Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Desktop Hijacker

Desktop Hijacker


Log-Analyse und Auswertung: Desktop Hijacker

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 06.05.2005, 15:43   #1
Knetkobold
Gast
 
Desktop Hijacker - Böse

Desktop Hijacker


Hallo zusammen. Mein Desktop ist gehijackt worden, ich hoffe hier kann mir jemand helfen, wie ich diesen Mist wieder loswerde. Habe seit gestern Abend nicht mehr mein gewohntes Hintergrundbild, sondern einen uni-blauenn Desktop mit einem schwarzen Kasten in der Mitte mit eoner Windows error Meldung und dem Hinweis auf dem Rechner wäre Spyware gefunden worden.
Habe mit AntiVir und Ad Aware nichts gefunden.
Habe mir daraufhin mit HijackThis ein logfile erstellen lassen (siehe unten)
Welche Einträge muss ich nun löschen und wie geht das ?

Viele Grüße

Heike Kaupat

Logfile of HijackThis v1.99.1
Scan saved at 16:34:31, on 06.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\isrvs\desktop.exe
C:\WINDOWS\System32\paytime.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.222.131.49/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.222.131.49/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpyAntiware Class - {F74B358E-6979-40a9-96CD-636C80B87AFF} - C:\WINDOWS\System32\ash.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKCU\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU"
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe /startupscan
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O13 - WWW. Prefix: http://ehttp.cc/?
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Alt 06.05.2005, 15:56   #2
cronos
 
Desktop Hijacker - Standard

Desktop Hijacker


Gehe wie folgt vor:

Wechsle in den abgesicherten Modus bei deaktivierter Systemwiederherstellung:
http://www.systemwiederherstellung-deaktivieren.de

Fixe mit HijackThis folgende Einträge:

O2 - BHO: SpyAntiware Class - {F74B358E-6979-40a9-96CD-636C80B87AFF} - C:\WINDOWS\System32\ash.dll (file missing)
O2 - BHO: SpyAntiware Class - {F74B358E-6979-40a9-96CD-636C80B87AFF} - C:\WINDOWS\System32\ash.dll (file missing)
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O13 - WWW. Prefix: http://ehttp.cc/?
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll


Lösche manuell:

C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\System32\ash.dll (file missing)

Lösche auch diesen Ordner komplett:
C:\WINDOWS\isrvs\

Zu deiner Sicherheit solltest du auch noch Escan ausführen(im abgesicherten Modus):

http://www.trojaner-info.de/hijacker/escan

Teile uns die Ergebnisse mit, dazu:

Zitat:
Zitat von Haui45
Speichere außerdem diese Datei mittels Rechtsklick-> "Ziel speichern unter..." auf deiner Festplatte. Führe sie nach dem Scan mit eScan aus (Doppelklick). Danach solltest du die Datei C:\eScan_neu.txt auf deiner Festplatte finden. Den Inhalt dieser Datei postest du dann bitte in diesen Thread.
Edit:

Installiere dir schleunigst das Service Pack 2

http://www.microsoft.com/downloads/d...displaylang=de

Danach www.windowsupdate.com besuchen
__________________

__________________
Alt 07.05.2005, 12:35   #3
Knetkobold
Gast
 
Desktop Hijacker - Standard

Desktop Hijacker


Hallo,
bin wie beschrieben vorgegangen; das Problem besteht aber nach wie vor.

Hier mein eScan log :

File System Found infected by "VX2 Spyware\Adware" Xirus
File C:\WINDOWS\desktop.html infected by "Trojan-Clicker.Win32.spyward.b" Virus
File C:\WINDOWS\hosts infected by "Trojan.Win32.Qhost.K" Virus
File C:\WINDOWS\ms1.exe infected by "not-a-virus : Adware.Toolbar.ISearch.d" Virus
File C:\WINDOWS\toolband.dll infected by "not-a-virus:Adware.Toolbar.FastLook.a" Virus
File C:\WINDOWS\System32\javafix4.dll infected by "Trojan-Downloader.Win32.Small.aqe" Virus
File C:\DOKUME˜1\Besitzer\LOKALE˜1\Temp\B75314958\build3.exe infected by "not-a-virus:Adware.Toolbar.ISearch.d" Virus
File C:\DOKUME˜1\Besitzer\LOKALE˜1\TEMPOR˜1\ContentIE5\FE03N5C1\newexpl[1].php infected by "Exploit.VBS.Phel.i" Virus
File C:\DOKUME˜1\Besitzer\LOKALE˜1\TEMPOR˜1\ContentIE5\OLO30JWV\rdg DE10[1].exe infected by "Trojan.Win32.Dialer.ht" Virus


Außerdem habe ich die manuell zu löschende Datei C:\WINDOWS\System32\ash.dll nicht auf meinem Rechner gefunden

Schöne Grüße

Heike Kaupat
__________________
Alt 07.05.2005, 12:41   #4
Knetkobold
Gast
 
Desktop Hijacker - Standard

Desktop Hijacker


Noch eine Frage :

Soll ich die Systemherstellung nun dauerhaft deaktiviert lassen, oder soll ich sie wieder einschalten ?

