|
Hijack This, Weiterleitung auf andere Homepages Hallo, seit einpaar Tagen werde ich beim surfen öfter mal auf andere Seiten weitergeleitet durch den Back-Button des Browsers komme ich wieder zurück (in der Regel google und Browser Explorer) auf die ursprüngliche Seite und kann beim erneuten Klick auf die gewünschte Seite springen. Außerdem hat gestern Antivir einen Virus gefunden, den ich gelöscht habe. Seit dem findet das Programm nichts mehr. Bin jetzt aber sehr skeptisch und es wäre schön, wenn Ihr auch mir weiterhelfen könntet und den Hijack Log überprüfen würdet. Der wurde im Abgesichertem Modus erstellt. Vielen Dank im voraus!!! ------------------------ Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 19:41:06, on 13.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Documents and Settings\Administrator\My Documents\****\Programme\antivir\hijack\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://w3.ibm.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {3D65677E-AC70-47E1-BF2D-5BAA77C6F852} - C:\WINDOWS\system32\jgmd400d.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ISAM SMT Service] "C:\Program Files\C4ebreg\isamsmt.exe" O4 - HKLM\..\Run: [Tpam.exe] "C:\Program Files\IBM\Personal Communications\tpam.exe" O4 - HKLM\..\Run: [ISAMTray] "C:\Program Files\C4ebreg\isamtray.exe" O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\CheckPoint\Integrity Client\iclient.exe" O4 - HKLM\..\Run: [stgclean] c:\sdwork\w32main2.exe /cleanup O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor O4 - HKLM\..\Run: [BLOG] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper O4 - HKLM\..\Run: [ACTray] C:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe O4 - HKLM\..\Run: [ACWLIcon] C:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe O4 - HKLM\..\Run: [MyHelpService] C:\Program Files\IBM\My Help\plugins\com.ibm.myhelp.installer\service\MyHelpStart.exe O4 - HKLM\..\Run: [PSQLLauncher] "C:\Program Files\Thinkvantage Fingerprint Software\launcher.exe" /startup O4 - HKLM\..\Run: [ISSI EZUpdate Service] "c:\sdwork\issimsvc.exe" O4 - HKLM\..\Run: [ipmcmu] c:\Program Files\IBM\IPM Client Migration Utility\ipmcmu.exe "c:\Program Files\IBM\IPM Client Migration Utility" O4 - HKLM\..\Run: [C4EBReg] "C:\Program Files\C4ebreg\c4ebreg.exe" /q O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Lotus QuickStart.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\IBM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\IBM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\IBM\Bluetooth Software\btsendto_ie.htm O14 - IERESET.INF: START_PAGE_URL=http://w3.ibm.com O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ibm.com O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ibm.com O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing) O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AppnNode - IBM Corporation - C:\WINDOWS\system32\Drivers\appnnode.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\IBM\Bluetooth Software\bin\btwdins.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe O23 - Service: ISAM SMT Service (ISAMsmt) - Unknown owner - C:\Program Files\C4ebreg\isamsmt.exe (file missing) O23 - Service: IBM Standard Asset Manager Service (ISAMSvc) - IBM Global Services - C:\Program Files\C4ebreg\c4ebreg.exe O23 - Service: ISSI EZUpdate (ISSIMon) - IBM Global Services - c:\sdwork\issimsvc.exe O23 - Service: IBM Enterprise Extender (ldlcserv) - IBM Corporation - C:\WINDOWS\system32\Drivers\ldlcserv.exe O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\notes\ntmulti.exe O23 - Service: My Help (MyHelp) - Unknown owner - C:\Program Files\IBM\My Help\plugins\com.ibm.myhelp.installer\service\MyHelpService.exe O23 - Service: Network Configuration Service (NetCfgSvr) - AT&T - C:\PROGRA~1\AT&TNE~1\NetCfgSv.EXE O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe O23 - Service: IBM Trace Facility (TrcBoot) - IBM Corporation - C:\WINDOWS\system32\Drivers\trcboot.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 9063 bytes - |
