Hijacker?

[Gugelhupf]

folgendes problem:

jedesmal wenn ich antivir installiere und 3-4 mal updates gemacht habe,

danach antivir deinstalliere und eine neue *höhere version* neu installiere, dauern dann die updates ewig,so ca 10-15 min obwohl ich mit
dsl downloade.

danach meldet mir winpatrol das an meiner hostdatei veränderungen
vorgenommen worden sind und das häkchen bei host datei schützen unter optionen ist entfernt.

frage:fummelt antivir an der hostdatei rum oder nicht? oder habe ich mir so einen hijacker eingefangen?

habe geprüft mit: hijack this,cws schredder,ad aware,a2, haben nix gefunden.

system: win xp pro

[Montoyafan]

Hi,

ich kann mir nicht vorstellen das Antivir an der Hostdatei rummacht, was sollte das für Antivir auch bringen?

Versuch es mal mit Spybot Search & Destroy, damit habe ich auch schon sachen gefunden die mir AdAware, HiJackThis und so vorenthalten haben.

http://www.chip.de/downloads/c_downloads_8833199.html

Cu

[Tback]

Jepp schließe mich an, bei solchen Problemem hilft meist Spybot!

Tschau

[Gugelhupf]

deswegen frage ich ja ,weil ich mir auch nicht vorstellen kann,
das antivir die hostdatei verändert,ich probiere jetzt mal spyboot,mal sehen ob er was findet.

wie bekomme ich raus ob ich noch die orginale hostdatei drauf habe und wo finde ich die über haupt,oder gibt es zu dem thema eine faq hier auf dem board,dann könnte ich selber nachlesen oder?
oder jemand einen link für mich,kann ja nicht sein das von alleine der haken bei winpatroll bei hostdatei schützen von alleine raus geht,
oder eventuell kein hijaking sondern ein hack?

gruß

[Montoyafan]

Hi,

die Hosts-Datei findest Du unter
C:\WINDOWS\system32\drivers\etc

und die heißt praktischerweise "hosts", ohne Dateiendung.

Eine ungeänderte Windowsstandard Host-Datei sieht so aus:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

Cu

[Gugelhupf]

allso den alexa hat spyboot entfernt wo ich dachte des hat adaware schon gemacht(fehlanzeige) war einfach wieder da

2 problem dies hier:

DOS exploid den bekomme ich nicht weg,spyboot löscht,beim nochmaligen scannen ist der eintrag unten wieder da.
spyboot kann diesen eintrag nicht entfernen,jemand eine idee??

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-583907252-362288127-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3



@ danke an montoya fan wegen der host datei,werde ich gleich mal bei gehen,sieht aber so aus als würde meine so aussehen wie bei dir im beispiel oben,also alles ok oder?

[Tback]

Tja den bekommt man leider mit Spybot auch nicht weg!
Frag nicht warum! Ich habe keine Ahnung aber den gleichen Fehler und die 5 Registry Einträge.
Kann einer helfen?

[Montoyafan]

Hi,

@Gugelhupf und Tback:

habt Ihr das auch im Abgesicherten Modus gemacht?

Wenn das Programm läuft das für den HiJack verantwortlich ist kann Spybot das auch nicht löschen. Ausserdem könnten sich manche solcher Programme vor dem löschen schützen wenn sie laufen indem sie sich einfach wieder kopieren.

Starten Euren PC im Abgesicherten Modus und lasst Spybot nochmal laufen, dann sollte das auch klappen.

Cu

[Gugelhupf]

die frage lautet welcher hijacker isses denn?
oder welches programm?
oder ist es vieleicht ein trojaner ,ein richtiger?habe online scann bei symantec gemacht,der sagt mir aber rechner ist sauber.

außerdem weiß ich nicht was die oben geposteten einträge bedeuten bzw,zu was sie gehören,ist es nun ein hijack oder nicht?
habe spyboot auch nur im normalen modus laufen lassen,also nicht erweiterter modus?soll ich umstellen?

danke für den tipp ich werd gleich mal spyboot im abgesicherten modus
laufen lassen.

übrigens spyboot,installiert doch einen ie helper,habe ich zu gelassen,aber nun ist er nicht mehr existent,sprich nicht mehr zu sehen im winpatrol,is das normal?

jemand nen link für einen guten trojaner scanner,der auch funktioniert?

danke an montoya für die schnelle hilfe, :-)

[Montoyafan]

Hi,

ich habe mich jetzt mal ein bischen schlauer gemacht.

Das Problem wie nachfolgend von Gugelhupf ist schlicht und einfach ein Fehler in Spybot:

Original von GugelhupfDSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-583907252-362288127-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

So lässt es sich lössen:

Geh in die Registry Start->Ausführen->Regedit
Dort zu dem Schlüssel
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
Dort den Eintrag 1004 anklicken und löschen!
Dann im selben Fensterbereich Rechtsklick Neu->DWORD-Wert erstellen mit dem Name 1004. Diesen dann per Doppelklick öffnen um den Wert auf 3 setzen.
Das gleiche bei den nachfolgenden Schlüsseln:

HKEY_USERS\S-1-5-21-583907252-362288127-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

Also bei allen Registryschlüsseln die in der Log von Spybot aufgeführt werden.

Cu

[Tback]

Oh vielen Dank für die Hilfe!
ICh werde es gleichmal ausprobieren!


Tschau

[Gugelhupf]

na dann werde ich einfach den tipp mal probieren,

es wird aber auch auf diesen trojaner hingewiesen trojanboxed.d

konnte aber seinen eintrag in der regsitry nicht finden also wird er wohl auch nicht da sein.