Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Hijacker?

Hijacker?


Log-Analyse und Auswertung: Hijacker?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 11.08.2005, 11:45   #1
[-UFO-]Melkor
 
Hijacker? - Standard

Hijacker?


Nachdem ich kürzlich aus einem schönen Urlaub zurückkam, gingen die Probleme gleich los:
Mozilla reagierte auf viele Seiten nicht mehr ("Nachschlagen von xyz" => "xyz konnte nicht gefunden werden. Bitte überprüfen sie den Namen und wiederholen sie es später nocheinmal"). Das es an mir liegt ist klar, bei anderen Leuten funktionierten die Seiten zum entsprechenden Zeitpunkt.
Zu erwähnen vielleicht noch, dass einige Seiten temporär funktionierten und temporär aussetzten, andere immer funktionieren und wieder andere nie.

Das war alles unter Windows XP Professionel mit der neuesten Mozialla-Firefox-Version. Ich hab es dann noch unter Windows mit dem Internet-Explorer und dem alten Mozille versucht, beides ohne erfolg.
Als nächstes habe ich es auf Linux versucht, einmal mit Mozilla und dann mit dem Standart-Browser (kA wie der heißt), selbe symptome.

Nach zahlreichen Versuchen hab ich es dann bis in dieses Forum geschafft, ein bisschen rumgelesen und diese Anleitung befolgt:
Anleitung: HiJackThis.

Das Logfile, was dabei herauskam:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 12:31:35, on 11.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Apache Group\Apache\Apache.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Apache Group\Apache\Apache.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\alrsvc27.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\ezula\mmod.exe
C:\PROGRA~1\Web Offer\wo.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\System32\svchost.exe
C:\Bases_X\mwavscan.com
C:\Bases_X\kavss.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\HijackThis.exe
C:\WINDOWS\system32\taskmgr.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\system32\Searchx.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.die-kreuzzuege.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Dokumente und Einstellungen\***\Desktop\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [fc79011b13db] C:\WINDOWS\system32\alrsvc27.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Dokumente und Einstellungen\***\Eigene Dateien\HA, etc\xy\Steam.exe -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe
O4 - HKCU\..\Run: [eZWO] C:\PROGRA~1\Web Offer\wo.exe
O4 - Startup: mIRC.lnk = C:\Program Files\mIRC\mirc.exe
O4 - Startup: trillian.lnk = C:\Dokumente und Einstellungen\***\Eigene Dateien\Trillian\trillian.exe
O4 - Global Startup: Mozilla Firefox.lnk = C:\Programme\Mozilla Firefox\firefox.exe
O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{1616B76B-5B37-4E2C-A81E-B972A036092B}: NameServer = 192.168.1.1,217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{1616B76B-5B37-4E2C-A81E-B972A036092B}: NameServer = 192.168.1.1,217.237.151.225
O17 - HKLM\System\CS2\Services\Tcpip\..\{1616B76B-5B37-4E2C-A81E-B972A036092B}: NameServer = 192.168.1.1,217.237.151.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Apache - Unknown owner - C:\Programme\Apache Group\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: MySQL41 - Unknown owner - C:\mysqld.exe (file missing)
Ich bin kein Fachman in solchen Dingen, darum wollt ich lieber hier rumfragen bevor ich alles kaputtmache.

Alt 11.08.2005, 13:26   #2
Vulcanraven
Gesperrt
 
Hijacker? - Standard

Hijacker?


Hallo Ufo also ich habe mir mal deinen HijackThis Log angeschauen und das ergebnis ist :

Böse Sachen:

C:\PROGRA~1\ezula\mmod.exe
C:\PROGRA~1\Web Offer\wo.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKCU\..\Run: [eZWO] C:\PROGRA~1\Web Offer\wo.exe
O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
Eventuell Böse:
Also wenn sie ihn nicht kennen fixen sie ihn !
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.die-kreuzzuege.de/

Unötige Sachen :
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O23 - Service: Apache - Unknown owner - C:\Programme\Apache Group\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: MySQL41 - Unknown owner - C:\mysqld.exe (file missing

Und
In Ihrem Logfile findet sich kein aktiver Prozess, der auf eine aktive Firewall hindeutet. Mögliche Gründe: (1.) Sie benutzen die Windows XP eigene Firewall. (2.) Sie benutzen eine Firewall, die uns nicht bekannt ist. (3.) Zur Zeit ist keine Firewall auf ihrem System aktiv oder (4.) sie verwenden keine Firewall.
Wir empfehlen Ihnen das Benutzen einer Firewall. Laden Sie sich ggf. eine herunter oder verwenden Sie die Windows XP eigene.

Also alle einträge oben fixen wenn sie sie nicht kennen !
MFG.Vulcanraven
__________________
Alt 11.08.2005, 14:11   #3
[-UFO-]Melkor
 
Hijacker? - Standard

Hijacker?


