Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hijacking Verdacht - PC immer noch nicht clean

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Alt 29.05.2007, 16:50   #1
Xexano
 
Hijacking Verdacht - PC immer noch nicht clean - Standard

Hijacking Verdacht - PC immer noch nicht clean



Hallo,

wie der Titel schon sagt, vermute ich bei meinem PC, dass ein Hijacking-Vorfall vorliegt, der zusätzlich mit möglichen Trojaner u.ä. gekommen ist. Der Verdacht liegt deswegen nahe, weil meine beiden Browser (Firefox und IE 7, besonders das kaum genutzte IE 7) sich ungewollt öffnen und mich auf irgendwelche Seiten hijacken oder bestimmte Active-X-Elemente herunterladen wollen. Die Antiviren-Software "eTrust", die ich beim Kauf des PCs mit dazu erworben hatte, konnte trotz Updates nichts finden (hier ist aber natürlich die Frage: Ist dieses Antiviren-Programm überhaupt zuverlässig?).
Um das System weiter zu cleanen habe ich anschließend diese Softwaren drüberlaufen lassen:

AdAware (mehrere Cookies gelöscht), anschließend zur Sicherheit dann mal a-squared Anti-Dialer und a-squared Free heruntergeladen und benutzt: Soweit keine Dialer, a-squared Free konnte wieder einige korrupte oder unsichere Dateien finden (jedoch meistens auch nur Cookies). Das Hijacking ging anschließend etwas zurück, jedoch noch nicht ganz.

Deswegen griff ich dann (nach einiger Suche) zu Spybot- Search&Destroy zurück. Das Programm ist echt nicht schlecht, es hat einige Malware gefunden (tlw. sogar bösartige: Smitfraud etc.).

Mit dem Ergebniss bin ich jedoch immer noch nicht zufrieden. Es gibt vereinzelt wieder Hijacking-Übergriffe und Spybot hatte ungewohnt schnell wieder viele Tracker/Cookies gefunden. Ich habe auch den Immunitätswall von Spybot aktiviert, doch kommen manche Hijacking-Übergriffe durch.

Ich hoffe, dass jemand mir weiterhelfen kann. eScan habe ich noch nicht ausprobiert, da ich die Befürchtung habe, dass ich da etwas falsch machen könnte (ich bin zwar kein PC-Noob, aber auch kein Uberprofi). Besonders liegt da dann meine Befürchtung, dass ich etwas zuviel lösche, als notwendig (wie ich im Forum gelesen habe, ist es scheinbar häufiger der Fall)

Hier mal ein HijackThis-Log von mir:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:51:19, on 29.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\system32\Prismsta.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\a-squared Anti-Dialer\a2adguard.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Meine empfangenen Dateien\HiJackThis_v2.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {28656011-EF95-4DD2-B771-67FC77712F07} - C:\WINDOWS\system32\bcfcwlmp.dll (file missing)
O2 - BHO: (no name) - {4B646AFB-9341-4330-8FD1-C32485AEE619} - C:\WINDOWS\system32\kcftefdr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {8071E65A-3F56-4426-8372-8667CD213057} - C:\WINDOWS\system32\fccdeef.dll
O2 - BHO: (no name) - {AB230EF4-41AF-4D18-B865-A33CFC430F23} - C:\WINDOWS\system32\sstqn.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - h**p://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - h**p://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h*+p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161181975062
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: fccdeef - C:\WINDOWS\SYSTEM32\fccdeef.dll
O20 - Winlogon Notify: sstqn - C:\WINDOWS\system32\sstqn.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 10169 bytes

-------


Da fällt mir auch auf, dass einige File-missed-Einträge vorkommen. Was kann ich dagegen machen? (Soll ich etwas dagegen machen?)

Und: Wie kann man diese Aldi-Medion (ja, ich habe ein Medionpc) Links entfernen? Das ist doch nur eh Spam!


