|
Plagegeister aller Art und deren Bekämpfung: Hijacker kehrt nach Neustart wiederWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
09.06.2004, 09:26 | #1 |
| Hijacker kehrt nach Neustart wieder Hallo, ich habe ein Problem mit einem Hijacker und auch schon einiges probiert. Ad-Aware, Spybot, CWShredder sowie einige Einträge mit dem HijackThis entfernt. Mit den letzten beiden Programmen konnte ich den Erfolg erzielen, dass der Hijack scheinbar verschwunden war. Ich konnte den IE wieder normal öffnen, ohne falsche Startseite und ohne das PopUp-Fenster mit dem Hinweis, dass ich von Spyware infiziert bin. Jedoch, sobald ich neu starte ist das Problem wieder da. Ich poste mal mein HijackThis-Log und wenn ihr noch mehr braucht, bitte sagen Logfile of HijackThis v1.97.7 Scan saved at 10:20:55, on 09.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe D:\Programme\Norton Personal Firewall\NISUM.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe D:\programme\quicktime\qttask.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe D:\Programme\Norton Personal Firewall\ccPxySvc.exe D:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\devldr32.exe G:\Downloads\security\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hahjcma.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hahjcma.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hahjcma.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hahjcma.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hahjcma.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hahjcma.dll/sp.html (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {516411FD-B880-466A-9CE7-56F22F3D67C4} - C:\WINDOWS\System32\hahjcma.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: concept/design's onlineTV (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab |
09.06.2004, 10:18 | #2 |
| Hijacker kehrt nach Neustart wieder hallo.. diese datei scheint böse zu sein.. C:\WINDOWS\System32\hahjcma.dll.. ich würd erstmal alle r1 und r0 einträge mit HijackThis fixen und den entsprechenden bei o2..
__________________
__________________ |
09.06.2004, 10:29 | #3 |
| Hijacker kehrt nach Neustart wieder Hallo BEAtFREAk und Willkommen an Board,
__________________versuche es bitte als erstes wie folgt: http://www.trojaner-info.de/anleitun...out_blank.html Gruß, Lutz
__________________ |
09.06.2004, 11:11 | #4 |
| Hijacker kehrt nach Neustart wieder @neptune hab diese einträge schon versucht zu fixen. die kommen aber wieder... @lutz hab das tool probiert und streng nach anleitung usw. hat leider nicht funktioniert der nächste bitte? |
09.06.2004, 11:26 | #5 |
| Hijacker kehrt nach Neustart wieder dann musst du evtl erst die systemwiederherstellung ausschalten.. weiss aber nicht genau wie das geht.. whatever..
__________________ follow me and do exactly what i say |
09.06.2004, 12:27 | #6 |
| Hijacker kehrt nach Neustart wieder Überprüf mal diese Datei C:\WINDOWS\System32\devldr32.exe online bei Kaspersky und/oder lade Dir mal das Free eScan Antivirus Toolkit Utility herunter und scanne Deinen Rechner im abgesicherten Modus. Vielleicht findet der etwas. Gruß, Lutz
__________________ --> Hijacker kehrt nach Neustart wieder |
09.06.2004, 13:27 | #7 |
| Hijacker kehrt nach Neustart wieder So, also die Datei "devldr32.exe" war wohl clean laut diesem Internet-Sucher. Die Rettung hat wohl das kostenlose Anti Virus Tool von Micro Word gebracht. Es hat folgendes erkannt: File C:\WINDOWS\system32\hahjcma.dll infected by "Trojan.Win32.StartPage.gv" Virus. Action Taken: File to be deleted on reboot. Problem erkannt und gebannt? Wie hier drüber steht, sollte nach einem Neustart der Trojaner gelöscht werden. Also Neustart und das Problem war erstmal weg. Hab dann zur Sicherheit gleich nochmal einen Neustart ge,macht und festgestellt, dass er entgültig weg ist. Darum danke für die Hilfe. Ich hab meine Lehre draus gezogen und nutze jetzt lieber Opera |
10.06.2004, 11:39 | #8 |
Hijacker kehrt nach Neustart wieder </font><blockquote>Zitat:</font><hr /> Darum danke für die Hilfe. Ich hab meine Lehre draus gezogen und nutze jetzt lieber Opera </font>[/QUOTE]so ähnlich wars bei mir auch naja noch an alle anderen mit diesem / oder aehnlichem problem im form gibt es unmengen threads die das wörtchen "obfuscated" enthalten (s.o.) mit einigen lösungsansätzen
