| |
| |||||||
Log-Analyse und Auswertung: Nochmals Hijacking nach www.hotoffers.infoWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
19.01.2005, 00:46
| #16 |
| Administrator, a.D.   |  Nochmals Hijacking nach www.hotoffers.info Lösche diese Datei und fixe nochmals den R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/ Eintrag. Poste nochmals das Log-File. Geändert von Cidre (19.01.2005 um 00:53 Uhr) Grund: Schreibfehler! |
|
19.01.2005, 00:53
| #17 |
 | Nochmals Hijacking nach www.hotoffers.info Welche Datei genau? Die systr.dll?
__________________ |
|
19.01.2005, 00:54
| #18 |
| Administrator, a.D. | Nochmals Hijacking nach www.hotoffers.info Ja, genau die.
__________________Sorry, mein Fehler. 
__________________ |
|
19.01.2005, 01:09
| #19 |
| | Nochmals Hijacking nach www.hotoffers.info Wie kann ich sie löschen, löschen wird nicht zugelassen weil in Verwendung. Ich glaube wir liegen aber ziemlich nahe dem Problem. Kann ich die Löschverweigerung irgendwie übergehen?? |
|
19.01.2005, 01:14
| #20 |
| Administrator, a.D. | Nochmals Hijacking nach www.hotoffers.info Im abgesicherten Modus kannst du sie löschen und den Eintrag fixen. http://www.bsi.bund.de/av/texte/wiederher_xp.htm Danach führst du diese Punkte aus um dein System abzusichern: - Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx - NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org |
|
19.01.2005, 01:18
| #21 |
| | Nochmals Hijacking nach www.hotoffers.info Hi Cidre, ich habe die Löschung im abgesicherten Modus versucht. Die Spyware fährt auch hier sofort hoch und wird somit blockieren. Udo |
|
19.01.2005, 01:55
| #23 |
| | Nochmals Hijacking nach www.hotoffers.info Hallo Cidre, vielen Dank, das war ein Volltreffer. Das Pop-Up-Fenster kommt nicht mehr und auch mein neuer HJT-Log ist clean: Logfile of HijackThis v1.99.0 Scan saved at 01:49:23, on 19.01.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Analog Devices\SoundMAX\Smtray.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\Programme\Kabelloser Labtec-Desktop\MagicKey.exe C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe C:\Programme\Kabelloser Labtec-Desktop\MulMouse.exe C:\Programme\Kabelloser Labtec-Desktop\OSD.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Programme\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - Global Startup: Kabellosen Labtec-Desktop aktivieren.lnk = C:\Programme\Kabelloser Labtec-Desktop\MagicKey.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - C:\Programme\D\D-Info\html\toolbarscript.html O9 - Extra 'Tools' menuitem: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - C:\Programme\D\D-Info\html\toolbarscript.html O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Ich danke allen, die auf dieser tollen Seite versucht (und es geschafft) haben, zu helfen. Werde euch weiterempfehlen. Gruß, Udo  |
|
19.01.2005, 18:34
| #24 | |
| Administrator, a.D. | Nochmals Hijacking nach www.hotoffers.infoZitat:
http://www.mathematik.uni-marburg.de...ompromise.html http://faq.underflow.de/#SECTION000110000000000000000 |
|
21.03.2005, 14:14
| #25 |
| | Nochmals Hijacking nach www.hotoffers.info Hallo! Bin ein absolut blutiger Anfänger, in Sachen Viren/Trojaner-Problemen. Hab auch die hotoffers-krise! -.- eScan hab ich schon geladen und es läuft gerade. Hat schon 55 Sachen gefunden  Und hier meine Frage: Warum muss ich ein Update machen? Und was für eines genau? ~~ Und bitte tut so, als würdet ihr es einer 5 jährigen erklären, ja? ^^; Danke im Vorraus! Lyxaria EDIT: Hab jetzt alles gelöscht, was er gefunden hat und jetzt hab ich ein weiteres Problem o.O Hotoffer ist zwar wech, aber jetzt hab ich immer wenn ich ein Windows-Prog starte (ob das jetzt windows selbst ist oder Microsoft Word): Der Windows-Installer öffnet sich und Norton meldet sich, dass Norten die Repair-Funktion nicht unterstützt. Ich also deinstallieren und neu installieren soll... Hier ~> http://lifa.dream-star.de/hilfe.jpg Hilfe -.- Geändert von Lyxaria (21.03.2005 um 14:58 Uhr) |
|
01.04.2005, 16:05
| #26 |
| | Nochmals Hijacking nach www.hotoffers.info Sorry leute aber ich habe auch diesen sch**** hotoffers kram auf meinem Rechner und habe mir jetzt escan runtergeladen wie gepostet wurde ... hier die log von escan : File C:\WINDOWS\System32\systr.dll infected by "Trojan-Downloader.Win32.Agent.ko" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\systr.dll infected by "Trojan-Downloader.Win32.Agent.ko" Virus. Action Taken: No Action Taken. File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken. File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken. File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken. File System Found infected by "IEHijacker.Hotoffers Spyware/Adware" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\guninst.exe infected by "Trojan-Dropper.Win32.Agent.hy" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\wldr.dll infected by "Trojan-Downloader.Win32.Agent.kf" Virus. Action Taken: No Action Taken. Also sind noch eins zwei viren mehr drauf ... Könnte mir trotzdem jemand helfen weil der hotoffers kann wirklich nerven !!! Vielen Dank schon mal im Voraus! Greetings from LauiTheRipper |
|
01.04.2005, 16:35
| #27 |
| | Nochmals Hijacking nach www.hotoffers.info Hi nochmal ! Also ich habe den Hotoffers jetzt auch weg also nochmal vielen Dank für die Beschreibung! Mit escan und killbox hat es dann doch geklappt! Musste man ja im Abgesicherten Modus machen! Ok nochmal vieeeelen Dank! |
|
01.04.2005, 17:10
| #28 |
| Administrator, a.D. | Nochmals Hijacking nach www.hotoffers.info @ LauiTheRipper Dann brauch ich dir ja nicht mehr auf deine PM antworten. Um eine erneute Kompromittierung zu vermeiden, solltest du den Link in meiner Signatur folgen und etwas durchstöbern. |
|
| Themen zu Nochmals Hijacking nach www.hotoffers.info |
| abgesicherten modus, adobe, antivir, antivir update, avg, bho, browser, dringend, entfernen, excel, hijack, hijack this, hijackthis, hilfe!!, hilfe!!!, hängt, internet, internet explorer, logfile, mehrere, monitor, nvcpl.dll, problem, rundll, scan, software, system, systemcheck, t-online, tcpip, trojaner, webroot, windows, windows xp |
Linear-Darstellung
