Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Hilfe schon wieder ein Highjaker,

Hilfe schon wieder ein Highjaker,


Log-Analyse und Auswertung: Hilfe schon wieder ein Highjaker,

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 1 von 2 1 2
Alt 17.11.2004, 11:08   #1
jensH
 
Hilfe schon wieder ein Highjaker, - Standard

Hilfe schon wieder ein Highjaker,


Hallo,

habe keine Ahnung den Pc habe ich gekauft ist im netzwerk und hat einen Higjcker irdenein Index?? Und ein Virus in c:/ 125018.Exe der code vom Virus ist TR/Cldr.Small.JZ.4 , meine Scanner versagen ( Bitte melde euch hier mein log:

Logfile of HijackThis v1.98.2
Scan saved at 11:05:31, on 17.11.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\NOVELL\CLIENT32\NWPOPUP.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMME\SYMANTEC\PCANYWHERE\PCAMGT.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\SYSTIME.EXE
C:\PROGRAMME\A2\A2GUARD.EXE
C:\WINDOWS\SYSTEM\SYSTIME.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O2 - BHO: IeObj Class - {AE821A68-7090-4228-A8FA-8A88454E2A89} - C:\Programme\euris\4cvision\4cbarhelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: 4c vision - {D27FB612-E7D9-46BB-A4E1-20CDC4B55D16} - C:\Programme\euris\4cvision\4cbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [pcAnywhere Agent] C:\Programme\Symantec\pcAnywhere\pcamgt.exe
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/active...pload_1111.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.25.2.129
O18 - Filter: text/html - {1232C394-FBEC-11D8-8869-00C132E5CD3D} - C:\WINDOWS\SYSTEM\OJJ.DLL
O18 - Filter: text/plain - {1232C394-FBEC-11D8-8869-00C132E5CD3D} - C:\WINDOWS\SYSTEM\OJJ.DLL

Danke

jens

Alt 17.11.2004, 11:33   #2
ZERO
 
Hilfe schon wieder ein Highjaker, - Standard

Hilfe schon wieder ein Highjaker,


Hi

Lad dir mal escan
runter.

Dann nach dieser anleitung updaten

http://www.trojaner-board.de/42731-escan-anleitung.html

Dann deinen PC im abgesicherten modus scannen und das ergebnis hier posten.

Wichtig!!

Du mußt bei escan die optionen Scan all Local Drives und scan all Files aktivieren
__________________

__________________
Alt 19.11.2004, 12:28   #3
jensH
 
Hilfe schon wieder ein Highjaker, - Standard

Hilfe schon wieder ein Highjaker,


Hallo zero,

habe ich alles getan, leider kann der editor den log nicht öffenen da er angeblich zu groß ist auch word versagt was nun?? kann ich die datei irgentwie finden und nocheinmal öffnen ?? Habe alles zweimal versucht scannen usw. Geht nicht.

Vielen Dank
Grüße jens
__________________
Alt 19.11.2004, 19:37   #4
Shadowdance
 
Hilfe schon wieder ein Highjaker, - Standard

Hilfe schon wieder ein Highjaker,


@ jensH,

eigentlich müsste Dein System Dir eine Meldung geben, mit welchem Programm Du die mwav.log öffnen kannst. Klick mal drauf, linke Maustaste Doppelklick. Die "mwav.log" sollte sich im Ordner C:\bases befinden, wenn Du den eScan ordnungsgemäss in diesen Ordner kopiert hast. Um sie zu finden, solltest Du dies tun: --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

Und wir würden nun gerne das Ergebnis des eScan hier im Forum sehen: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD

Alt 19.11.2004, 20:00   #5
ELF
 
Hilfe schon wieder ein Highjaker, - Standard

Hilfe schon wieder ein Highjaker,


Guten Abend! Bitte um Hilfe!
Habe was gefangen ( www_bau, 180solution, salm )
Das ist mein Logfile:
Und ich weiss nich wie ich den PC im gesicherten Modus starten muss...
Danke im Voraus!