Ersteinmal eine großes Dankeschön, dass du mir hilft

Zitat:
Zitat von Vulcanraven
Hallo Ufo also ich habe mir mal deinen HijackThis Log angeschauen und das ergebnis ist :

Böse Sachen:

C:\PROGRA~1\ezula\mmod.exe
C:\PROGRA~1\Web Offer\wo.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKCU\..\Run: [eZWO] C:\PROGRA~1\Web Offer\wo.exe
O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY
Bis hierhin hat alles super funktioniert

Zitat:
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
Bei einem dieser fünf kam folgende Meldung:
Zitat:
HijackThis cannot repair 010 Winsock LSP entries.
You should use LSPFix for that, which is available from http://www.cexx.org/lspfix.htm.

If the 010 item belongs to WebHancer, New.Net or CommonName, Spybo S&D can remove it automatically. Spybot S&D is available from http://www.spybot.info/.
LSPFix zu nutzen ist mir gerade nicht möglich, da es eine der Seiten ist, die nicht geladen werden.
Spybot S&D habe ich gerade installiert

Zitat:
[...]
Eventuell Böse:
Also wenn sie ihn nicht kennen fixen sie ihn !
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.die-kreuzzuege.de/
Kenn ich, darf bleiben

Zitat:
Unötige Sachen :
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O23 - Service: Apache - Unknown owner - C:\Programme\Apache Group\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: MySQL41 - Unknown owner - C:\mysqld.exe (file missing
Auch alle problemlos gelöscht

Zitat:
Und
In Ihrem Logfile findet sich kein aktiver Prozess, der auf eine aktive Firewall hindeutet. Mögliche Gründe: (1.) Sie benutzen die Windows XP eigene Firewall. (2.) Sie benutzen eine Firewall, die uns nicht bekannt ist. (3.) Zur Zeit ist keine Firewall auf ihrem System aktiv oder (4.) sie verwenden keine Firewall.
Wir empfehlen Ihnen das Benutzen einer Firewall. Laden Sie sich ggf. eine herunter oder verwenden Sie die Windows XP eigene.

Also alle einträge oben fixen wenn sie sie nicht kennen !
MFG.Vulcanraven
Laut dem Sicherheitscenter ist die Windowseigene-Firewall aktiv o_O

Nunja, das aktuelle Logfile sieht nun so aus:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 14:52:00, on 11.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\alrsvc27.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\system32\Searchx.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.die-kreuzzuege.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Dokumente und Einstellungen\***\Desktop\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [fc79011b13db] C:\WINDOWS\system32\alrsvc27.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Dokumente und Einstellungen\***\Eigene Dateien\HA, etc\xy\Steam.exe -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: mIRC.lnk = C:\Program Files\mIRC\mirc.exe
O4 - Startup: trillian.lnk = C:\Dokumente und Einstellungen\***\Eigene Dateien\Trillian\trillian.exe
O4 - Global Startup: Mozilla Firefox.lnk = C:\Programme\Mozilla Firefox\firefox.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O17 - HKLM\System\CCS\Services\Tcpip\..\{1616B76B-5B37-4E2C-A81E-B972A036092B}: NameServer = 192.168.1.1,217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{1616B76B-5B37-4E2C-A81E-B972A036092B}: NameServer = 192.168.1.1,217.237.151.225
O17 - HKLM\System\CS2\Services\Tcpip\..\{1616B76B-5B37-4E2C-A81E-B972A036092B}: NameServer = 192.168.1.1,217.237.151.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
Gibt es vielleicht sonst noch irgendwelche programme, die ich inshaben sollte bzw. noch andere Möglichkeiten, um die ganzen Dinger loszuwerden?
__________________
Geändert von [-UFO-]Melkor (11.08.2005 um 14:17 Uhr)

Alt 11.08.2005, 14:19   #4
Wildone
 
Hijacker? - Standard

Hijacker?


Hallo,
also spybot sollte mit dem new.net problem fertig werden, du kannst aber auch mal schauen ob du nicht einfach unter Systemsteuerung>>Software deinstallieren kannst(Spybot aber trotzdem durchlaufen lassen)
Beende mal folgenden Prozess:
C:\WINDOWS\system32\alrsvc27.exe
und überprüfe die dazugehörige Datei hier
und poste das Ergebnis hier her.


Grüße Wildone

Alt 11.08.2005, 15:40   #5
[-UFO-]Melkor
 
Hijacker? - Standard

Hijacker?


Zitat:
Datei: alrsvc27.exe
Status:
INFIZIERT/MALWARE (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Trojan.Click.280 gefunden
ClamAV
Adware.Urlspy-2 gefunden
Dr.Web
Trojan.Click.280 gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
not-a-virus:AdWare.UrlSpy.a gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Adware.UrlSpy gefunden
VBA32
AdWare.UrlSpy.a gefunden
Datei löschen?


Alt 11.08.2005, 15:56   #6
Wildone
 
Hijacker? - Standard

Hijacker?


