| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Nameserver - Umleitung?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
15.04.2004, 18:09
| #1 |
| |  Nameserver - Umleitung? Hallo, habe folgende Frage: Nach dem ich auf der Suche nach einem WorkAround zur Master Search start.chm Problematik einmal Hijack This angeworfen habe bin ich über Einträge gestolpert die mich stutzig gemacht haben. Freue mich über jede Art von Hilfe. Vielen Dank im Voraus! PS: Ich nutze den Avant Browser Aufsatz für den IE! </font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;">Logfile of HijackThis v1.97.7 Scan saved at 18:42:44, on 15.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Volumenzaehler\BoVolume.exe C:\Programme\Cherry\KeyMan\KeyMan.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\Spamihilator\spamihilator.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Cherry\CDI\CDI.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\AVANT BROWSER\IEXPLORE.EXE C:\WINDOWS\explorer.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Johannes\LOKALE~1\Temp\Rar$EX00.719\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/service/redir/tosw5_webtour.htm O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [VolumeCounter] "C:\Programme\Volumenzaehler\BoVolume.exe" O4 - HKLM\..\Run: [CherryKeyman] "C:\Programme\Cherry\KeyMan\KeyMan.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe" O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\PROGRAMME\AVANT BROWSER\AddAllToADBlackList.htm O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Hervorheben - C:\PROGRAMME\AVANT BROWSER\Highlight.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\keyman\IEMenuExtKeyman.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Suchen - C:\PROGRAMME\AVANT BROWSER\Search.htm O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\PROGRAMME\AVANT BROWSER\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\PROGRAMME\AVANT BROWSER\OpenAllLinks.htm O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: concept/design's onlineTV (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...086.2493981481 O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A0F2CCB3-1F7F-43C0-B1A9-61DB02E407D0}: NameServer = 217.237.149.161 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{A0F2CCB3-1F7F-43C0-B1A9-61DB02E407D0}: NameServer = 217.237.149.161 194.25.2.129</pre>[/QUOTE]Was bedeuten also die letzten beiden Einträge ("O17")? Und wofür stehen die ("09"). Tschüß, blinky |
|
15.04.2004, 18:37
| #2 |
 | Nameserver - Umleitung? Hi,
__________________1) http://www.trojaner-board.de/51130-a...ijackthis.html 2) was sagt denn dein aktueller Virenscanner sowie - SPYBOT - Ad-Aware - CWSHREDDER dazu ? Links per Forensuche  R0 kann raus, ggfs auch die GoogleToolbar-Einträge [ 15. April 2004, 19:43: Beitrag editiert von: Who Cares ] |
|
15.04.2004, 18:40
| #3 |
| /// Mr. Schatten   | Nameserver - Umleitung? Setze mal schnell die Links per Signatur rein.
__________________Und werfe jetzt einen kurzen Blick ins Log O17 sind die DNS-Server der Telekom, da Du T-Online nutzt ist das okay
__________________ |
|
15.04.2004, 18:43
| #4 |
 | Nameserver - Umleitung? Hallo Blinky und willkommen im Board, hast Du schon die aktuellen Updates (von gestern) von Microsoft installiert? Lt. US-CERT soll damit die Lücke geschlossen werden können, wenn mich mein Englisch jetzt nicht vollkommen verlassen hat. (Widersprüche ausdrücklich erwünscht! )Zusätzlich diesen Eintrag 'fix'en: </font><blockquote>Zitat:</font><hr /> R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html </font>[/QUOTE]und die Dateien start.chm und start.html löschen. </font><blockquote>Zitat:</font><hr />Was bedeuten also die letzten beiden Einträge ("O17")? Und wofür stehen die ("09")</font>[/QUOTE]Bitte einmal hier schauen: http://www.trojaner-board.de/51130-a...ijackthis.html Gruß, Lutz
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
18.04.2004, 13:32
| #5 |
| | Nameserver - Umleitung? Vielen Dank! Habe das Probleme dank Eurer Hilfe gelöst. blinky |
|
| Themen zu Nameserver - Umleitung? |
| adobe, avg, bho, browser, excel, explorer, frage, google, hijack, hijack this, hijackthis, internet, internet explorer, logfile, microsoft, object, pdf, programme, server, software, suche, system, t-online, tcpip, temp, träge, windows, windows messenger, windows xp, workaround |
Linear-Darstellung
