|
Plagegeister aller Art und deren Bekämpfung: hijack - logWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.05.2004, 15:30 | #1 |
| hijack - log Hi ich Wollt ma fragen ob in diesem Log irgendwelche böse sachen drin sin wenn ihr euch das mal anschauen könntet?.. Logfile of HijackThis v1.97.7 Scan saved at 16:28:21, on 12.05.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINDOWS\system32\ntvdm.exe C:\Programme\Overnet\overnet.exe C:\Programme\ICQLite\ICQLite.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE C:\Programme\Common files\WinTools\WToolsA.exe C:\Programme\Common files\WinTools\WSup.exe C:\Programme\Common files\WinTools\WToolsS.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50007 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50007 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50007 R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file) O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe" O4 - HKLM\..\Run: [WinTools] C:\Programme\Common files\WinTools\WToolsA.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{024A4A2D-C3DA-49BC-99F8-30D43C7D2084}: NameServer = 217.237.150.97 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{024A4A2D-C3DA-49BC-99F8-30D43C7D2084}: NameServer = 217.237.150.97 194.25.2.129 man was lang ... sorry |
12.05.2004, 15:40 | #2 |
hijack - log 'Böse' ist immer relativ.
__________________</font><blockquote>Zitat:</font><hr />Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) </font>[/QUOTE]Dein XP und auch dein InternetExplorer sind ziemlich veraltet. Windowsupdate solltest Du schnellstmöglich nachholen. Sind die Websearch- und Quicksearcheinträge gewollt?? Nachtrag: </font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe </font>[/QUOTE]Dieser Eintrag sieht gar nicht gut aus. Guckst Du hier: http://fr.trendmicro-europe.com/ente...WORM_AGOBOT.GY
__________________ |
12.05.2004, 17:48 | #3 |
| hijack - log oder auch hier http://www.sophos.de/virusinfo/analyses/w32rbota.html
__________________
__________________ |
12.05.2004, 20:08 | #4 |
| hijack - log </font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe </font>[/QUOTE]Dieser Eintrag ist auch nicht besser... |
14.05.2004, 19:19 | #5 |
| hijack - log Hallo, ich wollte nich extra einen neuen Thread aufmachen, deshalb "hefte ich mich mal hier an". Habe seit kurzem ein Problem mit einem Suchergebnis von Ad-Aware. Beim scannen findet das Programm einen "possible browser hijack attempt" der Kategorie "Malware", dessen Gefährdung als "Mittel" eingestuft wird. Zunächst dachte ich, es würde reichen, diesen Eintrag durch Ad-Aware entfernen zu lassen, aber er tritt bei jedem Neustart wieder auf. Beim Öffnen meines Browsers kam in den letzten Tagen trotz "abaout blank" als Startseite eine Seite vom MSN. Außerdem sind meine Einstellungen unter "Extras" / "Internetoptionen" / "Datenschutz" verändert, wenn ich meinen Rechner neu starte. Ich habe daraufhin HijackThis installiert und scannen lassen. Da ich in Sachen Computer nicht en detail Ahnung habe, hoffe ich, dass ihr mir hier helfen könnt. Ich hänge einfach mal das hijack log-file an, vielleicht reicht das ja schon aus, um mein Problem zu beheben. Vielen DANK im Voraus. mfG AirKnee Logfile of HijackThis v1.97.7 Scan saved at 20:04:50, on 14.05.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\WINNT\System32\svchost.exe C:\Programme\Atguard\iamserv.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\devldr32.exe C:\WINNT\System32\rmctrl.exe C:\PROGRA~1\Atguard\iamapp.exe C:\Programme\Grisoft\AVG6\avgcc32.exe C:\Programme\ICQPlus\vplus.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe C:\Programme\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe C:\Dokumente und Einstellungen\Ds\Desktop\HijackThis.exe C:\Programme\SlimBrowser\sbrowser.exe C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir..._PVER}&ar=home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.1 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\System32\rmctrl.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe O4 - HKLM\..\Run: [AVG_CC] C:\Programme\Grisoft\AVG6\avgcc32.exe /startup O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe" O4 - Global Startup: BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: PCSuiteForNokia6600 Detect.lnk = C:\Programme\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe O4 - Global Startup: PCSuiteForNokia6600 TS.lnk = C:\Programme\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: MP3 (HKLM) O9 - Extra 'Tools' menuitem: &WinMp3Locator (HKLM) O9 - Extra button: Files (HKLM) O9 - Extra 'Tools' menuitem: &FileLocator (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Translate (HKLM) O9 - Extra 'Tools' menuitem: Translator (HKLM) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01dad4cd...dxIE601_de.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab |
