|
Log-Analyse und Auswertung: IE Weiterleitung / Pipas.A / logfileWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
25.04.2006, 14:59 | #1 |
| IE Weiterleitung / Pipas.A / logfile hallo zusammen, mein IE , aber seit kurzem auch firefox werden sinnlos weitergeleitet. Könnte sich bitte einmal jemand diese logfile ansehen. Darüber hinaus meldet spyboot SD pipas.A. Danke im Vorraus: Logfile of HijackThis v1.99.1 Scan saved at 15:12:00, on 25.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\FreePDF\FreePDFA.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe C:\WINDOWS\system32\igfxtray.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\igfxpers.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\msiexec.exe C:\DOKUME~1\B****\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [SetRefresh] C:\Programme\Compaq\SetRefresh\SetRefresh.exe O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [dmnxl.exe] C:\WINDOWS\system32\dmnxl.exe O4 - HKLM\..\Run: [dmxeb.exe] C:\WINDOWS\system32\dmxeb.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all02.kundenserver.de/app/static/activex/msxml4.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - h**p://www.hellascams.gr/activex2120_243/AxisCamControl.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{45AB9EC7-5704-4184-BAE1-815768A15E94}: NameServer = 85.255.115.6,85.255.112.20 O17 - HKLM\System\CCS\Services\Tcpip\..\{FFDCAE0B-0BDF-4792-8277-2280F9ACC992}: NameServer = 85.255.115.6,85.255.112.20 O17 - HKLM\System\CS1\Services\Tcpip\..\{45AB9EC7-5704-4184-BAE1-815768A15E94}: NameServer = 85.255.115.6,85.255.112.20 O17 - HKLM\System\CS2\Services\Tcpip\..\{45AB9EC7-5704-4184-BAE1-815768A15E94}: NameServer = 192.168.120.252,192.168.120.253 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Advanced Registry Doctor\RegManServ.exe (file missing) Geändert von ficb (25.04.2006 um 15:06 Uhr) |
25.04.2006, 15:08 | #2 |
/// Helfer-Team | IE Weiterleitung / Pipas.A / logfile Dein Provider sitzt in der Ukraine. Das hat was.
__________________Das kann sich nicht jeder leisten. Überprüfe Dein System mit escan, anschließend mit blacklight und Rootkitrevealer. Poste die Ergebnisse. Ich denke, Du kannst Dich mit einer Neuinstallation anfreunden.
__________________ |
25.04.2006, 15:17 | #3 |
| IE Weiterleitung / Pipas.A / logfile blacklight ist negativ - hab ich schon gemacht...
__________________escan kommt gleich ukraine ??? wieso ???? |
25.04.2006, 15:49 | #4 |
| IE Weiterleitung / Pipas.A / logfile escan: Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "clientman Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Auszug: ue Apr 25 16:50:33 2006 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems ***** Tue Apr 25 16:50:33 2006 => Loading Spyware Signatures from new External Database (Size: 156952). Tue Apr 25 16:50:33 2006 => Indexed Spyware Databases Successfully Created... Tue Apr 25 16:50:36 2006 => Offending file found: C:\DOKUME~1\B**d\LOKALE~1\Temp\cmdlineext02.dll Tue Apr 25 16:50:36 2006 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen. Tue Apr 25 16:50:38 2006 => Offending file found: C:\Dokumente und Einstellungen\B**d\Lokale Einstellungen\temp\cmdlineext02.dll Tue Apr 25 16:50:38 2006 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen. Tue Apr 25 16:50:38 2006 => Offending file found: C:\Dokumente und Einstellungen\B**d\Lokale Einstellungen\temp\outlook logging\firstrun.log Tue Apr 25 16:50:38 2006 => System found infected with clientman Spyware/Adware (firstrun.log)! Action taken: Keine Aktion vorgenommen. Geändert von ficb (25.04.2006 um 16:00 Uhr) |
25.04.2006, 16:06 | #5 |
/// Helfer-Team | IE Weiterleitung / Pipas.A / logfile Log Nr. 3 fehlt noch sowie das richtige Ergebnis des Escan. Nämlich die mit der find.bat von haui45 erstellte Datei.
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
25.04.2006, 16:11 | #6 |
| IE Weiterleitung / Pipas.A / logfile hab keine find.bat da isse: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Geändert von ficb (25.04.2006 um 16:43 Uhr) |
25.04.2006, 16:15 | #7 |
/// Helfer-Team | IE Weiterleitung / Pipas.A / logfile Wenn Du die Cidres Anleitung zum Escan richtig gelesen hättest, würdest Du jetzt nicht fragen. Also Anleitung bis zum Ende lesen! Und danach handeln!
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
25.04.2006, 16:45 | #8 |
| IE Weiterleitung / Pipas.A / logfile leider kann ich die logfile von rootkit nicht posten, sie ist zu groß - habe ich schon wieder was nicht gelesen - oder bin ich zu doof? |
25.04.2006, 16:53 | #9 |
/// Helfer-Team | IE Weiterleitung / Pipas.A / logfile Du hast den Escan nicht richtig gemacht!
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
25.04.2006, 16:55 | #10 |
| IE Weiterleitung / Pipas.A / logfile Ich hab´s aber genau so gemacht wie von Cidre beschrieben... ... mache es aber gerne nochmal - wenns weiterhilft ... Wieso Ukraine???? |
25.04.2006, 18:14 | #11 |
| IE Weiterleitung / Pipas.A / logfile Weil du nun wohl über einen Server in den Ukraine surfst (host-datei?). Hör auf felix1 und mach das was er sagt mfg, Markus. |
Themen zu IE Weiterleitung / Pipas.A / logfile |
adobe, adobe reader, alert, antispyware, bho, computer, dateien, document, excel, explorer, firefox, fritz!, hijack, hijackthis, internet, internet explorer, kaspersky, logfile, messenger, microsoft, programme, refresh, registry, software, system, temp, weiterleitung, windows, windows xp |