Sorgen mache ich mir auch über mögliche Rootkits (okay, ich leide so langsam unter Paranoia, aber es hat mit im Moment übel erwischt, vorhin war das System relativ clean und unproblemmatisch(Cookies u.ä. leider nicht verhinderbar)). Welchen Rootkit-Scanner kann man mir da empfehlen? (F-Secure Rootkit oder so ähnlich genannt?) Oder wie kann ich das System auf Rootkits überprüfugen? Ich habe keine Lust, hinterher vom BKA Ärger zu bekommen, weil ich irgendwelche illegale Seiten ungewollt gehostet hätte...

Schon mal vielen Dank im Voraus für mögliche Tipps!

Ciao
Xexano

 

Themen zu Hijacking Verdacht - PC immer noch nicht clean
antiviren-programm, antivirus, bho, browser, browseui preloader, canon, computer, drivers, einstellungen, entfernen, f-secure, firefox, frage, fraud, helper, hkus\s-1-5-18, home, hotspot, internet, internet explorer, langsam, malware, malware gefunden, mehrere, monitor, object, rundll, s-1-5-18, shockwave, sicherheit, smitfraud, spam, system, trend micro, trojaner, träge, updates, vielen dank, windows, windows xp, windows\system32\drivers




Ähnliche Themen: Hijacking Verdacht - PC immer noch nicht clean


  1. Win7: Verdacht auf Hijacking, dubiose Nutzereinträge
    Log-Analyse und Auswertung - 12.05.2015 (24)
  2. NOSCRIPT bei Firefox immer noch zu empfehlen? oder nicht nötig!
    Alles rund um Windows - 19.10.2014 (1)
  3. Win 8:kann MSI Installer nicht löschen-immer noch snapdo a?
    Plagegeister aller Art und deren Bekämpfung - 17.04.2014 (4)
  4. Ist mein PC noch verseucht oder bin ich clean?
    Log-Analyse und Auswertung - 16.05.2013 (1)
  5. searchnu/searchqu immer noch nicht entfernt
    Plagegeister aller Art und deren Bekämpfung - 12.09.2012 (7)
  6. Verdacht auf Trojaner, noch nicht bekämpft
    Plagegeister aller Art und deren Bekämpfung - 29.04.2011 (3)
  7. PC Spiele laufen nach Formatierung immer noch nicht flüssig
    Log-Analyse und Auswertung - 18.08.2010 (0)
  8. WOW gehackt worden. Bin ich jetzt clean oder immer noch Kelogger ?
    Log-Analyse und Auswertung - 03.02.2010 (0)
  9. PC geht nur noch im Abgesicherten (und das auch nicht immer...)
    Plagegeister aller Art und deren Bekämpfung - 19.12.2009 (1)
  10. Trojaner nach low level Format immer noch nicht weg!
    Plagegeister aller Art und deren Bekämpfung - 13.07.2008 (22)
  11. clean oder nicht-clean????
    Log-Analyse und Auswertung - 17.09.2007 (5)
  12. System noch clean?
    Log-Analyse und Auswertung - 12.09.2007 (1)
  13. Immer noch nicht sauber
    Plagegeister aller Art und deren Bekämpfung - 06.07.2006 (3)
  14. hilfe!!!!!!!! win xp startet immer noch nicht
    Alles rund um Windows - 14.09.2005 (2)
  15. Spyware / Hijacking wird immer massiver
    Log-Analyse und Auswertung - 23.04.2005 (4)
  16. biiiiiitte noch zwei, dann bin ich clean
    Plagegeister aller Art und deren Bekämpfung - 09.08.2004 (6)
  17. danke für die hilfe, aber immer noch nicht alles okay.
    Log-Analyse und Auswertung - 26.07.2004 (4)

Zum Thema Hijacking Verdacht - PC immer noch nicht clean - Hallo, wie der Titel schon sagt, vermute ich bei meinem PC, dass ein Hijacking-Vorfall vorliegt, der zusätzlich mit möglichen Trojaner u.ä. gekommen ist. Der Verdacht liegt deswegen nahe, weil meine - Hijacking Verdacht - PC immer noch nicht clean...
Archiv
Du betrachtest: Hijacking Verdacht - PC immer noch nicht clean auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.