|
Browser Gehijacked, aber wie werd ich das wieder los ? Hallo, zuerst mal ne Log Datei: Logfile of HijackThis v1.99.1 Scan saved at 21:58:19, on 28.08.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\***\Desktop\HiJackThis\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] "D:\ICQ\ICQLite.exe" -minimize O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] D:\ICQ\ICQLite.exe -trayboot O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQ\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQ\ICQLite.exe O13 - WWW. Prefix: http:// O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone O16 - DPF: {87BE3784-6977-4E84-AA08-55A96B9CEAC5} (BL_Camera) - http://68.146.204.172:81/bl_camera.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{10873BA1-FE2E-45C0-AF37-315E93CC89E9}: NameServer = 195.50.140.250,194.25.2.129 O17 - HKLM\System\CCS\Services\Tcpip\..\{9EE0007A-A76E-4953-AAAD-9C73423D64A2}: NameServer = 195.50.140.250,194.25.2.129 O17 - HKLM\System\CCS\Services\Tcpip\..\{D4156F17-542C-4B96-830F-4BE96ADD88F6}: NameServer = 195.50.140.250,194.25.2.129 O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\hr2q05f5e.dll O20 - Winlogon Notify: Telephony - C:\WINDOWS\system32\mbdtcuiu.dll (file missing) O21 - SSODL: SysTray - {E61B5E20-DE35-11CF-9C87-1579005127ED} - (no file) O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe Ich habe das Problem mein Browser trotz mehrerer Durchläuft von Antivir, Spybot S&D, sowie HiJackThis, immernoch ständig automatisch Seiten öffnet bzw. aufpoppt. Ist in der Log Datei noch irgend ein Prozess zu finden, der dafür verantwortlich sein könnte ? Ich persönlich kann da nämlich nichts mehr finden. Danke schonmal im Vorraus. |
Nabend! Vielleicht hat das etwas damit zu tun, bin mir aber NICHT sicher.. ich find die Dateien nur komisch.. ein Profi kann mich ja korrigieren :) Zitat:
|
Die Einträge kamen mir auch komisch vor, bei genauerem Hinsehen. Ich werd mal versuchen, die los zu werden, vielleicht hilfts ja. ;) |
Schön das ist helfen kann/konnte. :) |
Hm ok, die *.dll Datei (bei Winlogon Notify) heißt ständig anders und lässt sich auch nicht löschen, weil sie in Benutzung ist. Hat damit vielleicht schon jemand Erfahrungen ? ;) |
Mhm.. "File missing" kann man die nicht aus den Prozessen rausnehmen? Guck mal in den Autostart, was da so ist. Vielleicht auch so eine Datei. mfg |
@Kapaneus Ein absolut ungepatchtes System von Trojanern zu befreien ist SINNLOS! Ich (und die anderen Locals hier!) kann/können dir nur zu einer Neuinstallation raten mit anschliessender Absicherung durch Service Pack 2 und die nachfolgenden Sicherheitsupdates. Diese Einträge deuten auf Schädlinge hin: Zitat:
Gruß Sunny |
Neu installieren ist aber einfach nicht möglich, auch wenn das natürlich immer die einfachste Möglichkeit ist. Es ist ziemlich wichtig, das der Rechner weiterläuft und dieses Teil muss sich doch auch so loswerden lassen. Das mit dem Patchen lass mal meine Sorge sein, normalerweise hat das bisher nämlich immer ziemlich gut funktioniert. ;) Also bitte nicht die übliche leichte Lösung mit Formatieren (darauf wäre ich selbst auch gekommen), sondern mal was kreatives, wie das laufende System gerettet werden kann. ;) |
Zitat:
Aber lass mich mal eben überlegen....klick mal folgendes www.gelbeseiten.de ..und suche nach "COMPUTER SERVICE", dann nur noch anrufen und schon morgen früh kommt jemand und macht alles wieder FIT an deinem System :aplaus: Ich bereinige doch kein System, welches keinerlei Updates & Service Packs hat, und du morgen mit großer Wahrscheinlichkeit wieder hier auftauchst. Außerdem, sollte dein System so oder so schon kompromittiert sein nach Sasser, Lovesan, RBOT etc. pp, denn ohne Absicherung nisten die sich sowieso in deinem System ein. (und das ohne dein Zutun!) EOD |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:13 Uhr. |
Copyright ©2000-2025, Trojaner-Board