|
hijacker/startseite - trotz hijackthis v1.99.1 nicht zu beseitigen hallo leute, habe mir offensichtlich mal wieder einen einen hijacker eingefangen. ist nicht das erste erste mal, allerdings habe die die mistdinger bisher auch dank eurer tips wie :headbang: der los gebracht. problem: auch wenn ich bei 1. deaktivierter systemwiederherstellung 2. virencheck mit gdata im abgesicherten modus 3. scannen und fixen mit hijackthis v.1.99.1 im abgesicherten modus 3. ausführen von cw shredder im abgesicherten modus 4. ausführen spy-bot im abgesicherten modus 5. ausführen clearprog 1.4.0 6. das ganze anschließend noch im normalen modus durchlaufen lasse, bringe ich die startseite :"search-links-net" nicht weg. hier das logfile: Logfile of HijackThis v1.99.1 Scan saved at 23:47:58, on 21.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Virenschutz\AVKService.exe C:\Programme\Virenschutz\AVKWCtl.exe C:\Programme\sicherheit utilities\AVWUPSRV.EXE C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe C:\WHEELM~1\wh_exec.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\LeechGet 2004\LeechGet.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Rü\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-links.net R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-links.net/?my= (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-links.net/?my= (obfuscated) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe O4 - HKLM\..\Run: [WheelMouse] C:\WHEELM~1\wh_exec.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%6C%69%6...%6E%65%74/?my= O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%6C%69%6...%6E%65%74/?my= O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM) O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone (HKLM) O17 - HKLM\System\CCS\Services\Tcpip\..\{33EF0783-9AB2-4278-8CDD-9B1F313EF127}: NameServer = 205.188.146.145 O17 - HKLM\System\CS2\Services\Tcpip\..\{33EF0783-9AB2-4278-8CDD-9B1F313EF127}: NameServer = 205.188.146.145 O20 - Winlogon Notify: drct16 - drct16.dll (file missing) O20 - Winlogon Notify: iexplore - Ew5Af.dll (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\sicherheit utilities\AVGUARD.EXE O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\Virenschutz\AVKService.exe O23 - Service: G DATA Virenschutz Wächter (AVKWCtl) - Unknown owner - C:\Programme\Virenschutz\AVKWCtl.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\sicherheit utilities\AVWUPSRV.EXE O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe bin mir ziemlich sicher, daß die Einträge R0, R1, R1, O13, 015 mit dem hijackthis-tool gefixt werden müssen. leider sind die beim nächsten scannen wieder da! die einträge O20 sagen mir gar nichts. soll ich die auch fixen? habe ja schon einiges mitgemacht mit viren, hijackern etc., aber so was hartnäckiges habe ich noch nicht erwischt! kann mir da bitte jemand helfen? |
Hallo fitze, führe bitte dies mal aus: 1. Downloade Dir escan und befolge diese Anleitung (Scan im ABGESICHERTEN MODUS dauert etwa eine Stunde), 2. starte nach dem Scan wieder in den normalen Modus, 3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen" 4. gebe dann "infected" ein, 5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum, 6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten. Beispiel: Wed Feb 02 19:48:56 2005 => Total Files Scanned: Wed Feb 02 19:48:56 2005 => Total Virus(es) Found: . . . . dartus |
@ Fitze Zitat:
und das wird warscheinlich nicht das letzte mal sein, Grund: Zitat:
|
hi dartus, habe mit escan im abgesicherten modus durchlaufen lassen. erschütternd, was da alles auftaucht... hier das logfile mit den infected-einträgen. Tue Mar 22 20:14:20 2005 => File C:\WINDOWS\System32\kb32.exe infected by "Trojan.Win32.StartPage.vo" Virus. Action Taken: No Action Taken. Tue Mar 22 20:14:31 2005 => File C:\WINDOWS\system32\cTbinet.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Tue Mar 22 20:14:31 2005 => File C:\WINDOWS\System32\kb32.exe infected by "Trojan.Win32.StartPage.vo" Virus. Action Taken: No Action Taken. Tue Mar 22 20:14:50 2005 => File C:\WINDOWS\sehlp.dll infected by "Trojan-Downloader.Win32.Agent.kb" Virus. Action Taken: No Action Taken. Tue Mar 22 20:16:18 2005 => File C:\WINDOWS\System32\openconf.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken. Tue Mar 22 20:16:36 2005 => File C:\WINDOWS\System32\spnping.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken. Tue Mar 22 20:16:53 2005 => File C:\WINDOWS\System32\winlogon32.exe infected by "Trojan-Downloader.Win32.Small.anj" Virus. Action Taken: No Action Taken. Tue Mar 22 20:26:35 2005 => File C:\Dokumente und Einstellungen\fitze\Eigene Dateien\setx2000.exe infected by "not-a-virus:Porn-Dialer.Win32.Generic" Virus. Action Taken: No Action Taken. Tue Mar 22 21:05:01 2005 => Scanning Folder: C:\Programme\sicherheit utilities\INFECTED\*.