|
Log-Analyse und Auswertung: neue lösung für altes problem mit hijacker??Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
21.06.2004, 13:38 | #1 |
| neue lösung für altes problem mit hijacker?? [img]graemlins/balla.gif[/img] [img]graemlins/balla.gif[/img] [img]graemlins/balla.gif[/img] [img]graemlins/balla.gif[/img] hallo leute ! ich weiß, ihr hab t das problem schon 1000 mal behandelt, und alles wissenswerte darüber gepostet- leider hab ich für mein problem keine lösung gefunden ! ich habe irgendeinen hijacker und werde ihn nicht los, falls mir jemand einen rat erteilen kann, dann bitte ich höflichst darum!! wenn ich die R1-R0,O2 lösche, tut sich nichts! der virenscan mit symantec im abgesicherten modus ergibt auch nichts! SpHjfix klappt, nur nach 2-3 neustarts ist das alte problem wieder da! ahja, und C:\WINDOWS\system32\appkl.exe C:\WINDOWS\system32\sdkxa32.exe hab ich keine !!! sämtliche windows XP updates hab ich auch gemacht- erfolg 0 ! bitte um eure hilfe! VIELEN DANK schon im voraus !!! hier mein log file: Logfile of HijackThis v1.97.7 Scan saved at 14:23:16, on 21.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\winil.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\6-in-1 USB Card Reader Driver v1.8b\Disk_Monitor.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Nokia\PC Suite für den Nokia 9210i Communicator\ECTaskScheduler.exe C:\Programme\Nokia\PC Suite für den Nokia 9210i Communicator\ConnectState.exe C:\WINDOWS\FSScrCtl.exe C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\binder\Eigene Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ifpzk.dll/sp.html#37049 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ifpzk.dll/index.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ifpzk.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ifpzk.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ifpzk.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ifpzk.dll/sp.html#37049 O2 - BHO: (no name) - {E3932B1E-C8F3-EA00-4E09-88EDF68EDE0A} - C:\WINDOWS\apixn32.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.dll,CMICtrlWnd O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\\6-in-1 USB Card Reader Driver v1.8b\Disk_Monitor.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [mfcmr.exe] C:\WINDOWS\system32\mfcmr.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKLM\..\RunOnce: [winil.exe] C:\WINDOWS\system32\winil.exe O4 - HKLM\..\RunOnce: [d3gb.exe] C:\WINDOWS\d3gb.exe O4 - HKLM\..\RunOnce: [atlhf.exe] C:\WINDOWS\atlhf.exe O4 - HKLM\..\RunOnce: [atley32.exe] C:\WINDOWS\system32\atley32.exe O4 - HKLM\..\RunOnce: [sysqc.exe] C:\WINDOWS\system32\sysqc.exe O4 - HKLM\..\RunOnce: [mfcoi32.exe] C:\WINDOWS\system32\mfcoi32.exe O4 - HKLM\..\RunOnce: [adddx32.exe] C:\WINDOWS\system32\adddx32.exe O4 - HKLM\..\RunOnce: [atlzp32.exe] C:\WINDOWS\atlzp32.exe O4 - HKLM\..\RunOnce: [mshl.exe] C:\WINDOWS\mshl.exe O4 - HKLM\..\RunOnce: [winnp32.exe] C:\WINDOWS\winnp32.exe O4 - HKLM\..\RunOnce: [cryv32.exe] C:\WINDOWS\cryv32.exe O4 - HKLM\..\RunOnce: [d3gb32.exe] C:\WINDOWS\system32\d3gb32.exe O4 - HKLM\..