mal wieder hijacking

[thosor]

es ist zwar schon länger her, aber man wurde trotzdem mal wieder befallen!

Also ich bin von Hijacking befallen!

Dazugehört:

-Startseitenklau auf http://www.hotoffers.info/185/

-Regelmäßige automatischer Wunsch auf Internetverbindung!

-Regelmäßiges Angebot das Hijacking kostenpflichtig zu entfernen!

Ich habe CWShredder HiJackThis Spybot S&D und Ad-Aware schon komplett durchlaufen lassen! Habe alle was gefunden! Jetzt finden Nur noch Hijack this was! Fehler sind alle noch da!

Hier der Logfile:

Logfile of HijackThis v1.99.1

Scan saved at 12:54:28, on 13.03.2005

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\ATI2EVXX.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\ATIPTAXX.EXE

C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE

C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE

C:\PROGRAMME\ICQLITE\ICQLITE.EXE

C:\WINDOWS\AGFGUARD.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\WINDOWS\TEMP\TD_0001.DIR\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/185/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://google.icq.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://google.icq.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = EWE TEL

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe

O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min

O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min

O4 - HKLM\..\Run: [iCQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot

O4 - Startup: ISDN Guard.lnk = C:\WINDOWS\AGFGUARD.EXE

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O16 - DPF: Yahoo! Mensch - http://download.games.yahoo.com/games/clients/y/mat3_x.cab

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab

O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt1_x.cab

O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab

O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/retro64_loader.dll

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/16459f9b626798061505/netzip/RdxIE601_de.cab

O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab

O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab

O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/games/clients/y/grt5_x.cab

O16 - DPF: Yahoo! Dots - http://download.games.yahoo.com/games/clients/y/dtt1_x.cab

O16 - DPF: Yahoo! Chinese Checkers - http://download.games.yahoo.com/games/clients/y/cct0_x.cab

O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/games/clients/y/rt0_x.cab

Der Eintrag mit EO lässt sich zwar fixen ist danach jedoch sofort wieder da! Was jetzt???? :confused:

[bobzta]

Also meiner Meinung macht so ein Scan mit o.g. Programmen nur im abgesichertem

Modus sinn, weil sich da eben die Prozesse noch nicht geladen haben bzw

im Speicher sind, was ja zur Folge hat, dass du sie dann nicht löschen kannst.

Also vor dem Start von Windows immer fleißig F8 Drücken bis ein Menü erscheint,

da den abgesicherten Modus auswählen (den ohne Optionen) und sich

anschließend als Admin anmelden und die ganzen Progs nochmal drüberlaufen

lassen, dann sollts ansich weg sein

[volker81]

Lad dir mal AVAST ausm Netz. Der killt alles an Viren, Malware, Trojanern etc.

Der kann sich in die Startroutine von Windows einhängen und den Müll löschen bevor er speicherresident geladen wird.