* Tue Mar 22 21:05:01 2005 => Scanning File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.002 Tue Mar 22 21:05:01 2005 => File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.002 infected by "Trojan-Downloader.Win32.Small.alx" Virus. Action Taken: No Action Taken. Tue Mar 22 21:05:01 2005 => Scanning File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.004 Tue Mar 22 21:05:01 2005 => File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.004 infected by "Trojan-Downloader.Win32.Small.alx" Virus. Action Taken: No Action Taken. Tue Mar 22 21:05:01 2005 => Scanning File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.VIR Tue Mar 22 21:05:01 2005 => File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.VIR infected by "Trojan-Downloader.Win32.Small.alx" Virus. Action Taken: No Action Taken. Tue Mar 22 21:05:30 2005 => File C:\Programme\TopConverting\arkanoid\arkanoid.exe infected by "not-a-virus:AdWare.WinShow.f" Virus. Action Taken: No Action Taken. Tue Mar 22 21:07:03 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken. Tue Mar 22 21:07:03 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1100.dll infected by "not-a-virus:AdWare.Gator.1101" Virus. Action Taken: No Action Taken. Tue Mar 22 21:07:04 2005 => File C:\WINDOWS\Downloaded Program Files\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken. Tue Mar 22 21:07:04 2005 => File C:\WINDOWS\Downloaded Program Files\HDPlugin1100.dll infected by "not-a-virus:AdWare.Gator.1101" Virus. Action Taken: No Action Taken. Tue Mar 22 21:07:04 2005 => File C:\WINDOWS\Downloaded Program Files\webdlg32.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken. Tue Mar 22 21:13:13 2005 => File C:\WINDOWS\sehlp.dll infected by "Trojan-Downloader.Win32.Agent.kb" Virus. Action Taken: No Action Taken. Tue Mar 22 21:20:08 2005 => File C:\WINDOWS\system32\openconf.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken. Tue Mar 22 21:20:34 2005 => File C:\WINDOWS\system32\spnping.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken. Tue Mar 22 21:21:10 2005 => File C:\WINDOWS\system32\winlogon32.exe infected by "Trojan-Downloader.Win32.Small.anj" Virus. Action Taken: No Action Taken. Tue Mar 22 21:34:00 2005 => File C:\Dokumente und Einstellungen\fitze\Eigene Dateien\setx2000.exe infected by "not-a-virus:Porn-Dialer.Win32.Generic" Virus. Action Taken: No Action Taken. Tue Mar 22 22:11:01 2005 => Scanning Folder: C:\Programme\sicherheit utilities\INFECTED\*.* Tue Mar 22 22:11:01 2005 => Scanning File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.002 Tue Mar 22 22:11:01 2005 => File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.002 infected by "Trojan-Downloader.Win32.Small.alx" Virus. Action Taken: No Action Taken. Tue Mar 22 22:11:01 2005 => Scanning File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.004 Tue Mar 22 22:11:01 2005 => File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.004 infected by "Trojan-Downloader.Win32.Small.alx" Virus. Action Taken: No Action Taken. Tue Mar 22 22:11:01 2005 => Scanning File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.VIR Tue Mar 22 22:11:02 2005 => File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.VIR infected by "Trojan-Downloader.Win32.Small.alx" Virus. Action Taken: No Action Taken. Tue Mar 22 22:11:31 2005 => File C:\Programme\TopConverting\arkanoid\arkanoid.exe infected by "not-a-virus:AdWare.WinShow.f" Virus. Action Taken: No Action Taken. Tue Mar 22 22:13:02 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken. Tue Mar 22 22:13:02 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1100.dll infected by "not-a-virus:AdWare.Gator.1101" Virus. Action Taken: No Action Taken. Tue Mar 22 22:13:02 2005 => File C:\WINDOWS\Downloaded Program Files\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken. Tue Mar 22 22:13:02 2005 => File C:\WINDOWS\Downloaded Program Files\HDPlugin1100.dll infected by "not-a-virus:AdWare.Gator.1101" Virus. Action Taken: No Action Taken. Tue Mar 22 22:13:02 2005 => File C:\WINDOWS\Downloaded Program Files\webdlg32.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken. Tue Mar 22 22:19:08 2005 => File C:\WINDOWS\sehlp.dll infected by "Trojan-Downloader.Win32.Agent.kb" Virus. Action Taken: No Action Taken. Tue Mar 22 22:26:00 2005 => File C:\WINDOWS\system32\openconf.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken. Tue Mar 22 22:26:25 2005 => File C:\WINDOWS\system32\spnping.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken. Tue Mar 22 22:27:01 2005 => File C:\WINDOWS\system32\winlogon32.exe infected by "Trojan-Downloader.Win32.Small.anj" Virus. Action Taken: No Action Taken. Tue Mar 22 22:27:22 2005 => Total Files Scanned: 85136 Tue Mar 22 22:27:22 2005 => Total Virus(es) Found: 35 Tue Mar 22 22:27:22 2005 => Total Disinfected Files: 0 wie geht's jetzt weiter? gruß fitze |
ich glaub bei mir ist er wegg |
Zitat:
Zitat:
Und jetzt erzähl uns nicht, Du hättest noch nie etwas von der Anfälligkeit des Internet Explorers gehört... Das Netz und jeder zweite Thread hier dürfte voll davon sein. Und in jedem zweiten Posting sind Schutzmaßnahmen aufgeführt. Gruß :daumenhoc Yopie |
Hi dartus nachdem ich spyboot durchgeführt hab sag der mir effectiveBandtoolbar und adnn noch dollar55 kann nicht auf ini zugreifen da es von etwas anderem benutzt wird hast du nen Rat? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:20 Uhr. |
Copyright ©2000-2025, Trojaner-Board