| |
| |||||||
Log-Analyse und Auswertung: Nochmals Hijacking nach www.hotoffers.infoWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
18.01.2005, 22:55
| #11 |
| Administrator, a.D.   |  Nochmals Hijacking nach www.hotoffers.info @ Udo Bahner Lade den Total Commander und nimm folgende Einstellung vor: Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK Navigiere im linken Fenster zum Ordner C:\WINDOWS\Downloaded Program Files und lösche (markieren -> F8 -> JA) die beanstandeten Dateien. |
|
18.01.2005, 23:00
| #12 |
 | Nochmals Hijacking nach www.hotoffers.info Das klappt auch nicht immer. Hatte auch da mal was "böses" drin. Gegooglt-->"Idoswin" gefunden--> installiert--> gesehen und weg war es. dartus |
|
18.01.2005, 23:47
| #13 |
 | Nochmals Hijacking nach www.hotoffers.info Hallo Zusammen - und danke für Eure schnelle Hilfe. Eine gute und eine schlechte Nachricht (zumindest für mich): der Tip von Cidre bezüglich Total Commander war gut, ich habe jetzt alle mit e-scan gefundenen Trojaner/Viren weg. Aber - die Spyware von CWS ist immer noch drauf und verlinkt mich auf die hotoffers.info. Hier nochmals mein aktuelles HJT-Log: Logfile of HijackThis v1.99.0 Scan saved at 23:38:50, on 18.01.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Analog Devices\SoundMAX\Smtray.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Kabelloser Labtec-Desktop\MagicKey.exe C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe C:\Programme\Kabelloser Labtec-Desktop\MulMouse.exe C:\Programme\Kabelloser Labtec-Desktop\OSD.EXE C:\WINDOWS\System32\alg.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\Programme\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - Global Startup: Kabellosen Labtec-Desktop aktivieren.lnk = C:\Programme\Kabelloser Labtec-Desktop\MagicKey.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - C:\Programme\D\D-Info\html\toolbarscript.html O9 - Extra 'Tools' menuitem: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - C:\Programme\D\D-Info\html\toolbarscript.html O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Hat jemand noch ne Idee wo der Auslöser sitzen könnte. Nochmals der Vorgang, gleich nach dem Hochfahren des Rechners öffnet sich eine angebliche Windows-Sicherheitswarnung, daß ich Spyware auf dem Computer habe, dann wird versucht, über IE/Telekom-Browser auf die obige hotoffers-Seite zu verlinken. Udo |
|
19.01.2005, 00:21
| #14 |
| Administrator, a.D. | Nochmals Hijacking nach www.hotoffers.info Wende diesen Tipp von crunchie an, lade das Silent Runners.vbs und poste das Log-File. |
|
19.01.2005, 00:39
| #15 |
| | Nochmals Hijacking nach www.hotoffers.info Hallo Cidre, hier ist das LOGfile, mit 2 "Infektionswarnungen": "Silent Runners.vbs", revision 29, launched at: 00:30 Output limited to non-default values, except where indicated by "{++}" Operating System: Windows XP Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] "ctfmon.exe" = "C:\WINDOWS\System32\ctfmon.exe" [MS] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" [MS] "SpySweeper" = ""C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0" ["Webroot Software, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Smapp" = "C:\Programme\Analog Devices\SoundMAX\Smtray.exe" ["Analog Devices, Inc."] "NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "CloneCDElbyCDFL" = ""C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL" ["Elaborate Bytes AG"] "NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS] "ToADiMon.exe" = "C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart" ["Marmiko IT-Solutions GmbH"] "T-DSL SpeedMgr" = ""C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"" ["T-Systems Nova, Berkom"] "AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> resolves to: {CLSID}\InprocServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> CLSID InProcServer32 resolves to: "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{E88DCCE0-B7B3-11d1-A9F0-00AA0060FA31}" = "ZIP-komprimierter Ordner" -> CLSID InProcServer32 resolves to: "%SystemRoot%\System32\zipfldr.dll" [file not found] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> CLSID InProcServer32 resolves to: "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> CLSID InProcServer32 resolves to: "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> CLSID InProcServer32 resolves to: "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> CLSID InProcServer32 resolves to: "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{D0FAC080-AE1A-11ce-8016-CE90976DC901}" = "Picture Publisher Schnellansicht" -> CLSID InProcServer32 resolves to: "ppiv30.dll" [null data] "{8FF88D21-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.2 Context Menu Shell Extension" -> CLSID InProcServer32 resolves to: "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"] "{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.2 