Alt 07.05.2005, 17:32   #5
cronos
 
Desktop Hijacker - Standard

Desktop Hijacker


C:\WINDOWS\System32\ash.dll

kannst du nicht mehr finden, da sie nicht mehr da ist.Mein Fehler.
Mit HJT noch folgende Einträge ixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.222.131.49/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.222.131.49/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php
Lösche die von Escan gefundenen Dateien im abgesicherten Modus bei deaktivierter Systemwiederherstellung.
Lösche deine temporären Internetdateien, auch alle Offlineinhalte.
Lade dir auch den CWShredder und führe ihn aus.
Lasse zusätzlich Adaware und Spybot über dein System laufen.Mit Spybot noch zusätzlich immunisieren.
Neu booten Systemwiederherstellung anschaltenund neuen Log posten.
Evtl. auch nochmal Escan ausdühren

__________________
Only cronos endures

Alt 07.05.2005, 20:36   #6
Knetkobold
Gast
 
Desktop Hijacker - Standard

Desktop Hijacker


Hallo,
bin wie beschrieben vorgegangen.
Die Dateien


File C:\DOKUME˜1\Besitzer\LOKALE˜1\Temp\B75314958\build 3.exe infected by "not-a-virus:Adware.Toolbar.ISearch.d" Virus
File C:\DOKUME˜1\Besitzer\LOKALE˜1\TEMPOR˜1\ContentIE5\ FE03N5C1\newexpl[1].php infected by "Exploit.VBS.Phel.i" Virus
File C:\DOKUME˜1\Besitzer\LOKALE˜1\TEMPOR˜1\ContentIE5\ OLO30JWV\rdg DE10[1].exe infected by "Trojan.Win32.Dialer.ht" Virus

habe ich allerdings im abgesicherten Modus im Explorer nicht finden können. Folglich sieht mein erneuter eScan log nun so aus :

File System Found infected by "VX2 Spyware\Adware" Virus
File C:\DOKUME˜1\Besitzer\LOKALE˜1\Temp\B75314958\build 3.exe infected by "not-a-virus:Adware.Toolbar.ISearch.d" Virus
File C:\DOKUME˜1\Besitzer\LOKALE˜1\TEMPOR˜1\ContentIE5\ FE03N5C1\newexpl[1].php infected by "Exploit.VBS.Phel.i" Virus
File C:\DOKUME˜1\Besitzer\LOKALE˜1\TEMPOR˜1\ContentIE5\ OLO30JWV\rdg DE10[1].exe infected by "Trojan.Win32.Dialer.ht" Virus


Immerhin ist mittlerweile der schwarze Kasten mit der spyware-Warnung von meinem Desktop verschwunden. :aplaus: Allerdings habe ich noch immer einen blauen Desktop, welcher sich in der Systemsteuerung nicht verändern läßt !

Was soll ich nun machen ? (Sorry, bin ein ziemlicher Computer-Laie)

Viele Grüße

Heike Kaupat

Antwort

Themen zu Desktop Hijacker
ad aware, adobe, antivir, antivir update, avg, besitzer, bho, desktop, drivers, einstellungen, error, error meldung, explorer, file missing, ftp, helfen, hijackthis, home, internet, internet explorer, logfile, löschen, nvcpl.dll, nvidia, programme, rundll, software, spyware, system, t-online, temp, träge, usb, windows, windows xp


« Spotresult Popup und andere Übeltäter | Neuer Hijacker "jdmno.dll" ?? »


Ähnliche Themen: Desktop Hijacker


  1. 2x Software Fälschung .Kein Desktop-Explorer.Keine Startleiste auch keine Datei-Symbole auf Desktop, was soll ich machen.
    Mülltonne - 25.08.2013 (1)
  2. Ordner ohne Namen auf Desktop, in dem sich Desktop befindet.
    Plagegeister aller Art und deren Bekämpfung - 27.05.2012 (0)
  3. Verknüpfungen von Desktop gelöscht/ Desktop schwarz und keinen Zugriff auf Dateien
    Plagegeister aller Art und deren Bekämpfung - 27.03.2012 (1)
  4. GEMA-Trojaner: zwar wohl entfernt (c't Desinfect), aber desktop.ini fehlerhaft: leerer Desktop...
    Plagegeister aller Art und deren Bekämpfung - 14.01.2012 (2)
  5. Hijacker deaktivier Taskmanager und Registry-Editor - Hijacker nicht entfernbar
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (2)
  6. Desktop Warning Spyware keine Kontrolle mehr über Desktop Einstellungen uvw...
    Plagegeister aller Art und deren Bekämpfung - 04.09.2008 (5)
  7. IE Hijacker.. :(
    Mülltonne - 06.11.2007 (0)
  8. Desktop Hijacker: Bitte um Hilfe
    Log-Analyse und Auswertung - 09.12.2005 (6)
  9. Trojaner PSGuard Desktop Hijacker...???
    Log-Analyse und Auswertung - 24.09.2005 (38)
  10. Hijacker?
    Log-Analyse und Auswertung - 11.08.2005 (8)
  11. Desktop Hijacker
    Log-Analyse und Auswertung - 25.07.2005 (1)
  12. Hijacker
    Log-Analyse und Auswertung - 22.03.2005 (12)
  13. Hijacker?? or
    Log-Analyse und Auswertung - 11.03.2005 (20)
  14. Help need ;-( hab ich nen Hijacker ?
    Plagegeister aller Art und deren Bekämpfung - 16.01.2005 (10)
  15. Hijacker
    Log-Analyse und Auswertung - 02.07.2004 (5)
  16. Hijacker
    Log-Analyse und Auswertung - 30.06.2004 (1)
  17. Hijacker
    Log-Analyse und Auswertung - 27.06.2004 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Desktop Hijacker - Hallo zusammen. Mein Desktop ist gehijackt worden, ich hoffe hier kann mir jemand helfen, wie ich diesen Mist wieder loswerde. Habe seit gestern Abend nicht mehr mein gewohntes Hintergrundbild, sondern - Desktop Hijacker...
Archiv
Du betrachtest: Desktop Hijacker auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131