741
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {DF6A0F17-0B1E-11D4-829D-00C04F6843FE} (Microsoft Office Tools on the Web Control) - http://dgl.microsoft.com/downloads/outc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D99574BF-0DC7-4D0B-8CD7-DBBE0E9CAC4F}: NameServer = 62.225.253.9 194.25.2.129

ich entdecke hier keine Dateien ähnlich einem Namen mit: Sergey7/offshoreclicks"
wat nun :confused:

Nee, Hijacker-mäßiges ist da nicht zu entdecken.

Du hattest also auch Spybot S&D angewendet, Temporary Internet Files und Cookies gelöscht und die Systemwiederherstellung deaktiviert, und das Problem ist immer noch vorhanden ?

Kaum zu glauben...

Letztes radikales Mittel wäre dann vielleicht eine Komplettreinigung (inkl. index.dat-Löschung) mit Tracks Eraser Pro.

http://www.acesoft.net/download.htm
(15-Tage-Testversion - voll funktionsfähig)

so, hab jetzt die Radikaltour hinter mir [img]graemlins/crazy.gif[/img]

erste "Internetberührung" war normal, d.h. keine Veränderung der IE Startseite [img]graemlins/huepp.gif[/img]

hoffentlich bleibt's so

...so eine Sche... [img]graemlins/kloppen.gif[/img]

nun ist wieder alles beim alten...
so langsam krieg ich das [img]graemlins/heulen.gif[/img]
sämtliche Tool's bleiben ohne Wirkung, wie kann das sein :confused:

</font><blockquote>Zitat:</font><hr />Original erstellt von Ufo:
ich entdecke hier keine Dateien ähnlich einem Namen mit: Sergey7/offshoreclicks"
wat nun :confused: </font>[/QUOTE]es ist kein Wunder. Es sind keine Dateien, sondern Registry-Einträge. Suche nach "serg", dann "offshore", dann noch 'ne Buchstabenreihe! Bei JV16 gibt es Registry-Finder! Wenn du nix findest, ist dein IE verhext ;) : Lade mal www.firebird-browser.de herunter und vergiss alles wie ein Albtraum.
NACHTRAG: Wollte sofort fragen, dann habe vergessen :cool: : Welches Tool will das Vieh installieren? Mit welcher Seite wird eingentlich gestartet? Bitte kein Link posten, sondern h**p://www.dingsbums.com

[ 06. September 2003, 22:25: Beitrag editiert von: Rene-gad ]

so, hab jetzt mal den JV RegistryFinder angeschmissen, nichts zu finden von sergey oder offshoreclicks [img]graemlins/crazy.gif[/img]

Startseiten sind zwei verschiedene:
eimal/ sergey7.offshoreclicks.com/dialup/activeX.php
und/ network.nocreditcard.com

installiert werden soll eine 55500725.exe von Niteline Media
oder/und ein InstantAccess von Electronic Group

achso, das mit dem Firebird Browser ist klar, hab ihn auf meinem anderen Rechner auch laufen, ist jetzt jedoch hier keine Problemlösung.... :cool:

[img]graemlins/huepp.gif[/img] das Problem scheint gelöst zu sein [img]graemlins/huepp.gif[/img]

habe gestern mit dem Prog "PestPatrol" auch noch einmal gescannt und siehe da, es fand sich ein Hijacker mit Namen "RedLabel" ,
versteckt unter C:\Windows\System32\RedLabel.scr
hatte sich also als SreenSaver getarnt, dieses Miestvieh

nachdem ich diesen gelöscht [img]tongue.gif[/img] habe ist heute bisher Ruhe gewesen :D

Was ist eigentlich unter einem Hijacker zu verstehen? Ein Sabotagetool?

Sabotagetool ist eigentlich schon ganz gut getroffen [img]graemlins/aplaus.gif[/img] für ein Tool oder Prog
das sich als "Bildschirmschoner" ausgibt aber gar keiner ist..... [img]graemlins/pfui.gif[/img]

Man könnte es auch "Umleitung" nennen, denn Haupziel der meisten Hijacker ist es, den IE-User auf bestimmte Seiten (auf denen dann oft per ActiveX Spyware und Dialer installiert werden sollen) umzuleiten.

Hijacker ist ein Entführer. In diesem Fall wird der Internet Explorer entführt. Aber wozu gibts Mozilla, Opera und Firebird?

:rolleyes: ...weil man dann Alternativen hat [img]graemlins/huepp.gif[/img]

jo danke für die Infos [img]smile.gif[/img] Mozilla 1.4 hab ich ja...cooler mailclient bei [img]graemlins/daumenhoch.gif[/img]