|
Log-Analyse und Auswertung: Hijacker: utruuh.globe-finder.cc/bayzm/Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
24.02.2005, 11:08 | #1 |
| Hijacker: utruuh.globe-finder.cc/bayzm/ Moin aus Hamburg, habe mir folgenden Hijacker geholt, und bekomme ihn irgendwie nich mehr wech...kann mir jemand helfen? Logfile of HijackThis v1.99.1 Scan saved at 11:00:52, on 24.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\slserv.exe C:\Programme\AOL 9.0\aoltray.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Anja S\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm O1 - Hosts: 1159680172 auto.search.msn.com O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab O19 - User stylesheet: C:\WINDOWS\stsheets.dat O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe Gruss Janus |
24.02.2005, 12:32 | #2 |
| Hijacker: utruuh.globe-finder.cc/bayzm/ Hilfe! Kann mir denn keiner helfen?
__________________ |
24.02.2005, 12:40 | #3 | ||
| Hijacker: utruuh.globe-finder.cc/bayzm/ @Janus2005
__________________Zitat:
Zitat:
|
24.02.2005, 13:47 | #4 |
| Hijacker: utruuh.globe-finder.cc/bayzm/ Danke ersma! Bloß, nach dem fixen mache ich einen erneuten scan, und die dinger sind immer noch da!? Oder muß ich die Systemwiederherstellung deaktivieren oder so? |
24.02.2005, 13:53 | #5 | |
| Hijacker: utruuh.globe-finder.cc/bayzm/Zitat:
Ja solltest du machen |
24.02.2005, 14:47 | #6 |
| Hijacker: utruuh.globe-finder.cc/bayzm/ Trotz deaktivieter Systemwiederherstellung, hijackthis im abgesicherten Modus erscheinen die drei immer wieder: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm O1 - Hosts: 1159680172 auto.search.msn.com was mache ich falsch? |
24.02.2005, 15:23 | #7 |
Hijacker: utruuh.globe-finder.cc/bayzm/ Da scheint sich etwas zu verstecken, was mit HijackThis nicht zu erkennen ist. Mach mal einen Scan mit eScan (siehe Signatur - Anleitung genau beachten!) und poste anschließend, was gefunden wurde. Öffne dazu die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
24.02.2005, 16:52 | #8 |
| Hijacker: utruuh.globe-finder.cc/bayzm/ Hallo Lutz, danke für deine Ideen! Also, ich habe es so gemacht, wie du beschrieben hast, leider ist glaub ich nichts vernünftiges dabei rausgekommen: File C:\Dokumente und Einstellungen\Anja S\Eigene Dateien\setups\Winrar 3.30 Keygen German.rar tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken. File C:\Programme\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. |
26.02.2005, 11:32 | #9 |
| Hijacker: utruuh.globe-finder.cc/bayzm/ Kann ich nicht einfach in der regedit die Dinger rauslöschen? Nein, sie erscheinen immer wieder... |
Themen zu Hijacker: utruuh.globe-finder.cc/bayzm/ |
antivir, antivir update, button, canon, dateien, daten, desktop, einstellungen, explorer, folge, helfen, hijacker, hijackthis, hosts, internet, internet explorer, microsoft, object, online, programme, shockwave, software, start, startup, system, system32, update, windows, windows xp |