\RunOnce: [apicm.exe] C:\WINDOWS\system32\apicm.exe O4 - HKLM\..\RunOnce: [msun.exe] C:\WINDOWS\system32\msun.exe O4 - HKLM\..\RunOnce: [atlgx32.exe] C:\WINDOWS\system32\atlgx32.exe O4 - HKLM\..\RunOnce: [crgp32.exe] C:\WINDOWS\system32\crgp32.exe O4 - HKLM\..\RunOnce: [sysyj32.exe] C:\WINDOWS\sysyj32.exe O4 - HKLM\..\RunOnce: [ipjq32.exe] C:\WINDOWS\system32\ipjq32.exe O4 - HKLM\..\RunOnce: [winyp32.exe] C:\WINDOWS\winyp32.exe O4 - HKLM\..\RunOnce: [mshb32.exe] C:\WINDOWS\mshb32.exe O4 - HKLM\..\RunOnce: [apieu.exe] C:\WINDOWS\apieu.exe O4 - HKLM\..\RunOnce: [sdkgm.exe] C:\WINDOWS\system32\sdkgm.exe O4 - HKLM\..\RunOnce: [ntue.exe] C:\WINDOWS\ntue.exe O4 - Startup: Screen Saver Control.lnk = C:\WINDOWS\FSScrCtl.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: PC Suite für den Nokia 9210i Communicator Aufgabenplaner.lnk = ? O4 - Global Startup: PC Suite für den Nokia 9210i Communicator.lnk = ? O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD LT 2002 Deu\InstFred.ocx O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/1150123022d0125...p/RdxIE601.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1087820246546 O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD LT 2002 Deu\AcDcToday.ocx O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.co...155.9321643518 O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD LT 2002 Deu\InstBanr.ocx O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD LT 2002 Deu\AcPreview.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{DBB117E1-DDBA-40C2-9C8C-C2C321E5A6E2}: NameServer = 192.168.0.254 [img]graemlins/daumenhoch.gif[/img] [img]graemlins/daumenhoch.gif[/img] [img]graemlins/daumenhoch.gif[/img] [img]graemlins/daumenhoch.gif[/img] |
21.06.2004, 14:21 | #2 |
| neue lösung für altes problem mit hijacker?? genau so machen dann geht er komplett!!! weg [img]smile.gif[/img]
__________________http://www.trojaner-board.de/forum/u...c;f=6;t=005614 |
21.06.2004, 14:44 | #3 |
| neue lösung für altes problem mit hijacker?? Hallo!
__________________</font><blockquote>Zitat:</font><hr />Original erstellt von mustangmike: ich habe irgendeinen hijacker und werde ihn nicht los, falls mir jemand einen rat erteilen kann, dann bitte ich höflichst darum!!</font>[/QUOTE]Dein LogFile lässt Rückschlüsse nicht nur auf einen Hijacker zu, sondern mehrere Trojaner! </font><blockquote>Zitat:</font><hr />wenn ich die R1-R0,O2 lösche, tut sich nichts! der virenscan mit symantec im abgesicherten modus ergibt auch nichts!</font>[/QUOTE]Mal abgesehen davon, dass Symantec's NAV hier recht schwach ist, gibt es viele neue Schadsoftware, die einfach prinzipiell gar nicht erkannt werden kann (eben weil sie neu und bis dato unbekannt ist). </font><blockquote>Zitat:</font><hr />sämtliche windows XP updates hab ich auch gemacht- erfolg 0 !