27.05.2004, 20:03 | #6 |
| hijack - log Hi Ich glaub ich habe ein ähnliches Problem. Währ' nett wenn ihr euch mal mein logfile angucken würdet: Logfile of HijackThis v1.97.7 Scan saved at 14:18:18, on 26.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\svchost.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\WINDOWS\dhbrwsr.exe C:\WINDOWS\TimeSynchronize.exe C:\windows\msbb.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\ezula\mmod.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE C:\Programme\Ulead Photo Express 3.0 SE\CalCheck.exe C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe C:\Programme\Common files\WinTools\WSup.exe C:\WINDOWS\dhsvr.exe C:\Programme\Common files\WinTools\WToolsA.exe C:\Dokumente und Einstellungen\Administrator\Desktop\VX2Finder.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hkcu R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default-homepage-network.com/start.cgi?new-hklm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hklm R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Programme\TV Media\TvmBho.dll R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file) O2 - BHO: IE Agent - {00000000-0000-0000-0000-000000000221} - C:\PROGRA~1\Lycos\IEagent\CSIE.DLL O2 - BHO: (no name) - {00000762-3965-4A1A-98CE-3D4BF457D4C8} - C:\Programme\Lycos\Sidesearch\sidesearch1400.dll O2 - BHO: (no name) - {00A0A40C-F432-4C59-BA11-B25D142C7AB7} - C:\WINDOWS\System32\mskceo.dll O2 - BHO: (no name) - {0982868C-47F0-4EFB-A664-C7B0B1015808} - C:\WINDOWS\System32\mskhhe.dll O2 - BHO: (no name) - {0BA1C6EB-D062-4E37-9DB5-B07743276324} - C:\WINDOWS\System32\msdaim.dll O2 - BHO: (no name) - {25F7FA20-3FC3-11D7-B487-00D05990014C} - C:\WINDOWS\System32\mskpkc.dll O2 - BHO: (no name) - {447160CD-ECF5-4EA2-8A8A-1F70CA363F85} - C:\WINDOWS\System32\msibkd.dll O2 - BHO: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Programme\TV Media\TvmBho.dll O2 - BHO: (no name) - {94927A13-4AAA-476A-989D-392456427688} - C:\WINDOWS\System32\msjfbl.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {CC916B4B-BE44-4026-A19D-8C74BBD23361} - C:\WINDOWS\System32\msedah.dll O2 - BHO: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - C:\WINDOWS\dealhlpr.dll O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDBE1C6D37EB} - C:\WINDOWS\System32\msnkmi.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Band Class - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - C:\WINDOWS\dealhlpr.dll O3 - Toolbar: zSearch Bar - {5886A6DC-AAF4-45E9-979A-8E5E6DEE30E7} - C:\Programme\zSearch\zSearch.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [DealHelperUpdate] C:\WINDOWS\DHUpdt.exe O4 - HKLM\..\Run: [DealHelperBrwsr] C:\WINDOWS\dhbrwsr.exe O4 - HKLM\..\Run: [TimeSyncApp] C:\WINDOWS\TimeSynchronize.exe O4 - HKLM\..\Run: [msbb] c:\windows\msbb.exe O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe O4 - HKLM\..\Run: [zSearch] C:\Programme\zSearch\Zstb.exe O4 - HKLM\..\Run: [Srng] C:\Programme\Srng\Srng.exe O4 - HKLM\..\Run: [wdskctl] C:\WINDOWS\wdskctl.exe O4 - HKLM\..\Run: [gxyv] C:\WINDOWS\gxyv.exe O4 - HKLM\..\Run: [WinTools] C:\Programme\Common files\WinTools\WToolsA.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe O4 - HKCU\..\Run: [zSearch] C:\Programme\zSearch\Zstb.exe O4 - Startup: CAPIControl.lnk = ? O4 - Startup: HomeNet Control.lnk = ? O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Photo Express 3.0 SE\CalCheck.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Sidesearch (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://billing.goa.com/swflash.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx |
Themen zu hijack - log |
administrator, avg, bho, button, desktop, einstellungen, explorer, frage, hijack, hijackthis, internet, internet explorer, log, messenger, microsoft, nvcpl.dll, object, programme, rundll, rundll32.exe, shockwave, software, system, system32, t-online, tcpip, update, urlsearchhook, windows, windows xp |