Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: hijacker ?wie los werden ?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 19.09.2005, 10:39   #1
tatie
 
hijacker ?wie los werden ? - Standard

hijacker ?wie los werden ?



bitte um hilfe, kenne mich nicht gerade bestens aus.
auf dem computers des sohnes, sind womöglich drei hijacker...

hier der logfile:
ogfile of HijackThis v1.99.1
Scan saved at 11:34:13, on 19.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\gttw\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199[1].zip\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\gttw\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis_199[1].zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: 69.13.186.47 banking.postbank.de
O1 - Hosts: 69.13.186.47 onlineid.bankofamerica.com
O1 - Hosts: 69.13.186.47 meine.deutsche-bank.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Service Process] C:\WINDOWS\system32\config\service.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [McDial] C:\WINDOWS\ArchivioCelebrità.exe /silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: DT 11Mbps WLAN USB Station.lnk = C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - h**s://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - h**p://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - h**p://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe


was und WIE soll ich löschen ??

danke!

[edit]
links entfernt
[/edit]

Geändert von GUA (19.09.2005 um 15:35 Uhr)

Alt 19.09.2005, 11:02   #2
stupormundi
 
hijacker ?wie los werden ? - Standard

hijacker ?wie los werden ?



bonjour tatie!

Lass mal die beiden Dateien
Zitat:
O4 - HKLM\..\Run: [Service Process] C:\WINDOWS\system32\config\service.exe
....
O4 - HKCU\..\Run: [McDial] C:\WINDOWS\ArchivioCelebrità.exe /silent
bei Jotti http://virusscan.jotti.org/de/ checken und poste das Ergebnis (kein Angst, Jotti ist einfach zu bedienen: einfach im Eingabefeld browsen und die Dateipfade suchen/eingeben)
Der erste zitierte Eintrag ist möglicherweise der hier http://www.sophos.com/virusinfo/anal...ojdcmbotc.html
und der zweite klingt nach einem Dialer - Dein Log sieht in der Tat sehr verseucht aus!
Bis später, stupormundi
__________________


Alt 19.09.2005, 11:02   #3
cacatoa
 
hijacker ?wie los werden ? - Standard

hijacker ?wie los werden ?



Hi,
also, die folgenden mal im abgesicherten Modus fixen:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = local.,
O1 - Hosts: 69.13.186.47 banking.postbank.de
O1 - Hosts: 69.13.186.47 onlineid.bankofamerica.com
O1 - Hosts: 69.13.186.47 meine.deutsche-bank.de
O4 - HKLM\..\Run: [Service Process] C:\WINDOWS\system32\config\service.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm

Dann manuell löschen:
C:\WINDOWS\system32\config\service.exe
C:\APPS\IE\offline\ger.htm
Dann neues Logfile posten.
Interessant wären auch die Ergebnisse von eScan
Bitte genau nach Anleitung durchführen und ebenfalls Ergebnisse posten.
cacatoa
edit: servus stupormundi, die:
O4 - HKCU\..\Run: [McDial] C:\WINDOWS\ArchivioCelebrità.exe /silent
hab ich vergessen reinzuschreiben. Danke
__________________
__________________

Alt 19.09.2005, 11:16   #4
tatie
 
hijacker ?wie los werden ? - Standard

hijacker ?wie los werden ?



uff
vorerst danke...
lasse soeben den spyware doctor noch drüber laufen....
danach gehe ich auf euere vorschläge ein...
bzw. erst muss ich valium reinwerfen, bevor ich den sohn umbringe

melde mich dann

Alt 19.09.2005, 11:20   #5
cacatoa
 
hijacker ?wie los werden ? - Standard

hijacker ?wie los werden ?



SpywareDoctor wird Dir in dem Fall nur sehr begrenzt helfen...
Also, mach so, wei wir dir gesagt haben, das ist effizienter.
cacatoa

__________________
Der Mensch sollte eine Hundeseele haben

Alt 19.09.2005, 11:21   #6
stupormundi
 
hijacker ?wie los werden ? - Standard

hijacker ?wie los werden ?



Nur ruhig mit den jungen Pferden
Zitat:
...bevor ich den sohn umbringe
bestenfalls die zweitbeste Lösung - verhindert möglicherweise in Zukunft Neuinfektionen, löst aber nicht Dein aktuelles Problem. Bitte lass´ auf jeden Fall die von mir zitierten Dateien zuvor bei Jotti checken, bevor Du sie löscht. Wenn sich meine Vermutung bestätigt, hast Du möglocherweise ein böses Problem, welches sich mit bloßer Entfernung der Schädlinge nicht lösen lässt!
Cu, stupormundi

Alt 19.09.2005, 11:41   #7
cacatoa
 
hijacker ?wie los werden ? - Standard

hijacker ?wie los werden ?