Morgen und :) Herzlich Willkommen im Trojaner-Board :) Ich tippe mal auf Adware in deinem System, aber schauen wir uns das mal näher an: Benutze bitte die neueste Version von Hijackthis und scanne im normalen Modus. * HijackThis - Scan 1. Lade dir das Tool hier runter -> Hijackthis 2.02 Final 2. Entpacke es in einen seperaten Ordner und benenne es um (z.b. C:\Programme\HijackThis\pruefung.com) 3. Führe die Datei aus und bestätige die Warnung mit "ok" 4. Wähle die Option "Do a System Scan and save a logfile" 5. poste den kompletten Inhalt des entstehenden LogFiles 6. Entferne persönliche Informationen sowie aktive Links * Dateien Online Überprüfen (versteckte Ordner und Dateien anzeigen lassen) 1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen: 2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg 3. Geschützte Systemdateien ausblenden -> Haken weg 4. Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden) 5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen (Dateien online überprüfen) 6. Speicher dir die unten angebenen Dateien auf einen externen Datenträger, falls du keine Internetverbindung hast. 7. lade die Seite von Virustotal (alternativ Jotti) 8. lade in der dafür vorgesehen Box folgende Datei(en) hoch Zitat:
10. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein * MWAV (eScan) - Free Antivirus 1. Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan (Sollte der Hinweis erscheinen, dass du nur mit der Vollversion die Funde löschen kannst, breche den Scan NICHT ab) 2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. - rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop) - führe die find.bat aus - das erstellte Log kopierst du ab und postest in deinen nächsten Beitrag 3. Entferne bitte nicht selber von escan alarmierte Funde. Es sind erfahrungsgemäß viele Fehlalarme dabei mfg Cleriker |
Hallo, danke erstmal, habe zwischenzeitlich auch Acrobat reader und Java runtergeschmiss, da veraltet. Code: Logfile of Trend Micro HijackThis v2.0.2[code] Datei jgmd400d.dll empfangen 2007.11.14 00:38:57 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.11.14.0 2007.11.13 Win-AppCare/Stud.9728 AntiVir 7.6.0.34 2007.11.13 ADSPY/Stud.D Authentium 4.93.8 2007.11.13 - Avast 4.7.1074.0 2007.11.13 Win32:Trojano-3384 AVG 7.5.0.503 2007.11.13 Adware Generic.WNV BitDefender 7.2 2007.11.13 Adware.Stud.I CAT-QuickHeal 9.00 2007.11.13 AdWare.Stud.d (Not a Virus) ClamAV 0.91.2 2007.11.13 Adware.BHO-15 DrWeb 4.44.0.09170 2007.11.13 - eSafe 7.0.15.0 2007.11.13 - eTrust-Vet 31.2.5293 2007.11.13 - Ewido 4.0 2007.11.13 Adware.Stud FileAdvisor 1 2007.11.14 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.4.2.54 2007.11.13 W32/Adware.IJT F-Secure 6.70.13030.0 2007.11.13 - Ikarus T3.1.1.12 2007.11.13 not-a-virus:AdWare.Win32.Stud.d Kaspersky 7.0.0.125 2007.11.13 not-a-virus:AdWare.Win32.Stud.d McAfee 5162 2007.11.13 - Microsoft 1.3007 2007.11.12 Trojan:Win32/Webprefix NOD32v2 2656 2007.11.13 Win32/Adware.BHO.AA Norman 5.80.02 2007.11.13 W32/Stud.Y Panda 9.0.0.4 2007.11.14 - Prevx1 V2 2007.11.14 - Rising 20.18.11.00 2007.11.13 Adware.Win32.Stud.d Sophos 4.23.0 2007.11.13 MapKon Sunbelt 2.2.907.0 2007.11.13 - Symantec 10 2007.11.13 Adware.Webprefix TheHacker 6.2.9.126 2007.11.13 Adware/Stud.d VBA32 3.12.2.4 2007.11.11 AdWare.Win32.Stud.d VirusBuster 4.3.26:9 2007.11.13 Adware.BHO.EC Webwasher-Gateway 6.0.1 2007.11.13 Ad-Spyware.Stud.D weitere Informationen File size: 29174 bytes MD5: 81c3a5242f5311b87f1c0f22d16b185b SHA1: c5fcd83e1ee2096b69cf4babb8980ade05701d2a packers: UPX packers: UPX packers: UPX packers: UPX [code] E-scan folgt. danke schon mal |