DragDrop Shell Extension" -> CLSID InProcServer32 resolves to: "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"] "{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.2 Context Menu Shell Extension" -> CLSID InProcServer32 resolves to: "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"] "{8FF88D23-7BD0-11D1-BFB7-00AA00262A11}" = "WinAce Archiver 2.2 Property Sheet Shell Extension" -> CLSID InProcServer32 resolves to: "C:\Programme\WinAce\arcext.dll" ["e-merge GmbH"] "{0E6C58A9-F592-4862-B35F-CA45E24003B3}" = "CloneCD" -> CLSID InProcServer32 resolves to: "C:\Programme\Elaborate Bytes\CloneCD\ElbyVCDShell.dll" ["Elaborate Bytes"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> CLSID InProcServer32 resolves to: "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> CLSID InProcServer32 resolves to: "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"] "{51550900-DCAC-11d4-AA0F-0080C87C465B}" = "WayTech MultiMouse" -> CLSID InProcServer32 resolves to: "C:\Programme\Kabelloser Labtec-Desktop\CPDll.dll" [null data] "{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip" -> CLSID InProcServer32 resolves to: "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip" -> CLSID InProcServer32 resolves to: "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip" -> CLSID InProcServer32 resolves to: "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip" -> CLSID InProcServer32 resolves to: "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{7C9D5882-CB4A-4090-96C8-430BFE8B795B}" = "Webroot Spy Sweeper Context Menu Integration" -> CLSID InProcServer32 resolves to: "C:\PROGRA~1\Webroot\Spy Sweeper\SSCtxMnu.dll" ["Webroot Software, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\ INFECTION WARNING! "{12345678-0000-0010-8000-00AAFF6D2EA4}" = "Sysctl Desktop Handler" -> resolves to: {CLSID}\InprocServer32\(Default) = "C:\WINDOWS\System32\systr.dll" [null data] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! "AtiExtEvent\DLLName" = "Ati2evxx.dll" ["ATI Technologies Inc."] Startup items in "Udo Bahner" & "All Users" startup folders: ------------------------------------------------------------ C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Kabellosen Labtec-Desktop aktivieren" -> shortcut to: "C:\Programme\Kabelloser Labtec-Desktop\MagicKey.exe" [empty string] "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS] "ZoneAlarm" -> shortcut to: "C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe" ["Zone Labs Inc."] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Service, AntiVirService, "C:\Programme\AVPersonal\AVGUARD.EXE" ["H+BEDV Datentechnik GmbH"] AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."] Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS] SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Programme\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."] TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs Inc."] TSMService, TSMService, ""C:\Programme\T-DSL SpeedManager\tsmsvc.exe"" ["T-Systems Nova, Berkom"] ---------- This report excludes default entries except where indicated. To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. ---------- |
|
19.01.2005, 00:46
| #16 |
| Administrator, a.D. | Nochmals Hijacking nach www.hotoffers.info Lösche diese Datei und fixe nochmals den R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/ Eintrag. Poste nochmals das Log-File. Geändert von Cidre (19.01.2005 um 00:53 Uhr) Grund: Schreibfehler! |
|
19.01.2005, 00:53
| #17 |
| | Nochmals Hijacking nach www.hotoffers.info Welche Datei genau? Die systr.dll?
__________________ |
|
19.01.2005, 00:54
| #18 |
| Administrator, a.D. | Nochmals Hijacking nach www.hotoffers.info Ja, genau die.
__________________Sorry, mein Fehler. 
__________________ |
|
19.01.2005, 01:09
| #19 |
| | Nochmals Hijacking nach www.hotoffers.info Wie kann ich sie löschen, löschen wird nicht zugelassen weil in Verwendung. Ich glaube wir liegen aber ziemlich nahe dem Problem. Kann ich die Löschverweigerung irgendwie übergehen?? |
|
19.01.2005, 01:14
| #20 |
| Administrator, a.D. | Nochmals Hijacking nach www.hotoffers.info Im abgesicherten Modus kannst du sie löschen und den Eintrag fixen. http://www.bsi.bund.de/av/texte/wiederher_xp.htm Danach führst du diese Punkte aus um dein System abzusichern: - Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx - NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org |
|
| Themen zu Nochmals Hijacking nach www.hotoffers.info |
| abgesicherten modus, adobe, antivir, antivir update, avg, bho, browser, dringend, entfernen, excel, hijack, hijack this, hijackthis, hilfe!!, hilfe!!!, hängt, internet, internet explorer, logfile, mehrere, monitor, nvcpl.dll, problem, rundll, scan, software, system, systemcheck, t-online, tcpip, trojaner, webroot, windows, windows xp |
Linear-Darstellung