Logfile of HijackThis v1.98.2
Scan saved at 18:52:17, on 19.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\DrWeb\SpiderNT.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Atheros\ACU\Utility\ACU.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe
C:\PROGRA~1\DrWeb\spidernt.exe
C:\Programme\DrWeb\DRWEBSCD.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Microsoft Encarta\Encarta Enzyklopädie Professional 2004 DVD\EDICT.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Dokumente und Einstellungen\Ali\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.co.uk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.co.uk
F2 - REG:system.ini: UserInit=Userinit.exe,TGBRFV_
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU\Utility\ACU.exe -nogui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent
O4 - HKLM\..\Run: [SpIDerMail] "C:\Programme\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [DrWebScheduler] "C:\Programme\DrWeb\DRWEBSCD.EXE"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8FAEBBB-E388-4A46-8A19-43B1B605C50E}: NameServer = 194.168.4.100 194.168.8.100


Alt 19.11.2004, 21:31   #6
chaosman
 
Hilfe schon wieder ein Highjaker, - Standard

Hilfe schon wieder ein Highjaker,


@ELF
mache bitte nächstes mal ein neuen thread auf
lade dir LSP-Fix hier
wechsle in den abgesicherte modus
hier
und fixe(häkchen setzen und Fix Checked klicken)
F2 - REG:system.ini: UserInit=Userinit.exe,TGBRFV_
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
lösche manuell
c:\windows\system32\drwebsp.dll
poste anschließend ein neues logfile
wenn dein internet nicht geht, dann verbindung mit LSP-Fix reparieren
gebe LSP-Fix einen eigene ordner.

noch etwas zum lesen
http://support.microsoft.com/?kbid=298436

chaosman
__________________
--> Hilfe schon wieder ein Highjaker,

Alt 20.11.2004, 00:35   #7
ELF
 
Hilfe schon wieder ein Highjaker, - Standard

Hilfe schon wieder ein Highjaker,


Tausend mal Danke, Chaosman!

Heute hab ich den ganzen Tag verloren...
Wurde gezwungen volgende Programme zu installieren: Spybot S&D, SpywareBlaster, Giant Antispyware, Hijackthis, Dsostop2, Ispfix!
Wenn Internet Exploer zu der Verbindungabbrechen führte habe ich Browser aus Microsoft Outlook genutzt... man muss immer mindestens 2 browsers haben..denke ich mal

Hier das was geblieben ist:

Logfile of HijackThis v1.98.2
Scan saved at 23:26:37, on 19.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Atheros\ACU\Utility\ACU.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasDtServ.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\Microsoft Encarta\Encarta Enzyklopädie Professional 2004 DVD\EDICT.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Ali\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.uk/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.co.uk
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU\Utility\ACU.exe -nogui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8FAEBBB-E388-4A46-8A19-43B1B605C50E}: NameServer = 194.168.4.100 194.168.8.100

Ich warte mal ab... vielleicht haben sich die kleine scheisskerle irgendwo versteckt...

Danke nochmal!

Alt 20.11.2004, 00:50   #8
ELF
 
Hilfe schon wieder ein Highjaker, - Standard

Hilfe schon wieder ein Highjaker,


Und noch dazu hat lspfix folgende dateien entdeckt

mswsock.dll TCP/IP
winrnr.dll NTDS
rsvpsp.dll (Protokol handler)

und ich weiss nicht ob ich sie "remove" muss oder "keep"?

Alt 20.11.2004, 01:00   #9
Shadowdance
 
Hilfe schon wieder ein Highjaker, - Standard

Hilfe schon wieder ein Highjaker,


@ ELF

--> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com

Bitte überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\System32\1XConfig.exe
C:\Programme\Atheros\ACU\Utility\ACU.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iw ctrl.exe
C:\Programme\Atheros\ACU\Utility\ACU.exe -nogui
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iw ctrl.exe /DropDisc

überprüfe die von Dir genannten 3 Datein ebenfalls.

Teile uns das Ergebnis der Überprüfung mit.

SD

Alt 20.11.2004, 20:46   #10
ELF
 
Hilfe schon wieder ein Highjaker, - Standard

Hilfe schon wieder ein Highjaker,


Hi, Shadowdance!
Habe gemacht alles wie Du gesagt hast.
Hier das Ergebniss. Die andere Deteien sind ok.

