29.07.2004, 22:18
| # 1 |
| Registriert seit: 27.06.2003
Beiträge: 833
| Also Mädels ich meld mich auch mal wieder ^^ Ich hab ein Problem und zwar öffnet sich manchmal bei mir einfach so der Mozilla, ohne das ich draufklicke. Dann läd er erstmal die Seite "fypewat.com" und die leitet mich dann erst auf google.com weiter und dann auf google.de...und mich würde nunmal interessieren was das soll. Ich schätze mal ich hab Spyware oder so drauf, die will, das ich mit dem Browser weitersurf um meine Surfgewohnheiten rauszubekommen. Was sagt ihr? |
 |
|
29.07.2004, 22:33
| # 2 |
| Registriert seit: 02.10.2003
Beiträge: 1.371
| http://fischdarm.funpic.de/hijackthis.zip (In einem neuen Tab öffnen) den Log dann posten |
| |
|
29.07.2004, 23:13
| # 3 |
| Threadstarter Registriert seit: 27.06.2003
Beiträge: 833
| danke für die schnelle hilfe Logfile of HijackThis v1.97.7 Scan saved at 23:14:14, on 29.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\mysql\bin\mysqld-nt.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Internet Security\NISSERV.EXE C:\Programme\Norton Internet Security\SymProxySvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\Programme\Classic PhoneTools\CapFax.EXE C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\Winamp\winampa.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\dokume~1\martin\anwend~1\wupdmgr.exe C:\WINDOWS\DitExp.exe C:\Programme\Messenger\MSMSGS.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\GetRight\getright.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Miranda IM\miranda32.exe C:\Programme\mIRC\mirc.exe C:\Programme\Mozilla\mozilla.exe C:\Programme\Winamp\Winamp.exe D:\Eigene Dateien\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe O4 - HKCU\..\Run: [System Update2] c:\dokume~1\martin\anwend~1\wupdmgr.exe O4 - HKCU\..\Run: [SigX] C:\Programme\SigX\sigx.exe O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O9 - Extra button: MedionShop (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8088.751712963 |
| |
|
29.07.2004, 23:53
| # 4 |
| Registriert seit: 02.10.2003
Beiträge: 1.371
| scheint alles in Ordnung zu sein... Jedenfalls keine Trojaner oder ähnliches Lass aber nochmal Spybot durchlaufen, am besten direkt nach einem neustart Gibt es irgendwelche Regelmässigkeiten, wann die Seite aufgeht? |
| |
|
30.07.2004, 00:45
| # 5 |
| Threadstarter Registriert seit: 27.06.2003
Beiträge: 833
| Nein, Regelmäßigkeiten gibts nicht. Passiert einfach so. |
| |
|
01.08.2004, 22:54
| # 6 |
 Registriert seit: 19.10.2002
Beiträge: 3.109
| O4 - HKCU\..\Run: [System Update2] c:\dokume~1\martin\anwend~1\wupdmgr.exe Mit dem Eintrag stimmt was nicht, der Windowsupdater liegt normal in Windows/System32. Wenn keine gegenteiligen Meinungen auftauchen bin ich für fixen. Kannst auch in Spybot die Autostartliste bearbeiten, der Vorteil liegt darin das du bei einem Irrtum über die Backupfunktion den Eintrag wieder zufügen kannst. Die Möglichkeit den Autostart zu beeinflussen findest du in Spybot unter "Werkzeuge". Hab hier auch noch was im Zusammenhang mit fypewat.com gefunden: http://hq.mcafeeasap.com/dispTrojan.asp?virus_k=101129 hyrican |
| |
|
04.08.2004, 21:29
| # 7 |
| Threadstarter Registriert seit: 27.06.2003
Beiträge: 833
| ok also hab mit spybot durchgescant....kam irgendwie komisches pronozeugs o.O naja...also was ich noch vergessen hatte zu sagen, ich komm ncihtmehr auf sichere seiten, also bei 1&1 kann ich mich nichtmehr einloggen, genauso wenig wie bei microsoft auf der updateseite...kommt immer nur ein fehler ist aufgetreten....kann das trojaner oder sowas sein? |
| |
|
04.08.2004, 21:47
| # 8 |
| Registriert seit: 19.10.2002
Beiträge: 3.109
| Was genau hat denn Spybot gefunden und wo(kannst du unter "wiederherstellen" nachschauen)? Kannst ja den IE mal neu installieren: http://www.wintotal.de/Tipps/Eintrag.php?RBID=3&TID=636 hyrican |