@ stupormundi:
könnte durchaus sein, daß du den hier meinst, oder.
Sollte das der Fall sein, dann hab ich vorhin nachlässig gearbeitet was die "service.exe" angeht.
Na, ja. Mal abwarten.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 19.09.2005, 11:57   #8
tatie
 
hijacker ?wie los werden ? - Standard

hijacker ?wie los werden ?



lustig lustig tralalala:
Zitat:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file
hatte kurzzeitig die firewall runtergefahrfen - aber es kam nur die o.a. ansage..

Alt 19.09.2005, 12:01   #9
stupormundi
 
hijacker ?wie los werden ? - Standard

hijacker ?wie los werden ?



Hallo, tatie!

Ja, das kommt vor ...
Kommt die Meldung bei beiden?
Probier mal was anderes: Kopier die Dateien, benenn´ die Kopien um und probier es damit!
@cacatoa: Ja, auf den hätt´ ich getippt!
stupormundi

Alt 19.09.2005, 12:15   #10
tatie
 
hijacker ?wie los werden ? - Standard

hijacker ?wie los werden ?



Zitat:
Zitat von stupormundi
Hallo, tatie!

Ja, das kommt vor ...
Kommt die Meldung bei beiden?
Probier mal was anderes: Kopier die Dateien, benenn´ die Kopien um und probier es damit!
@cacatoa: Ja, auf den hätt´ ich getippt!
stupormundi
ja es kommt bei beiden

von wegen "kopier die dateien, bennenn' die kopien um und probier es damit"
ähem......anleitung für blöde bitte !! bin wohl wirklich blond
2/abgesicherte modus - heißt F8 oder wie ???

der spy doctor hat wohl das EINEN programm gelöscht.....
neuerste stand nachdem ich einiges an cookies und temporärem müll weggetan habe:


Logfile of HijackThis v1.99.1
Scan saved at 13:08:05, on 19.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\gttw\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: 69.13.186.47 banking.postbank.de
O1 - Hosts: 69.13.186.47 meine.deutsche-bank.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Service Process] C:\WINDOWS\system32\config\service.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [McDial] C:\WINDOWS\ArchivioCelebrità.exe /silent
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: DT 11Mbps WLAN USB Station.lnk = C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?Link...04&clcid=0x409
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

P.S.
dialer gehen bei uns wohl eh nicht, weil mein sohn über WLAN reingeht....und deswegen keine nummer angewählt werden kann ???????

bitte geduld mit mir.....kenne mich wirklich nicht so gut aus

Alt 19.09.2005, 12:26   #11
stupormundi
 
hijacker ?wie los werden ? - Standard

hijacker ?wie los werden ?



Hallo, tatie!

Zitat:
von wegen "kopier die dateien, bennenn' die kopien um und probier es damit"
Im Windows-Explorer Datei
Zitat:
C:\WINDOWS\system32\config\service.exe
suchen mit der rechten Maustaste anklicken --> kopieren -->in ein anderes Verzeichnis browsen, rechte Maustaste --> einfügen, wieder rechte Maustaste --> umbenennen auf zB:C:\WINDOWS\system32\config\service.ex1
OK drücken und damit bei Jotti versuchen - wir brauchen in jedem Fall für diese Datei ein Ergebnis!
Zitat:
abgesicherte modus - heißt F8 oder wie ???
- Ja
Zitat:
dialer gehen bei uns wohl eh nicht, weil mein sohn über WLAN reingeht....und deswegen keine nummer angewählt werden kann ???????
Grau ist alle Theorie - dialer sind nur dann kein Problem, wenn ausschließlich ein DSL Anschluss besteht.
btw. Ich hoffe, euer wlan ist ordentlich gesichert!

Bis später, stupormundi

Alt 19.09.2005, 12:35   #12
stupormundi
 
hijacker ?wie los werden ? - Standard

hijacker ?wie los werden ?



@ tatie: Falls Du im Windows Explorer die Datei nicht findest, stelle sicher, dass alle Dateien (Systemdateien) angezeigt werden.
Im Explorer auf Menüpunkt "Extras" --> Ordneroptionen --> Karteireiter "Ansicht" und folgende Einträge beachten: "Geschützte Systemdateien ausblenden (empfohlen)" Häkchen entfernen und "Inhalte von Systemordnern anzeigen" anhaken!
Bis denn, stupormundi

Alt 19.09.2005, 12:56   #13
tatie
 
hijacker ?wie los werden ? - Standard

hijacker ?wie los werden ?



Zitat:
Zitat von stupormundi
Hallo, tatie!

Im Windows-Explorer Datei suchen mit der rechten Maustaste anklicken --> kopieren -->in ein anderes Verzeichnis browsen, rechte Maustaste --> einfügen, wieder rechte Maustaste --> umbenennen auf zB:C:\WINDOWS\system32\config\service.ex1
OK drücken und damit bei Jotti versuchen - wir brauchen in jedem Fall für diese Datei ein Ergebnis!
- Ja
Grau ist alle Theorie - dialer sind nur dann kein Problem, wenn ausschließlich ein DSL Anschluss besteht.
btw. Ich hoffe, euer wlan ist ordentlich gesichert!