Service load: 0% 100%

File: WinAdCtl.exe
Status: INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: UPX

AntiVir No viruses found (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender Adware.WinAD (0.35 seconds taken)
ClamAV No viruses found (1.20 seconds taken)
Dr.Web No viruses found (2.38 seconds taken)
F-Prot Antivirus No viruses found (0.37 seconds taken)
Kaspersky Anti-Virus not-a-virus:AdWare.WinAD.b (2.78 seconds taken)
mks_vir .Winadd (0.28 seconds taken)
NOD32 No viruses found (0.69 seconds taken)
Norman Virus Control No viruses found (29.33 seconds taken)
------------------
Service load: 0% 100%

File: gcasServ.exe
Status: POSSIBLY INFECTED/MALWARE (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)
Packers detected: None

AntiVir No viruses found (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.35 seconds taken)
ClamAV No viruses found (0.36 seconds taken)
Dr.Web BACKDOOR.Trojan (probable variant) (1.79 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (2.22 seconds taken)
mks_vir No viruses found (0.28 seconds taken)
NOD32 No viruses found (0.43 seconds taken)
Norman Virus Control No viruses found (0.58 seconds taken)
------------------------
Service load: 0% 100%

File: PCLETray.exe
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.)
Packers detected: None

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.34 seconds taken)
ClamAV No viruses found (0.40 seconds taken)
Dr.Web No viruses found (0.56 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.62 seconds taken)
mks_vir No viruses found (0.22 seconds taken)
NOD32 No viruses found (0.44 seconds taken)
Norman Virus Control No viruses found (5.90 seconds taken)

Alt 20.11.2004, 20:56   #11
chaosman
 
Hilfe schon wieder ein Highjaker, - Standard

Hilfe schon wieder ein Highjaker,


@ELF
diese datei in abgesicherten modus löschen
C:\Program Files\Windows AdControl\WinAdCtl.exe

danach neu starten
chaosman
__________________
Bonus vir semper tiro

Alt 22.11.2004, 14:41   #12
jensH
 
Hilfe schon wieder ein Highjaker, - Standard

Hilfe schon wieder ein Highjaker,


Hallo ZERO und Shadowdancer,

hier nun mein log bitte schaut Ihn euch an der Pc stürtzt oft ab.

File C:\WINDOWS\QUESTMOD.DLL infected by "Trojan.Win32.Dialer.bi" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\loadnew.exe infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken

File C:\WINDOWS\questmod.dll infected by "Trojan.Win32.Dialer.bi" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\systime.exe infected by "Trojan.Win32.StartPage.pu" Virus. Action Taken: No Action

File C:\WINDOWS\TEMP\sp.html infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\3YF61XZW\prompt[1].htm infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\8XWHOP6F\mtrslib2[1].js infected by "Exploit.CodeBaseExec" Virus. Action
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\SX6ZC1AR\doit[1].exe infected by "Exploit.HTML.Mht" Virus. Action

Alt 22.11.2004, 15:57   #13
Shadowdance
 
Hilfe schon wieder ein Highjaker, - Standard

Hilfe schon wieder ein Highjaker,


@ jensH

gib bitte das gesamte Ergebnis des eScan an. Wieviel Viren wurden insgesamt auf Deinem Rechner gefunden?

Zitat:
hier nun mein log bitte schaut Ihn euch an der Pc stürtzt oft ab.

File C:\WINDOWS\QUESTMOD.DLL infected by "Trojan.Win32.Dialer.bi" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\loadnew.exe infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken

File C:\WINDOWS\questmod.dll infected by "Trojan.Win32.Dialer.bi" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\systime.exe infected by "Trojan.Win32.StartPage.pu" Virus. Action Taken: No Action

File C:\WINDOWS\TEMP\sp.html infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\3YF61XZW\prompt[1].htm infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\8XWHOP6F\mtrslib2[1].js infected by "Exploit.CodeBaseExec" Virus. Action
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\SX6ZC1AR\doit[1].exe infected by "Exploit.HTML.Mht" Virus. Action
---> die hier aufgeführten Viren kannst Du von Hand löschen:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus, "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten.

Lade das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Speichere die "Trojan.Win32.Dialer.bi" vor dem löschen auf Diskette, für den Fall, dass sich Deine Telefonrechnung erhöht: Dialer-Hinweis.

Erstelle ein neues Hijack This Logfile und poste es.