| |
|
04.08.2004, 22:21
| # 9 |
| Threadstarter Registriert seit: 27.06.2003
Beiträge: 833
| hmm stand nichtmehr drin o.O komisch...naja also was er jetzt unter wiederherstellen sagt ist: Alexa Related die beschreibung dazu oder was da halt rechts unten steht...."What's related link C:\WINDOWS\Web\related.htm Unknown Cydoor.zip Cydoor Cache for ads C:\Windows\System32\AdCache DSO Exploit Data Source Object Exploit HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Inter net Settings\Zones\0\1004=W=3 Data Source Object Exploit HKEY_USERS\S-1-5-21-270800707-180906-7083-516276246-1007\Software\Microsoft\Windows\CurrentVersion\Int ernet Setting\Zones\0\1004=W=3 Data Source Object Exploit HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Inter net Settings\Zones\0\1004=W=3 Data Source Object Exploit HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Inter net Settings\Zones\0\1004=W=3 Data Source Object Exploit HKEY_USERS\DEFAULT\Software\Microsoft\Windows\Curr entVersion\Internet Settings\Zones\0\1004=W=3 HotKeysHook Keylogger library C\WINDOWS\System32\H@tKeysH@@k.DLL Windows Media Player Anonymous ID HKEY_USERS\S-1-5-21-270800707-180906-7083-516276246-1007\Software\Microsoft\MediaPlayer\Preferencies\S endUserGUID=B=0 kA ob du damit was anfangen kannst edit: komm ja nicht nur mitm ie nirgends mehr hin, sondern auhc nciht mitm mozi! |
| |
|
05.08.2004, 22:14
| # 10 | |
| Registriert seit: 19.10.2002
Beiträge: 3.109
| Zitat:
Hm, in Windows/System32/drivers/etc findest du die Datei hosts. Schau da mal mit dem Editor rein. Wenn du eine oder mehrerer deiner Seiten dort findest lösch sie raus. Handelt es sich ausschließlich um sichere Seiten die du nicht mehr aufrufen kannst? Bist du sicher das das im Zusammenhang mit Spybot steht? Hier: http://www.chip.de/forum/thread.html?bwthreadid=679861 hatte ein User dasselbe Problem, bei ihm lags an Norton. hyrican | |
| |
|
05.08.2004, 22:41
| # 11 |
| Threadstarter Registriert seit: 27.06.2003
Beiträge: 833
| # Copyright (c) 1993-1999 Microsoft Corp. # # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP # für Windows 2000 verwendet wird. # # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen. # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP- # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen # Hostnamen stehen. # Die IP-Adresse und der Hostname müssen durch mindestens ein # Leerzeichen getrennt sein. # # Zusätzliche Kommentare (so wie in dieser Datei) können in # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden, # aber müssen mit dem Zeichen '#' eingegeben werden. # # Zum Beispiel: # # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost 127.0.0.1 localhost da... das steht in der "hosts" weiß nicht obs mit spybot zusammenhängt...ich les mir den thread mal durch |
| |
|
05.08.2004, 22:47
| # 12 |
| Registriert seit: 19.10.2002
Beiträge: 3.109
| Deine hosts ist ok. hyrican |
| |
|
05.08.2004, 22:50
| # 13 |
| Threadstarter Registriert seit: 27.06.2003
Beiträge: 833
| und was heißt das jetzt genau? o.O |
| |
|
05.08.2004, 23:05
| # 14 |
| Registriert seit: 19.10.2002
Beiträge: 3.109
| In der hosts werden Webseiten aufgelistet die nicht angezeigt werden. Die IP-Adresse 127.0.0.1 ist dein eigener Rechner, wenn einer Webseite diese Adresse zugewiesen lädt er die Seite nicht aus dem Web. Verschiedene Schädlinge modifizieren die hosts so das man Webseiten nicht mehr aufrufen kann. Daran liegt es bei dir aber nicht, bei dir sind keine Seiten eingetragen. Ich tippe auch auf Norton, der is für viele Übel verantwortlich.Garantieren kann ich es leider nicht, bleibt nur es auszuprobieren( also NIS mit dem Symantec-Entferntool aus dem Link deinstallieren). hyrican |
| |