</font>[/QUOTE]Im Nachhinein hilft das auch wenig, zumal es beim Internet Explorer auch noch etliche ungefixte Bugs gibt, die derzeit ausgenutzt werden. Da hilft also auch kein Updaten, sondern nur ein Browserwechsel. Prüf diese Dateien: C:\WINDOWS\system32\winil.exe C:\WINDOWS\system32\ifpzk.dll C:\WINDOWS\apixn32.dll C:\WINDOWS\system32\mfcmr.exe C:\WINDOWS\d3gb.exe C:\WINDOWS\atlhf.exe C:\WINDOWS\system32\atley32.exe C:\WINDOWS\system32\sysqc.exe C:\WINDOWS\system32\mfcoi32.exe C:\WINDOWS\system32\adddx32.exe C:\WINDOWS\atlzp32.exe C:\WINDOWS\mshl.exe C:\WINDOWS\winnp32.exe C:\WINDOWS\cryv32.exe C:\WINDOWS\system32\d3gb32.exe C:\WINDOWS\system32\apicm.exe C:\WINDOWS\system32\msun.exe C:\WINDOWS\system32\atlgx32.exe C:\WINDOWS\system32\crgp32.exe C:\WINDOWS\sysyj32.exe C:\WINDOWS\system32\ipjq32.exe C:\WINDOWS\winyp32.exe C:\WINDOWS\mshb32.exe C:\WINDOWS\apieu.exe C:\WINDOWS\system32\sdkgm.exe C:\WINDOWS\ntue.exe ...bite hier: http://www.kaspersky.com/de/scanforvirus Poste die Ergebnisse. Markieren, dann Fix Checked wählen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ifpzk.dll/sp.html#37049 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ifpzk.dll/index.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ifpzk.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ifpzk.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ifpzk.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ifpzk.dll/sp.html#37049 O2 - BHO: (no name) - {E3932B1E-C8F3-EA00-4E09-88EDF68EDE0A} - C:\WINDOWS\apixn32.dll O4 - HKLM\..\Run: [mfcmr.exe] C:\WINDOWS\system32\mfcmr.exe O4 - HKLM\..\RunOnce: [winil.exe] C:\WINDOWS\system32\winil.exe O4 - HKLM\..\RunOnce: [d3gb.exe] C:\WINDOWS\d3gb.exe O4 - HKLM\..\RunOnce: [atlhf.exe] C:\WINDOWS\atlhf.exe O4 - HKLM\..\RunOnce: [atley32.exe] C:\WINDOWS\system32\atley32.exe O4 - HKLM\..\RunOnce: [sysqc.exe] C:\WINDOWS\system32\sysqc.exe O4 - HKLM\..\RunOnce: [mfcoi32.exe] C:\WINDOWS\system32\mfcoi32.exe O4 - HKLM\..\RunOnce: [adddx32.exe] C:\WINDOWS\system32\adddx32.exe O4 - HKLM\..\RunOnce: [atlzp32.exe] C:\WINDOWS\atlzp32.exe O4 - HKLM\..\RunOnce: [mshl.exe] C:\WINDOWS\mshl.exe O4 - HKLM\..\RunOnce: [winnp32.exe] C:\WINDOWS\winnp32.exe O4 - HKLM\..\RunOnce: [cryv32.exe] C:\WINDOWS\cryv32.exe O4 - HKLM\..\RunOnce: [d3gb32.exe] C:\WINDOWS\system32\d3gb32.exe O4 - HKLM\..\RunOnce: [apicm.exe] C:\WINDOWS\system32\apicm.exe O4 - HKLM\..\RunOnce: [msun.exe] C:\WINDOWS\system32\msun.exe O4 - HKLM\..\RunOnce: [atlgx32.exe] C:\WINDOWS\system32\atlgx32.exe O4 - HKLM\..\RunOnce: [crgp32.exe] C:\WINDOWS\system32\crgp32.exe O4 - HKLM\..\RunOnce: [sysyj32.exe] C:\WINDOWS\sysyj32.exe O4 - HKLM\..\RunOnce: [ipjq32.exe] C:\WINDOWS\system32\ipjq32.exe O4 - HKLM\..\RunOnce: [winyp32.exe] C:\WINDOWS\winyp32.exe O4 - HKLM\..\RunOnce: [mshb32.exe] C:\WINDOWS\mshb32.exe O4 - HKLM\..\RunOnce: [apieu.exe] C:\WINDOWS\apieu.exe O4 - HKLM\..\RunOnce: [sdkgm.exe] C:\WINDOWS\system32\sdkgm.exe O4 - HKLM\..\RunOnce: [ntue.exe] C:\WINDOWS\ntue.exe |
Themen zu neue lösung für altes problem mit hijacker?? |
192.168.0.2, abgesicherten modus, adobe, antivirus, bho, dll, einstellungen, explorer, file, hijackthis, hilfe, internet, internet explorer, log, log file, mein log, nvcpl.dll, problem, programme, rundll, saver, scan, software, symantec, system, tcpip, updates, usb, windows, windows xp |