SD

Alt 22.11.2004, 15:57   #14
jensH
 
Hilfe schon wieder ein Highjaker, - Standard

Hilfe schon wieder ein Highjaker,


habe noch mehr gefunden:

File C:\WINDOWS\SYSTEM\dktibs.exe infected by "TrojanDownloader.Win32.Delf.dg" Virus. Action Taken: No

File C:\WINDOWS\SYSTEM\systime.exe infected by "Trojan.Win32.StartPage.pu" Virus. Action Taken: No Action Taken

File C:\WINDOWS\TEMP\sp.html infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temporary Internet Files\Content.IE5\3YF61XZW\prompt[1].htm infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken No Action

File C:\WINDOWS\Temporary Internet Files\Content.IE5\8XWHOP6F\mtrslib2[1].js infected by "Exploit.CodeBaseExec" Virus No

File C:\WINDOWS\Temporary Internet Files\Content.IE5\SX6ZC1AR\doit[1].exe infected by "Exploit.HTML.Mht" Virus. Action

File C:\WINDOWS\loadnew.exe infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\toolbar.exe infected by "Trojan.Win32.LowZones.f" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\questmod.dll infected by "Trojan.Win32.Dialer.bi" Virus. Action Taken: No Action Taken.

Alt 22.11.2004, 16:26   #15
jensH
 
Hilfe schon wieder ein Highjaker, - Standard

Hilfe schon wieder ein Highjaker,


Hallo Shadowdancer und Zero,

eier ist mir noch entwischt, ich hoffe ihr könnt damit etwas anfangen ich wäre heil froh und sehr dankbar.

Gruss Jens


C:\WINDOWS\loadnew.exe infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken.

Antwort
Seite 1 von 2 1 2

Themen zu Hilfe schon wieder ein Highjaker,
.exe, bho, explorer, firefox, hijack, hijackthis, hilfe, index, internet, internet explorer, keine ahnung, log, mein log, microsoft, mozilla, mozilla firefox, netzwerk, programme, registry, rundll, rundll32.exe, scan, software, spybot, start, symantec, system, temp, virus, windows, windows\temp


« Welche Einträge muß/sollte ich löschen? | Trojaner Verseuchung!!! etc. »


Ähnliche Themen: Hilfe schon wieder ein Highjaker,


  1. Leider wieder mal was bzw. schon wieder eingefangen
    Plagegeister aller Art und deren Bekämpfung - 06.04.2015 (9)
  2. Schon wieder Malware! Hilfe
    Log-Analyse und Auswertung - 07.10.2008 (4)
  3. Hilfe schon wieder
    Plagegeister aller Art und deren Bekämpfung - 05.09.2008 (1)
  4. Schon wieder!!!!!!!
    Plagegeister aller Art und deren Bekämpfung - 06.07.2007 (9)
  5. Highjaker zu Microsoft
    Log-Analyse und Auswertung - 16.09.2006 (3)
  6. Schon Wieder
    Plagegeister aller Art und deren Bekämpfung - 05.02.2006 (35)
  7. und schon wieder...
    Log-Analyse und Auswertung - 15.11.2005 (1)
  8. Hallo Highjaker Plage trotz Anti Virus Help!!
    Log-Analyse und Auswertung - 27.08.2005 (2)
  9. Und schon nerve ich schon wieder...
    Log-Analyse und Auswertung - 20.07.2005 (4)
  10. Hilfe, schon wieder ein Hijacker ...
    Log-Analyse und Auswertung - 28.03.2005 (5)
  11. Bitte nochmal um Hilfe, ist da schon wieder was faul???
    Log-Analyse und Auswertung - 22.02.2005 (5)
  12. Schon wieder Hilfe!
    Log-Analyse und Auswertung - 06.01.2005 (6)
  13. Schon wieder WebSiteViewer- Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 26.12.2004 (1)
  14. Hilfe!!! Schon wieder infiziert???
    Plagegeister aller Art und deren Bekämpfung - 24.11.2004 (14)
  15. Hilfe- schon wieder ein Trojaner- wer kann mir weiterhelfen?!?
    Plagegeister aller Art und deren Bekämpfung - 09.11.2004 (7)
  16. Schon wieder HILFE nötig
    Plagegeister aller Art und deren Bekämpfung - 07.08.2004 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Hilfe schon wieder ein Highjaker, - Hallo, habe keine Ahnung den Pc habe ich gekauft ist im netzwerk und hat einen Higjcker irdenein Index?? Und ein Virus in c:/ 125018.Exe der code vom Virus ist TR/Cldr.Small.JZ.4 - Hilfe schon wieder ein Highjaker,...
Archiv
Du betrachtest: Hilfe schon wieder ein Highjaker, auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55