Bis später, stupormundi
ich kann die datei nicht finden !!! (windows suche nicht, über manuell auch nicht...!!)
muss jetzt dringend weg, bin nach 20 uhr wieder da.


danke - bis später---

Alt 19.09.2005, 20:02   #14
tatie
 
hijacker ?wie los werden ? - Standard

hijacker ?wie los werden ?



so einiges habe ich weg....

nur dieser komischer eintrag mit..... /config/service.exe, finde ich einfach nicht..

sollte ich es einfach ungeprüft durch den HijackThis fixen lassen ?

neueste file:

ogfile of HijackThis v1.99.1
Scan saved at 20:50:28, on 19.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\DOKUME~1\gttw\LOKALE~1\Temp\Temporäres Verzeichnis 6 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bi...e=6&key=SEARCH
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Service Process] C:\WINDOWS\system32\config\service.exe GRRRRRRRRRRRRRRR

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u <-------was könnte dies sein ??

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: DT 11Mbps WLAN USB Station.lnk = C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?Link...04&clcid=0x409
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

bin heute die nase voll, melde mich morgen im laufe des vormittags
danke für die hilfe an euch beiden !!!!!

Alt 19.09.2005, 20:20   #15
cacatoa
 
hijacker ?wie los werden ? - Standard

hijacker ?wie los werden ?



Hast du die Einstellungen, wie von stupormundi beschrieben, vorgenommen?
Die Datei ist aber evtl. auch weg, denn ein registry-Eintrag kann auch noch da sein, wenn das Ding selbst weg ist.
Lade dir mal Regseeker runter und bereinige die Registry.
Dann poste noch mal.
Und hier findest du was dazu: O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
Wie wär´s mal mit Tante google?
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Antwort

Themen zu hijacker ?wie los werden ?
adobe, antivir, bho, bitte um hilfe, bonjour, dateien, ebay, explorer, hijackthis, homepage, icqtoolbar, internet, internet explorer, logfile, löschen, messenger, microsoft, programme, server, software, system, temp, unknown file in winsock lsp, urlsearchhook, usb, windows, windows xp, wlan




Ähnliche Themen: hijacker ?wie los werden ?


  1. Festplatte soll Formatiert werden bevor sie verwendet werden kann
    Alles rund um Windows - 28.05.2014 (3)
  2. Windows 7: Webseiten werden auf Werbung umgeleite und neue werden autom. erstellt
    Log-Analyse und Auswertung - 27.05.2014 (12)
  3. Windows 7, Firefox-Browser: Spyware/Trojaner/Hijacker können trotz Anti-Malware und Adwcleaner nicht entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 27.02.2014 (13)
  4. Dateien werden sofort gelöscht ohne im Papierkorb zwischengespeichert zu werden
    Log-Analyse und Auswertung - 26.03.2013 (12)
  5. Hijacker - Suchseitenergebnisse werden auf Werbeseiten umgeleitet
    Log-Analyse und Auswertung - 25.11.2011 (1)
  6. Computer spielt Verrückt Tasten werden ohne gedrückt zu werden ausgelöst
    Plagegeister aller Art und deren Bekämpfung - 20.09.2011 (11)
  7. Dringend! Google Links werden umgeleitet - OTL & GMER werden von Virus beendet
    Plagegeister aller Art und deren Bekämpfung - 25.07.2011 (1)
  8. Google Suchergebnisse werden weiter geleitet Windows 7 Firewall kann nicht mehr aktiviert werden
    Log-Analyse und Auswertung - 15.07.2011 (19)
  9. Falsche Internet Seiten werden geladen, Schlechte Performence, USB Sticks werden nicht erkannt
    Log-Analyse und Auswertung - 08.04.2011 (19)
  10. Hijacker deaktivier Taskmanager und Registry-Editor - Hijacker nicht entfernbar
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (2)
  11. Tr/Hijacker.Gen
    Log-Analyse und Auswertung - 01.05.2009 (1)
  12. Hijacker
    Log-Analyse und Auswertung - 01.02.2009 (0)
  13. Werden meinen Hijacker nicht los. Bitte um Hilfe.
    Alles rund um Windows - 10.01.2006 (1)
  14. antivir,firewall, werden brechen ab bzw können nicht installiert werden!!
    Antiviren-, Firewall- und andere Schutzprogramme - 01.06.2005 (13)
  15. Hijacker?
    Log-Analyse und Auswertung - 31.03.2005 (1)
  16. Hijacker
    Log-Analyse und Auswertung - 22.03.2005 (12)
  17. Browser-Hijacker kann nicht gelöscht werden.
    Log-Analyse und Auswertung - 25.11.2004 (2)

Zum Thema hijacker ?wie los werden ? - bitte um hilfe, kenne mich nicht gerade bestens aus. auf dem computers des sohnes, sind womöglich drei hijacker... hier der logfile: ogfile of HijackThis v1.99.1 Scan saved at 11:34:13, on - hijacker ?wie los werden ?...
Archiv
Du betrachtest: hijacker ?wie los werden ? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.