|
Log-Analyse und Auswertung: Hijacker loswerden durch Systemwiederherstellung?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
20.06.2004, 18:19 | #1 |
| Hijacker loswerden durch Systemwiederherstellung? Hallo! Mein System ist WinXP SP1 und ich mein Browser IE 6.0 SP1. Mein Browser wurde "gehijackt"(meine Startseite war "about:blanc" trotzdem Wurde automatisch eine Seite angezeigt die ich nicht ändern konnte). Nachdem ich mit AdAware und Spybot Search&Destroy zwar etwas gefunden habe aber nichts gegen den Hijacker ausrichten konnte habe ich mit HijackThis einen Scan gemacht, konnte aber das Logfile nicht öffnen. Irgendwann bin ich auf die Idee gekommen einfach mit der Systemwiederherstellung einen Tag zurück zu gehen.... Womöglich hat das auch funktioniert...meine Startseite ändert sich nicht mehr... Jetzt frage ich mich aber ob das nicht Trick 17 mit Selbstüberlistung war. Nachdem ich nun die Logs von HijackThis wieder öffnen kann, würde ich Euch bitten das mal anzuschauen ob da etwas verdächtig ist... Logfile of HijackThis v1.97.7 Scan saved at 18:43:36, on 20.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Creative\SBAudigy\TaskBar\CTLTray.exe C:\Programme\Creative\SBAudigy\TaskBar\CTLTask.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Tatti&Sami\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blanc O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Acronis*True*Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [TaskTray] C:\Programme\Creative\SBAudigy\TaskBar\CTLTray.exe O4 - HKCU\..\Run: [TaskBar] C:\Programme\Creative\SBAudigy\TaskBar\CTLTask.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/game...s/y/dot4_x.cab O16 - DPF: Yahoo! Gin - http://download.games.yahoo.com/game...ts/y/nt1_x.cab O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/game...s/y/grt5_x.cab O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/game...ts/y/tt1_x.cab O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/game...s/y/ywt0_x.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} - http://x.secureloader.com/download/dialer/cax.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/11d524f7...dxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} - http://content.netvenda.com/sites/ga.../de/games5.cab O16 - DPF: {9D0A9D98-5221-430A-A02D-76F0827C82D1} (ADialer Class) - http://www.dialer-shop.com/im2/hardissimo.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...016.5659953704 O16 - DPF: {A031D222-B496-11D2-9CC8-00105A10AAF6} (WONWebLauncher Class) - http://hoyle.vugames.com/cab/WONWebLauncherControl.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{AF7D9F06-E091-4A61-A0AA-CCE72D62F527}: NameServer = 217.237.151.97 194.25.2.129 Vielen Dank schon mal. S. |
20.06.2004, 19:02 | #2 |
Hijacker loswerden durch Systemwiederherstellung? Hallo slucklicker und Willkommen an Board,
__________________</font><blockquote>Zitat:</font><hr />Jetzt frage ich mich aber ob das nicht Trick 17 mit Selbstüberlistung war</font>[/QUOTE]Ich würde 'Jein' sagen! Ja, weil die akute Störung durch den Hijacker wohl im Moment beseitigt ist, aber ein klares Nein, weil Du durch eine Systemwiederherstellung im Zweifel infizierte Dateien nicht wirklich löscht, sondern allenfalls deren Aufruf verhinderst. </font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [Acronis True Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe</font>[/QUOTE]Anders sieht es aus, wenn Du mit True Image ein zeitnahes Image Deines Rechners erstellt hast und dieses nun zurücklädst. Dann hast Du wirklich den Stand des Images auf den Rechner zurückgeholt. Ob dieses Image natürlich 'sauber' ist, kannst nur Du selbst entscheiden. Bezüglich Hijacker scheint Dein Log sauber zu sein. Aber 100%ig kann man das nicht sagen! Allerdings tummelt sich dort mindestens 1 Dialereintrag: </font><blockquote>Zitat:</font><hr />O16 - DPF: {9D0A9D98-5221-430A-A02D-76F0827C82D1} (ADialer Class) - h**p://www.dialer-shop.com/im2/hardissimo.cab </font>[/QUOTE]Wenn Du kein zeitnahes Image hast, solltest Du als erstes einen kompletten Scan mit AntiVir (natürlich mit aktualisierten Virendefinitionen) machen. Oder Du nimmst alternativ eScan - siehe meine Signatur.
__________________ |
21.06.2004, 07:02 | #3 |
| Hijacker loswerden durch Systemwiederherstellung? Hallo!
__________________Vielen Dank! Das Image ist sauber aber leider so alt... Einen kompletten Scan habe ich jetzt auch gemacht. (Seltsam: natürlich habe ich bevor ich mit HijackThis gescant habe schon mal einen kompletten Scan mit aktualisiertem AntiVir gemacht) Jetzt wurde aber auch noch einiges gefunden. Durch meine Systemwiederherstellung verhindere ich aber nicht, daß der Virenscanner den Schädling "übersieht" ? Wie ist es eigentlich mit den verschiedenen Scannern. Ich lese oft, daß Spybot SD, AdAware und AntiVir sich nicht gegenseitig behindern - bei mir hat sich aber SpyBot SD schon beschwert... wie lasse ich diese Programme so laufen, daß nicht einer die Virendefinition vom anderen für gefährlich hält? Viele Grüße, S. [ 21. Juni 2004, 08:07: Beitrag editiert von: sluglicker ] |
Themen zu Hijacker loswerden durch Systemwiederherstellung? |
adobe, askbar, bho, browser, dateien, drivers, einstellungen, ellung, explorer, frage, hijackthis, internet, internet explorer, logfile, messenger, microsoft, object, programme, scan, shockwave, software, system, system32, systemwiederherstellung, tcpip, temp, trick, windows, windows xp, windows\system32\drivers, winxp, yahoo, ändern |