Hallo,
gehe in den abgesicherten Modus(F8 beim booten), schalte die Systemwiederherstellung aus( im explorer rechtsklick auf Arbeitsplatz>>Erweitert>>Systemwiederherstellung, dort Haken bei "systemwiederherstellung deaktivieren reinmachen.
Dann folgende Dateien löschen:
C:\WINDOWS\system32\alrsvc27.exe
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
C:\WINDOWS\system32\Searchx.htm
Dann mit HijackThis folgende Einträge fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\system32\Searchx.htm
O4 - HKLM\..\Run: [fc79011b13db] C:\WINDOWS\system32\alrsvc27.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART

Dann wieder im normalen Modus erneut ein Logfile erstellen und posten.
Nicht vergessen die Systemwiederherstellung wieder zu aktivieren.

Grüße Wildone

Alt 11.08.2005, 16:52   #7
[-UFO-]Melkor
 
Hijacker? - Standard

Hijacker?


Dank auch an dich

Hier ist das LogFile:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 17:52:45, on 11.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.die-kreuzzuege.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Dokumente und Einstellungen\***\Desktop\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Dokumente und Einstellungen\***\Eigene Dateien\HA, etc\xy\Steam.exe -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: mIRC.lnk = C:\Program Files\mIRC\mirc.exe
O4 - Startup: trillian.lnk = C:\Dokumente und Einstellungen\***\Eigene Dateien\Trillian\trillian.exe
O4 - Global Startup: Mozilla Firefox.lnk = C:\Programme\Mozilla Firefox\firefox.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1616B76B-5B37-4E2C-A81E-B972A036092B}: NameServer = 192.168.1.1,217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{1616B76B-5B37-4E2C-A81E-B972A036092B}: NameServer = 192.168.1.1,217.237.151.225
O17 - HKLM\System\CS2\Services\Tcpip\..\{1616B76B-5B37-4E2C-A81E-B972A036092B}: NameServer = 192.168.1.1,217.237.151.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

Alt 11.08.2005, 17:03   #8
Wildone
 
Hijacker? - Standard

Hijacker?


Hallo,
sieht gut aus, noch als kleiner zusätzlicher Tipp, du solltest ergänzend zu Spybot auch mit Ad-Aware dein System ab und zu mal scannen. Und ansonsten halt immer dein System auf dem neusten Stand halten(gestern kamen wieder Updates von MS raus).


Grüße Wildone

Alt 11.08.2005, 17:18   #9
[-UFO-]Melkor
 
Hijacker? - Standard

Hijacker?


Ad-Aware ist installiert, WIndows upgedatet
Dank euch allen.

Mein Browser funzt zwar immer noch nicht so richtig, aber das bekomm ich auch noch irgendwie in den Griff. Viren weg ist Viren weg

Antwort

Themen zu Hijacker?
adobe, antivir, bho, dateien, desktop, dll, einstellungen, excel, hijack, hijackthis, icq, icqtoolbar, internet explorer, logfile, messenger, microsoft, mozilla firefox, msn messenger, namen, nicht gefunden, programme, rundll, seiten, software, system, system32, temporär, unter windows xp, windows, windows xp


« Trojaner macht sehr viel Unsinn! | Log-Auswertung? »


Ähnliche Themen: Hijacker?


  1. Hijacker deaktivier Taskmanager und Registry-Editor - Hijacker nicht entfernbar
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (2)
  2. Tr/Hijacker.Gen
    Log-Analyse und Auswertung - 01.05.2009 (1)
  3. HJT-Log - wo ist der Hijacker?
    Log-Analyse und Auswertung - 24.08.2005 (16)
  4. Hijacker?
    Log-Analyse und Auswertung - 31.03.2005 (1)
  5. Hijacker?? or
    Log-Analyse und Auswertung - 11.03.2005 (20)
  6. ATI isn Hijacker?
    Log-Analyse und Auswertung - 04.03.2005 (4)
  7. Ist das ein Hijacker ?
    Log-Analyse und Auswertung - 02.12.2004 (1)
  8. Hijacker auf PC
    Log-Analyse und Auswertung - 05.11.2004 (11)
  9. Hijacker?
    Log-Analyse und Auswertung - 30.10.2004 (10)
  10. need help -Hijacker
    Log-Analyse und Auswertung - 13.09.2004 (11)
  11. Hijacker
    Log-Analyse und Auswertung - 02.07.2004 (5)
  12. Hijacker
    Log-Analyse und Auswertung - 30.06.2004 (1)
  13. Hijacker?
    Log-Analyse und Auswertung - 29.06.2004 (2)
  14. Hijacker
    Log-Analyse und Auswertung - 28.06.2004 (1)
  15. Hijacker
    Log-Analyse und Auswertung - 27.06.2004 (3)
  16. Hijacker????
    Log-Analyse und Auswertung - 21.06.2004 (2)
  17. Hijacker ??
    Plagegeister aller Art und deren Bekämpfung - 10.09.2003 (33)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Hijacker? - Nachdem ich kürzlich aus einem schönen Urlaub zurückkam, gingen die Probleme gleich los: Mozilla reagierte auf viele Seiten nicht mehr ("Nachschlagen von xyz" => "xyz konnte nicht gefunden werden. Bitte - Hijacker?...
Archiv
Du betrachtest: Hijacker? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55