__________________ Die Suchfunktion des Boards |
10.06.2004, 12:27 | #9 |
| Hijacker kehrt nach Neustart wieder Hallo und einen schönen guten Tag [img]smile.gif[/img] Hatte mich vor 2 - 3 Wochen hier angemeldet und damals von einen Hijacker berichtet, der mich immer auf folgende Seite gebracht hat http://www.microsoft.com/isapi/redir...er=6.0&ar=home Dachte eigentlich, dass ich das Problem im Griff habe, aber dem ist wohl nicht so. Habe zwar seitdem meinen Browser gewechselt (nutze jetzt den Firefox statt damals IE 6), aber sobald ich dann doch mal eine Seite mit dem IE öffne (und wenn es nur zu Testzwecken ist, um zu gucken, ob der Hijacker wieder da ist) geht die Sache von Vorne los. Als Startseite hat sich oben genannter Link eingenistet. Habe soweit schon alle hier genannten Scan Programme laufen lassen (also Ad-Aware, SpyBot, CWShredder und nun auch letztgenannten Free eScan Antivirus Toolkit Utility. Wäre nett, wenn ihr mir mein Log File nochmal checken würdet, vielleicht hört es dann ja damit auf. Vielen Dank Logfile of HijackThis v1.97.7 Scan saved at 13:19:19, on 10.06.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\WINNT\System32\svchost.exe C:\Programme\Atguard\iamserv.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\devldr32.exe C:\WINNT\System32\rmctrl.exe C:\PROGRA~1\Atguard\iamapp.exe C:\Programme\Grisoft\AVG6\avgcc32.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\ICQPlus\vplus.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe C:\Programme\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe C:\Dokumente und Einstellungen\Ds\Desktop\Security\Hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.1 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\System32\rmctrl.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe O4 - HKLM\..\Run: [AVG_CC] C:\Programme\Grisoft\AVG6\avgcc32.exe /startup O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe" O4 - Global Startup: BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: PCSuiteForNokia6600 Detect.lnk = C:\Programme\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe O4 - Global Startup: PCSuiteForNokia6600 TS.lnk = C:\Programme\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: MP3 (HKLM) O9 - Extra 'Tools' menuitem: &WinMp3Locator (HKLM) O9 - Extra button: Files (HKLM) O9 - Extra 'Tools' menuitem: &FileLocator (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Translate (HKLM) O9 - Extra 'Tools' menuitem: Translator (HKLM) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01dad4cd...dxIE601_de.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab |
11.06.2004, 18:24 | #10 |
| Hijacker kehrt nach Neustart wieder Nochmal ich... habe grade "Free eScan Antivirus Toolkit Utility" über mein System laufen lassen. Das Programm hat offenbar etwas gefunden, da ich mich aber nicht so genau mit PC Innereien und Viren etc. auskenne wäre es nett, wenn ihr mir sagen könntet, wie ich weiter fortfahren soll. Habe einen Teil (den ich für relevant halte) aus dem Log file angehängt. Es steht zwar drin, dass das Programm etwas entfernt hat, aber das selbe hatte ich gestern vor einem Neustart auch schon...Ein Log file von HijackThis ist ja im oberen Beitrag enthalten. Wenn jemandem etwas auffällt, oder mir sonst jemand einen Tip geben kann, wär das supi!! Fri Jun 11 19:09:23 2004 => Scanning File C:\WINNT\A Fri Jun 11 19:09:23 2004 => C:\WINNT\A possibly infected and removed by background antivirus package! Fri Jun 11 19:09:24 2004 => Process C:\WINNT\system32\LSASS.EXE Found running in Memory... Fri Jun 11 19:09:25 2004 => Result: ERROR!!! File C:\WINNT\A: Scanning Failure!!! Fri Jun 11 19:09:25 2004 => C:\WINNT\A possibly infected and removed by background antivirus package! Fri Jun 11 19:09:25 2004 => File C:\WINNT\A infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. |
Themen zu Hijacker kehrt nach Neustart wieder |
ad-aware, adobe, antivirus, bho, browser, dateien, explorer, falsche startseite, firewall, hijackthis, icq, infiziert, internet, internet explorer, microsoft, neu, obfuscated, object, popup-fenster, problem, programme, security, shockwave, software, spyware, symantec, system, träge, windows, windows xp |