#1 14. März 2007 Zuletzt von einem Moderator bearbeitet: 14. April 2017 ja hallo, habe gestern mit dem programm spyware doctor mein system gescannt und habe dann folgendes ergebniss bekommen: {img-src: http://i14.tinypic.com/4hux182.jpg} diese spyware kann man allerdings nicht reparieren / entfernen, auch nicht im abgesicherten modus. wie werde ich das los? oder is das gar nix, wodrüber man sich sorgen machen muss? thx
#2 14. März 2007 AW: "possible website hijack" wie entfernen? doch die ip steht in deiner hosts file, kannste entfernen wenn du willst, aber da das ne microsft homepage zu sein scheint denk ich net dass es so schlimm is... aber brauchen tut mans wahrscheinlich auch net
#3 14. März 2007 AW: "possible website hijack" wie entfernen? im klartext heisst das "wenn eine anfrage an 127.0.0.1 (üblicherweise localhost) geschickt wird, wird die zu der ms.com-seite umgeleitet". sollte in der datei c:\windows\system32\drivers\etc\hosts drinstehen, einfach die zeile rausnehmen.
#4 14. März 2007 AW: "possible website hijack" wie entfernen? Genau andersrum - Die Anfrage an die Seite wird nach localhost geleitet und somit der Zugriff darauf verhindert. //edit: stammt vom wga - crack und soll verhinder dass MS gefragt wird ob dein Win ein original ist.
#5 14. März 2007 AW: "possible website hijack" wie entfernen? d.h. ich lass es einfach so stehen? hab nämlich das gefühl, dass in letzter zeit, sobald ich mit firefox versuche auf ne seite zu connecten, das inet rausfliegt. damit kann das nichts zu tun haben?
#6 14. März 2007 AW: "possible website hijack" wie entfernen? Nein kann es nicht - einfach stehen lassen und gut ist.
#7 14. März 2007 AW: "possible website hijack" wie entfernen? kannst auch mal zusätzlich dein HiJackThis Logidle posten. Ne anleitung dazu findest du in meiner SIgnatur Gruß BenQ
#9 15. März 2007 AW: "possible website hijack" wie entfernen? hier mal der logfile aus dem abgesicherten modus. Code: Logfile of HijackThis v1.99.1 Scan saved at 13:56:24, on 15.03.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\himself\Desktop\HijackThis.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Perstray.lnk = ? O4 - Global Startup: RAID Manager.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll" O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing) O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe ich glaube echt, dass mein firefox befallen is von irgendwas..stimmt das? bzw. kann man das daraus lesen?
#10 15. März 2007 AW: "possible website hijack" wie entfernen? Laut deiner Logfile is alles bestens... btw wie oft fliegste mit ff raus?? passiert das mit opera oda ie auch?
#11 15. März 2007 Zuletzt von einem Moderator bearbeitet: 15. April 2017 AW: "possible website hijack" wie entfernen? naja, das kann ich leider nicht sagen. ich weiss absolut nicht, was der fehler ist, kann ihn also leider nicht reproduzieren. denke aber, dass es entweder an firefox oder an meinem virenscanner liegt (<klick für thread) und nach hijackthis is alles ok?
#12 15. März 2007 AW: "possible website hijack" wie entfernen? malware habe ich nicht in deinem logfile entdecken können. nur etliches unnötiges material, dass du mit dir rumträgst. wenn ich du wäre, was ich nicht bin, dann würde ich an deiner stelle all diese einträge durch hijackthis das starten verhinden: Code: O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll ... O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe ... O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe ... O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Perstray.lnk = ? O4 - Global Startup: RAID Manager.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL ... O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe ... O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe ... O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe dort wo ... stehen, sollen ein oder mehrere einträge bleiben. wenn du dies so umsetzt, und dein rechner immer noch ab und zu mal sagt, internet nicht mit mir, dann teste bitte folgende zwei situationen 1. deaktiviere in deinem kaspersky internet security die integrierte firewall. 2. teste, ob ein anderer pc über den router zu dieser zeit ins internet kann. grund: es kann sein, dass deine kaspersky firewall sagt, nö, also da sind irgendwelche komischen anfragen aus dem internet gekommen, da mach ich mal lieber dicht. (bekanntes problem bei vielen desktop firewalls) mfg spotting
#13 15. März 2007 AW: "possible website hijack" wie entfernen? lol °°°° thx @ spotting, ich habe all diese dinger bei hijackthis markiert und "fix checked" gemacht. ma sehen wies jez läuft edit: spotting (windows-gott), welches antiviren programm kannst du persönlich empfehlen?
#14 15. März 2007 AW: "possible website hijack" wie entfernen? soll das bedeuten, es geht jetzt? nun, kaspersky antivirus ist gut, kaspersky internet security ist ebenfalls gut, hat aber mit z.B. der firewall nur unnötigen zusätzlichen ballast. wie du dein windows richtig schützen solltest, und wie du die auswahl nach einem antivirenprogramm machst habe ich alles in der spotting faq beschrieben. mfg
#15 15. März 2007 AW: "possible website hijack" wie entfernen? also es scheint bis jetzt zu funktionieren. ich blick bei den KIS optionen jedoch nicht durch, wo ich die firewall ausstellen kann. kannst du mir das vllt noch sagen? thx schomma & ich meld mich, wenn wieder probs auftreten..
#16 16. März 2007 AW: "possible website hijack" wie entfernen? wenn du bei den optionen nicht durchblickst, ist es vielleicht nicht das richtige programm für dich. du kannst besser ein gut administriertes antivirenprogramm haben, dass "nur" 90% erkennt, als ein antivirenprogramm dass eigentlich 95% aber nicht richtig funktioniert weil falsch eingestellt. ansonsten würde ich dir eine neuinstallation von kis empfehlen. vorher natürlich deinstallieren. dort eine "custom" installation wählen und du kannst das "anti-hacker" modul, dass ist die firewall, abwählen. mfg
#17 17. März 2007 AW: "possible website hijack" wie entfernen? danke sehr ! bis jetzt funktioniert alles. riesen dank @ spotting & ersma close.