Hilfe Hijacker, wer kennt sich aus

Marcello · Beitrag von **Marcello** » 14 Sep 2004, 19:39

Hi,

hab einen Hijacker auf meinem Rechner und hab mit einigen Tools es nicht geschafft ihn zu löschen.

Hier die Log file, kann sie mir jemand auslesen??

Logfile of HijackThis v1.98.2
Scan saved at 19:12:46, on 14.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Free Surfer\fs20.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\or32or32SP.exe
C:\WINDOWS\system32\winmm64.exe
C:\WINDOWS\msor.exe
C:\WINDOWS\6A29.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\planetmovie\Eigene Dateien\New Files\stinger.exe
C:\Dokumente und Einstellungen\planetmovie\Eigene Dateien\New Files\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-ex
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-ex
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-ex
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-ex
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://s-redirect.com/?b=n-ex
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-ex
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-ex
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-ex
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-ex
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-ex
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-ex
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lexmark.com/MD/?func=newreg& ... os=5&src=1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [freesurfer] C:\Programme\Free Surfer\fs20.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [or32or32SP] C:\WINDOWS\or32or32SP.exe
O4 - HKCU\..\Run: [YAW Autostart] "C:\Programme\YAW\yaw.exe"
O4 - HKCU\..\Run: [SpywareGuardPlus] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [or32or32SP] C:\WINDOWS\or32or32SP.exe
O4 - HKCU\..\Run: [msor] C:\WINDOWS\msor.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\OFFICE~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Free Surfer - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - C:\Programme\Free Surfer\FS20.exe
O9 - Extra 'Tools' menuitem: Free Surfer - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - C:\Programme\Free Surfer\FS20.exe
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{098F9F37-7611-4FD4-9114-50032B429272}: NameServer = 217.237.150.33 217.237.151.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{098F9F37-7611-4FD4-9114-50032B429272}: NameServer = 217.237.150.33 217.237.151.161
O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - C:\WINDOWS\sysdll.reg
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\sysdll.reg

Stefan · Beitrag von **Stefan** » 14 Sep 2004, 19:50

grunsätzliches:
1. IMMER einen aktuellen Virenscanner und Firewall aktiv halten!
2. wenn man eine Frage hat zuerst mal auf http://www.google.ch das ganze eingeben und da wird einem zu 99 % geholfen.

Ok, genug Moralapostel gespielt, hier nun die Lösung:

Hier http://www.computerhilfen.de/hilfen-17-30578-0.html Escan runterladen->updaten wie beschrieben->Offline gehn->Systemwiederherstellung deaktivieren(ME/XP) (hier
http://www.bsi.de/av/texte/wiederher_xp.htm)
Temp-Ordner + Temporäre Internetfiles leeren und wenn Java-Sun installiert ist, den Java-Cache.

Dann in den abgesicherten-Modus booten(siehe Systemwiederherstellung deaktivieren) -> Escan starten (doppelklick mwavscan.com) -> Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und Scan All Files und das System damit scannen(Scan Clean).

Danach ganz normal booten und wenns immernoch so ist ein LOG machen mit HIjackthis V1.98.2
Wenn nicht die Systemwiederherstellung wieder aktivieren und gut.

Und du solltest unbedingt dein System updaten XP-SP2 (vorher ein Backup/Image des Systems machen) und IE6-SP1 + Windows-Update für die Patches die nicht im SP enthalten sind.

Und dann am besten den Browser wechseln zb Firefox, weil die meisten Hijacker/Downloader (so wie deiner) über IE-Sicherheitslücken aufs System kommen.

Nachtrag: habe gesehen, dass du dies in einem andern Forum auch schon gepostet hast. Ich hasse diese Spam-Posts, ich beantworte zukünftig keine Spam-Bosts mehr

Pupo · Beitrag von **Pupo** » 14 Sep 2004, 20:19

Nichts gegen dich, Stefan, aber wieso sollte man über seine Probleme nicht in mehreren Foren berichten dürfen??

Beitrag von **alfa146ti** » 14 Sep 2004, 21:22

Ich hätte dir noch ne gute Software, wo du sicherlich mal alles spion ware und Hijacker findest und köschen kannst..

Kennsts du Ad-ware?
Wenn du mehr Infos willst, suche auf google...

wenn du Interesse am Programm hast, melde dich per PN!!!

