![]() |
mit der bitte um auswertung : hijackthis.log hallo zusammen mein IE steht auf aboutblank und antivir meldet mir folgende attacken : C:\WINNT\UNIN040A.EXE:FAKOO Ist das Trojanische Pferd TR/Dldr.WinSh.AC.02 C:\WINNT\SYSTEM32\NETNF32.EXE Ist das Trojanische Pferd TR/Dldr.Agent.AP.3 C:\WINNT\SYSTEM32\APPXA.EXE Ist das Trojanische Pferd TR/Dldr.Agent.BQ nach behandlungen mit den gänigen virenprogrammen bin ich jetzt bei hijackthis gelandet mit folgendem logfile : Logfile of HijackThis v1.99.0 Scan saved at 23:09:36, on 21.12.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\WINNT\system32\LXSUPMON.EXE C:\Program Files\Windows ServeAd\WinServAd.exe C:\Program Files\Windows ControlAd\WinCtlAd.exe C:\Program Files\Windows ServeAd\WinServSuit.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe c:\Program Files\interMute\SpySubtract\SpySub.exe C:\Programme\Opera\opera.exe C:\WINNT\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Tomi Ungerer\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\bzqxe.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\bzqxe.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\bzqxe.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\bzqxe.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\bzqxe.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\bzqxe.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\bzqxe.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {D75C5E4F-7353-2B78-8462-BB1AE72FD792} - C:\WINNT\iejj32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\system32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: SpySubtract.lnk = C:\program files\interMute\SpySubtract\SpySub.exe O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: (HKLM) O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - hxxp://www.ipix.com/viewers/ipixx.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - hxxp://216.249.24.140/code/PWActiveXImgCtl.CAB O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - hxxp://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{FC9E51E9-F748-4782-ABC5-393D6CA4F0F6}: NameServer = 195.50.140.252 145.253.2.81 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: Workstation NetLogon Service - Unknown - C:\WINNT\appol32.exe (file missing) ich wäre euch für eine auswertung dankbar gruss stahldorf |
Lösche dies im abg. Modus: C:\WINNT\iejj32.dll C:\Program Files\Windows ControlAd Fixe dies mit HijackThis: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\bzqxe.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\bzqxe.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\bzqxe.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\bzqxe.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\bzqxe.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\bzqxe.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\bzqxe.dll/sp.html#28129 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {D75C5E4F-7353-2B78-8462-BB1AE72FD792} - C:\WINNT\iejj32.dll O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: (HKLM) O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - hxxp://www.ipix.com/viewers/ipixx.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - hxxp://216.249.24.140/code/PWActiveXImgCtl.CAB O23 - Service: Workstation NetLogon Service - Unknown - C:\WINNT\appol32.exe (file missing) C:\Program Files\Windows ServeAd\WinServAd.exe C:\Program Files\Windows ServeAd\WinServSuit.exe überprüfe bitte hier: hxxp://virusscan.jotti.dhs.org/ Bitte unbedingt www.windowsupdate.com besuchen und alle Updates und Patches installieren. |
vielen dank für die schnelle rückmeldung. der trojaner ist besiegt :) hat alles prima geklappt 1000 dank und super seite stahldorf |
Alle Zeitangaben in WEZ +1. Es ist jetzt 16:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board