|
Log-Analyse und Auswertung: http://213.159.117.134/index.phpWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
26.12.2004, 19:34 | #1 |
| http://213.159.117.134/index.php Hallo zusammen, habe mir einen Hijacker eingefangen. Kann jemand was mit meinem Log File anfangen??? Was muss gelöscht werden um wieder "sauber" zu sein??? Habe versucht mit Hijack This alle http://213.159....... zu löschen, diese kommen aber immer wieder!!! Kann mir jemand helfen???? Vielen Dank im Voraus!!! R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php O2 - BHO: (no name) - {532C8239-65F9-3427-A4D8-3AC6FC17C4C1} - C:\WINDOWS\System32\jqfeo.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Otta] C:\Dokumente und Einstellungen\Markus Kersten\Anwendungsdaten\sats.exe O4 - HKCU\..\Run: [Lwivbwm] C:\WINDOWS\System32\?ttrib.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Microsoft® JavaScript® Console (HKLM) O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Microsoft® JavaScript® Console (HKCU) O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU) O12 - Plugin for .au: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...082.4860763889 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{206AAFBA-0C2F-4045-89C5-9D266BF02994}: NameServer = 194.25.2.129,194.25.2.130 O17 - HKLM\System\CS1\Services\Tcpip\..\{206AAFBA-0C2F-4045-89C5-9D266BF02994}: NameServer = 194.25.2.129,194.25.2.130 O17 - HKLM\System\CS2\Services\Tcpip\..\{206AAFBA-0C2F-4045-89C5-9D266BF02994}: NameServer = 194.25.2.129,194.25.2.130 |
26.12.2004, 19:52 | #2 |
Administrator, a.D. | http://213.159.117.134/index.php Zusätzlich noch diese Einträge im abgesicherten Modus löschen:
__________________O2 - BHO: (no name) - {532C8239-65F9-3427-A4D8-3AC6FC17C4C1} - C:\WINDOWS\System32\jqfeo.dll O4 - HKCU\..\Run: [Otta] C:\Dokumente und Einstellungen\Markus Kersten\Anwendungsdaten\sats.exe O4 - HKCU\..\Run: [Lwivbwm] C:\WINDOWS\System32\?ttrib.exe Ebenso die in den Einträgen enthaltenen Dateien löschen! Zur Sicherheit: Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus, sowie ein neues HJT Log-File: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen -> löschen - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
__________________ |
Themen zu http://213.159.117.134/index.php |
bho, button, c.exe, einstellungen, explorer, file, gelöscht, helfen, hijack this, immer wieder, internet, internet explorer, links, log, log file, löschen, microsoft, object, programme, realplay.exe, realplayer, shockwave, software, spybot, start, system, system32, tcpip, update, windows |