Gruss Mario

Stefan · Beitrag von **Stefan** » 14 Sep 2004, 21:28

sorry pupo, aber wenn es gleich copy/paste mässig ist finde ich es schon etwas mühsam. Das gibts in letzter Zeit immer mehr - das selbe Thema, genau gleich.... man soll sich entscheiden wohin man was postet, will echt nicht immer überall das gleiche lesen...

Sämu · Beitrag von **Sämu** » 14 Sep 2004, 21:42

@ Mario

Also entschuldige meine Kritik....aber Ad-Aware war bis vor ca 1.5/2 Jahre ganz nett....

Aber heute kann ich mit dem Teil gar nix anfangen!! Der findet zwar die Übeltäter schon, aber kann sie nicht löschen (ich spreche hier von der Gratis Version, ich habe das *Pro* noch nie gesehen!! Aber die kostet ja Moneten)

Da habe ich mit Spybot search and destroy viel bessere Erfahrungen gemacht!!

Hast du etwa die *Pro* Version???? Würde mich mal interessieren wie die so ist!!

PS: Eventuell auf einen alternativen Browser umsteigen (Mozilla etc)..
Die haben nicht solche netten Löcher wie der olle IE

So long

Cheers Sämu

Pupo · Beitrag von **Pupo** » 14 Sep 2004, 22:03

Auf Linux umsteigen

...ansonsten:
- wie bereits erwähnt, nicht mehr den Internet Explorer benützen. Firefox installieren.
- nicht als "root" (Administrator) auf Windows arbeiten, sondern einen Benutzeraccount anlegen, der bei Problemen allenfalls "nur" gelöscht werden kann -> auf wichtige (System-)Dateien kann somit nicht mehr zugegriffen werden

Beitrag von **alfa146ti** » 14 Sep 2004, 23:11

Sämu, habe das Pro

und der ist verdammt gut...

hatte vorher etwas problem mit dem zeug, aber jetzt nicht mehr...

Gruss Mario

michel · Beitrag von **michel** » 15 Sep 2004, 00:02

@stefan

tja, das mit den doppelposts ist halt ein problem, wenn 2 foren betrieben werden

kann man nix gegen machen und hab ich ehrlich gesagt auch schon gemacht... elegant wärs zumindest, wenn wie in einer newsgroup ein followup in nur ein forum gesetzt werden könne...

gruss
michel

Beitrag von **alfa146ti** » 15 Sep 2004, 00:23

ich werde mich mal auf die suche machen und zu sehen, ob ich so was auf die beine stellen könnte...

muss aber zuerst noch ein paar andere tool für meine page bereit machen...

aber ich habe da vielleicht schon ne lösung...

ist eine Art Kalender, hat aber noch etlich zusatzfunktionen, wo man was machen könnte...

wer mal lust hat reinzuschauen kann dies unter http://www.lanz-mario.com/calendy/ machen....

username ist test und psw auch

Gruss Mario

In etwas so was ähnliches könnte es doch sein..., oder nicht?

AR155 V6 · Beitrag von **AR155 V6** » 15 Sep 2004, 11:35

Mario bei mir geht es nicht ich komme fehler 404 über wenn ich auf deinen Link klicke die Seite kann mir nicht angezeigt werden

Marcello · Beitrag von **Marcello** » 15 Sep 2004, 16:35

@ Stefan

sorry, dein Argument zu dem Doppelpost finde ich nicht OK. Es gibt bestimmt einige User die nicht beide Foren besuchen.

Also will ich damit die Ansprechen, die nur eines dieser guten Foren besuchen.

Spam, ist hier der falsche Ausdruck

@ all

die ganzen Tools hab ich schon ausprobiert, leider nichts gebracht.

Vielleicht habe ich mich falsch ausgedrückt.

Hab gedacht, das jemand die oben gepostete LOG FILE mir auswerten kann und ich so den Hijacker entfernen könnte.

THX @ ALL

Marcello · Beitrag von **Marcello** » 15 Sep 2004, 18:44

danke für eure posts, ich glaube das Problem ist jetzt behoben.

hier die Links, falls jemand interessiert ist

Bild

abgesicherter Modus

eScan

Beitrag von **alfa146ti** » 15 Sep 2004, 22:17

AR155 V6 hat geschrieben:Mario bei mir geht es nicht ich komme fehler 404 über wenn ich auf deinen Link klicke die Seite kann mir nicht angezeigt werden

Hier der richtige Link: http://www.lanz-mario.com/calendry/

Das Forum für den echten ALFA ROMEO Fan

Hilfe Hijacker, wer kennt sich aus

Hilfe Hijacker, wer kennt sich aus

Wer ist online?