Hi!
Seit heute mittag hab ich auf meinem System sehr wahrscheinlich einen Hijacker sitzen.... mein Mozilla Firefox explorer öffnet sich zT. von alleine und verlinkt mich auf irgendwelche Seiten wie z.B.: http://www.roboraptoronline.com/
außerdem werde ich auf diese Seiten auch während des normalen Browser Betriebs verlinkt... ich habe schon Ad-Aware Spybot usw durchlaufen lassen die haben jedoch alle nicht das Problem beheben können...
Mein OS: Windows XP Professionell mit SP1

hier noch mein Hijack log:


Logfile of HijackThis v1.99.1
Scan saved at 18:20:34, on 02.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TVgenial\TVgenial.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Winamp\winamp.exe
C:\Dokumente und Einstellungen\JanZ\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - Global Startup: D-Link AirPlus.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ5Lite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ5Lite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C65E0DB-1F3D-4A33-8576-7E8613BF27B6}: NameServer = 194.25.2.130,194.25.2.131
O17 - HKLM\System\CS1\Services\Tcpip\..\{1C65E0DB-1F3D-4A33-8576-7E8613BF27B6}: NameServer = 194.25.2.130,194.25.2.131
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\enl8l13u1.dll
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

bitte um Hilfe da bei mir die normalen Programme nichts gebracht haben... mfg zip

Im Log kann ich nichts schlechtes erkennen. Mache deshalb einen escan genau nach Anleitung und poste das mit der find.bat erzeugte Log. Halte dich genau an die Anleitung:

http://www.trojaner-board.de/showthread.php?t=17492

Hallo,

Zitat:

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\enl8l13u1.dll

dasdeutet auf Look2Me hin.

Führe deshalb davon die erste Option aus und poste das Log. Ansonsten noch nichts machen.

Zitat:

Zitat von Haui45

dasdeutet auf Look2Me hin.

Mich würde mal ernsthaft interessieren, wie und auf welcher Art von Seiten man sich den einfängt?

Gruß
Yopie

Hallo,
würde mich auch mal interessieren, gerade weil es sowohl Firefox als auch den IE betrifft. Oder verbreitet er sich doch per P2P oder Anhängsel von irgendwelchen fragwürdigen Programmen?

P.S.
Eigentlich sollten da ja auch die Firewalls Alarm schlagen, immerhin ist es eine ungewollte Verbindung zu w*w.ad-w-a-r-e.com, auch ohne das ein Browser geöffnet ist.

Grüße Wildone

also es war ein look2me hab das hier im board schonmal gefunden un habs nach der anleitung beseitigt scheint bis jetzt komplett entfernet zu sein falls es doch wieder auftaucht meld ich mich wieder! danke für die hilfe! mfg zip

Hallo,
dann doch gleich mal die Frage an dich, hast du einen Verdacht wo du dir das eingefangen haben könntest. Bist du ab und an mal auf, sagen wir mal, fragwürdigen Seiten unterwegs?


Grüße Wildone