|
Log-Analyse und Auswertung: Hijacker?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
27.06.2004, 11:56 | #1 |
| Hijacker? Hallo zusammen, werde diese Startseite nicht mehr los. Könntet Ihr mal bitte einen Blick hierauf werfen. Schon mal vielen Dank im voraus. Logfile of HijackThis v1.97.7 Scan saved at 12:46:12, on 27.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\Explorer.EXE C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\apior.exe C:\Programme\Norton Internet Security\NISSERV.EXE C:\Programme\Norton Internet Security\SymProxySvc.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\NORTON~1\navapw32.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Norton Internet Security\IAMAPP.EXE C:\Programme\NetPumper\NetPumperIEProxy.exe C:\WINDOWS\addur32.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\CNYHKey.exe C:\Programme\Messenger\MSMSGS.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Download\Windows\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nxkfe.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://nxkfe.dll/index.html#96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://nxkfe.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nxkfe.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://nxkfe.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\nxkfe.dll/sp.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.aldi.com/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {ADA45152-8EDB-2B5B-A957-F9E2AA68F8F1} - C:\WINDOWS\sdkya32.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe" O4 - HKLM\..\Run: [addur32.exe] C:\WINDOWS\addur32.exe O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKLM\..\RunOnce: [d3rt.exe] C:\WINDOWS\d3rt.exe O4 - HKLM\..\RunOnce: [sdkpz32.exe] C:\WINDOWS\sdkpz32.exe O4 - HKLM\..\RunOnce: [crii32.exe] C:\WINDOWS\system32\crii32.exe O4 - HKLM\..\RunOnce: [mfcvz.exe] C:\WINDOWS\mfcvz.exe O4 - HKLM\..\RunOnce: [javaji32.exe] C:\WINDOWS\javaji32.exe O4 - HKLM\..\RunOnce: [javaax.exe] C:\WINDOWS\system32\javaax.exe O4 - HKLM\..\RunOnce: [netli.exe] C:\WINDOWS\system32\netli.exe O4 - HKLM\..\RunOnce: [iefw32.exe] C:\WINDOWS\iefw32.exe O4 - HKLM\..\RunOnce: [netbo.exe] C:\WINDOWS\system32\netbo.exe O4 - HKLM\..\RunOnce: [crrg.exe] C:\WINDOWS\crrg.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O9 - Extra button: Preispiraten 2.02 (HKLM) O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: MedionShop (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...7884.393599537 O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab |
28.06.2004, 03:56 | #2 |
| Hijacker? Hallo!
__________________Analoges Vorgehen wie hier: http://www.trojaner-board.de/forum/u...;f=24;t=000101 Hier entscheidende Dateien / Einträge: C:\WINDOWS\system32\apior.exe C:\WINDOWS\nxkfe.dll C:\WINDOWS\sdkya32.dll C:\WINDOWS\addur32.exe C:\WINDOWS\d3rt.exe C:\WINDOWS\sdkpz32.exe C:\WINDOWS\system32\crii32.exe C:\WINDOWS\mfcvz.exe C:\WINDOWS\javaji32.exe C:\WINDOWS\system32\javaax.exe C:\WINDOWS\system32\netli.exe C:\WINDOWS\iefw32.exe C:\WINDOWS\system32\netbo.exe C:\WINDOWS\crrg.exe O2 - BHO: (no name) - {ADA45152-8EDB-2B5B-A957-F9E2AA68F8F1} - C:\WINDOWS\sdkya32.dll O4 - HKLM\..\Run: [addur32.exe] C:\WINDOWS\addur32.exe O4 - HKLM\..\RunOnce: [d3rt.exe] C:\WINDOWS\d3rt.exe O4 - HKLM\..\RunOnce: [sdkpz32.exe] C:\WINDOWS\sdkpz32.exe O4 - HKLM\..\RunOnce: [crii32.exe] C:\WINDOWS\system32\crii32.exe O4 - HKLM\..\RunOnce: [mfcvz.exe] C:\WINDOWS\mfcvz.exe O4 - HKLM\..\RunOnce: [javaji32.exe] C:\WINDOWS\javaji32.exe O4 - HKLM\..\RunOnce: [javaax.exe] C:\WINDOWS\system32\javaax.exe O4 - HKLM\..\RunOnce: [netli.exe] C:\WINDOWS\system32\netli.exe O4 - HKLM\..\RunOnce: [iefw32.exe] C:\WINDOWS\iefw32.exe O4 - HKLM\..\RunOnce: [netbo.exe] C:\WINDOWS\system32\netbo.exe O4 - HKLM\..\RunOnce: [crrg.exe] C:\WINDOWS\crrg.exe Meine Herren, dein System ist ganz schön verseucht. Übrigens: Dass dieses "Sicherheitssoftwarepaket" ("Norton InSecurity") dahingehend nicht verhindern konnte, sollte verdeutlichen, wie weitestgehend wirkungslos diese Software ist. Besser: - Browserwechsel - http://www.mathematik.uni-marburg.de...ompromise.html |
29.06.2004, 12:32 | #3 |
| Hijacker? Hallo Markus,
__________________vielen Dank für deine Hilfe. Hat mich ein ganzes Stück weiter nach vorne gebracht. Habe den Browser jetzt gewechselt und AntiVir anstelle von Norton installiert. Die Startseite kam nach dem löschen der betroffenen Dateien (wie beschrieben) leider wieder. Nachdem AntiVir aber einen mehrere Trojaner gefunden und gelöscht hat, scheint auch die Seite weg zu sein. Ich werde das jetzt mal die nächsten Tage beobachten. Vielen Dank Chris |
Themen zu Hijacker? |
.inf, adobe, antivirus, antivirus scan, bho, dll, download, explorer, hijack, hijackthis, home, icq, installation, internet, internet explorer, internet security, microsoft, monitor, object, programme, registry, rundll, security, software, symantec, system, vielen dank, windows, windows xp |