|
Log-Analyse und Auswertung: Hijacker: Suchmaschine auf StartseiteWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
24.06.2004, 16:39 | #1 |
| Hijacker: Suchmaschine auf Startseite Musste einen Angriff auf die Startseite und Einträge in den Favoriten beim IE erleiden., Die Startseite ist eine komische Suchmaschine, außerdem wird ständig dazu aufgefordert, Software runterzuladen. AdAware, Spyboot und CWS Shredder waren erfolglos. Habe jetzt vom HJT unten stehenden log erhalten. Habe HijackThis vorher noch nie benutzt und bin demzufolge recht unsicher. Kann mir jemand helfen?? Logfile of HijackThis v1.97.7 Scan saved at 17:20:27, on 24.06.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\srvany.exe C:\WINDOWS\PCard.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Acer\Launch Manager\LaunchAp.exe C:\Programme\Acer\Launch Manager\HotkeyApp.exe C:\Programme\Acer\Launch Manager\KeyHook.exe C:\Programme\Acer\Launch Manager\CtrlVol.exe C:\Programme\Acer\Launch Manager\Wbutton.exe C:\Programme\Acer\Powerkey\powerkey.exe C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\sfpsvr.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AOL 8.0\aoltray.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe C:\Dokumente und Einstellungen\Paco\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977[1].zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://69.31.79.101/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.31.79.101/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.31.79.101/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.31.79.101/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.31.79.101/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.31.79.101/search.html R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://69.31.79.101/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.31.79.101/index.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.31.79.101/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.31.79.101/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.31.79.101/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.31.79.101/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.31.79.101/search.html R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://69.31.79.101/search.html R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://69.31.79.101/search.html O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Launch App] c:\DMSINFO\launapp.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Acer\Launch Manager\LaunchAp.exe" O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Acer\Launch Manager\HotkeyApp.exe" O4 - HKLM\..\Run: [KeyHook] "C:\Programme\Acer\Launch Manager\KeyHook.exe" O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Acer\Launch Manager\CtrlVol.exe" O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Acer\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [Powerkey] "C:\Programme\Acer\Powerkey\powerkey.exe" O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe" O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [sfpsvr] C:\WINDOWS\system32\sfpsvr.exe O4 - HKLM\..\Run: [winupd] C:\WINDOWS\System32\winupd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe" O4 - HKCU\..\Run: [WNST] C:\WINDOWS\System32\wnsapisv.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.101/winsearchie32.ch...searchie32.exe O16 - DPF: {11111111-1111-1111-1111-111555555555} - ms-its:mhtml:file://C:\document.mhtml!http://www.ultra-galleries.com/count...chm::/init.exe O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get...irector/sw.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab Vielen Dank schon mal im Voraus, Roquet |
24.06.2004, 17:01 | #2 |
| Hijacker: Suchmaschine auf Startseite Hallo!
__________________Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Dein Windows sowie der Internet Explorer bedürfen dringend etlicher wichtiger Updates! -> http://windowsupdate.microsoft.com C:\WINDOWS\srvany.exe C:\WINDOWS\PCard.exe C:\WINDOWS\system32\sfpsvr.exe C:\WINDOWS\System32\winupd.exe C:\WINDOWS\System32\wnsapisv.exe Prüf diese fünf Dateien bitte hier: http://www.kaspersky.com/de/scanforvirus Diese Einträge bitte mittels Markieren und anschl. Fix checked in HijackThis löschen: R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h+tp://69.31.79.101/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h+tp://69.31.79.101/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h+tp://69.31.79.101/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h+tp://69.31.79.101/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h+tp://69.31.79.101/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h+tp://69.31.79.101/search.html R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = h+tp://69.31.79.101/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h+tp://69.31.79.101/index.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h+tp://69.31.79.101/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h+tp://69.31.79.101/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h+tp://69.31.79.101/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h+tp://69.31.79.101/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h+tp://69.31.79.101/search.html R1 - HKCU\Software\Microsoft\Internet Explorer,Search = h+tp://69.31.79.101/search.html R1 - HKLM\Software\Microsoft\Internet Explorer,Search = h+tp://69.31.79.101/search.html O4 - HKLM\..\Run: [sfpsvr] C:\WINDOWS\system32\sfpsvr.exe O4 - HKLM\..\Run: [winupd] C:\WINDOWS\System32\winupd.exe O4 - HKCU\..\Run: [WNST] C:\WINDOWS\System32\wnsapisv.exe O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.101/winsearchie32.ch...searchie32.exe O16 - DPF: {11111111-1111-1111-1111-111555555555} - ms-its:mhtml:file://C:\document.mhtml!http://www.ultra-galleries.com/count...chm::/init.exe Allgemein gilt: - System patchen (stets aktuell halten -> http://windowsupdate.com ) - Anderen browser nutzen: http://mozilla-europe.org/de |
24.06.2004, 19:54 | #3 |
| Hijacker: Suchmaschine auf Startseite [img]graemlins/huepp.gif[/img] Das müsste geklappt haben. Habe meine Startseite wieder. Tausend Dank für die superschnelle Hilfe.
__________________Die Datei C:\WINDOWS\system32\wnsapisv.exe habe ich bei HJT gelöscht, taucht aber wieder auf. kapersky.com hat sie gar nicht erst gefunden bei der Überprüfung. Weiß nicht was damit zu tun ist. Poste hier noch mal den aktuellen HJT-Log. Logfile of HijackThis v1.97.7 Scan saved at 20:41:29, on 24.06.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\srvany.exe C:\WINDOWS\PCard.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Acer\Launch Manager\LaunchAp.exe C:\Programme\Acer\Launch Manager\HotkeyApp.exe C:\Programme\Acer\Launch Manager\KeyHook.exe C:\Programme\Acer\Launch Manager\CtrlVol.exe C:\Programme\Acer\Launch Manager\Wbutton.exe C:\Programme\Acer\Powerkey\powerkey.exe C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AOL 8.0\aoltray.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Paco\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ET8T27GB\hjt[1].exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Launch App] c:\DMSINFO\launapp.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Acer\Launch Manager\LaunchAp.exe" O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Acer\Launch Manager\HotkeyApp.exe" O4 - HKLM\..\Run: [KeyHook] "C:\Programme\Acer\Launch Manager\KeyHook.exe" O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Acer\Launch Manager\CtrlVol.exe" O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Acer\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [Powerkey] "C:\Programme\Acer\Powerkey\powerkey.exe" O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe" O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe" O4 - HKCU\..\Run: [WNST] C:\WINDOWS\System32\wnsapisv.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get...irector/sw.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8162.379212963 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab Also nochmals vielen Dank. |
24.06.2004, 20:37 | #4 |
Hijacker: Suchmaschine auf Startseite Hallo, </font><blockquote>Zitat:</font><hr />Die Datei C:\WINDOWS\system32\wnsapisv.exe</font>[/QUOTE]wird in verschiedenen Foren eindeutig als Malware beschrieben. Versuche sie entweder manuell (ggf. im abgesicherten Modus ) zu löschen. Sollte das nicht klappen, versuch es mit eScan (zu finden in meiner Signatur). Anschließend noch den entsprechenden Eintrag mit HijackThis fixen und das Windows-Update nicht vergessen.
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
Themen zu Hijacker: Suchmaschine auf Startseite |
acer, adobe, bho, dateien, drivers, einstellungen, excel, explorer, helfen, hijack, hijackthis, ics, internet, internet explorer, launch, log, messenger, microsoft, object, programme, shockwave, software, starten, suchmaschine, system, system32, t-online, temp, träge, windows, windows xp, winupd |