Zitat:
Wie kann ich das löschen? einfach auf entfernen klicken oder doch ein Tool verwenden. mache ich durch das Löschen der Datei etwas kaputt??? Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
E-scan hat außerdem folgende Dateien als infiziert gemeldet, die habe ich mal bei virustotal durchlaufen lassen. anbei das Ergebnis. Wie kann ich mich davon befreien? am besten natürlich ohne den Rechner neu aufzusetzen??? Code: Datei swreg.exe empfangen 2007.11.14 21:07:03 (CET)Code: Datei swsc.exe empfangen 2007.11.14 21:09:01 (CET)Code: Datei At1.job empfangen 2007.11.14 21:16:04 (CET)Code: Datei ObjSafe.tlb empfangen 2007.11.14 21:21:06 (CET)Code: Datei Desktop.ini empfangen 2007.11.14 21:33:11 (CET)Code: Datei wrar362d.exe empfangen 2007.11.14 21:41:03 (CET) |
Hallo, schöne Auswertung :) Die scheinen alle irgendwie unter einer Decke zu stecken, wie mir scheint. Entferne wie folgt: * Anleitung Avenger 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
4.) Danach das System unverzüglich neu starten lassen 5.) Poste den Inhalt der C:\avenger.txt Zitat:
als Überreste gelten. Sagt dir das was mfg Cleriker |
Hi, danke für das anschauen des Logs und die Unterstützung!!! Habe nach der Virusmeldung über Software entfernen von MS winrar vom System gelöscht. da ich es eh sehr selten gebraucht habe. Daher kann ich jetzt die Zeile ja nicht mehr eingeben. Soll ich einen neuen e-scan durchführen? auch einen neuen Hijackthis? was noch??? Mittlerweile habe ich combofix, counterspy auch schon auf dem Rechner. Danke nochmal für die Hilfe! |
Ein paar Scans zum Überprüfen wären nicht schlecht: 1. Hijackthis 2. Escan 3. * Silentrunners Logfile 1. Lade dir das Tool -> Silentrunners 2. Entpacke das Script in einen Ordner deiner Wahl 3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen 4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt (Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“ erstellen, ignoriere dieses und arbeite weiter!) 5. Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein. (die Datei wird im selben Ordner wie das Tool gespeichert) Falls das Script eine Fehlermeldung ausgibt: - starte regedit.exe über Start => Ausführen (oder Windowstaste+R) - navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings - stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat Hast du noch Probleme? mfg Cleriker |
hi, anbei die neuen Scans. Und virustotal hatte ja doch einiges gefunden. Soll ich die von Virustotal gefährlich eingestuften Dateien einfach Löschen? |
hi, was ich noch vergessen hatte. Smitfraud sagt mir garnichts. |
Boa wieso ist das immer noch alles infiziert, du hast ja gar nichts entfernt. Dein Combolog sieht auch nicht unbedingt nach einem Festmal aus. Zitat:
erst mal zu folgender Anleitung * Anleitung zur Entfernung von Zlob alias Puper, Fakealert, Smitfraud Nach der Auswertung sehen wir morgen weiter. mfg Cleriker |
@ regen: FirmenRechner? |
BataAlexander: ja, war mal Firmenrechner. |
Hatte Avenger nach den Logfiles gestartet. Lasse die Files gleich nochmal starten. Habe folgende mit Avenger gelöscht C:\WINDOWS\system32\jgmd400d.dll C:\WINDOWS\tasks\at1.job C:\WINDOWS\system32\objsafe.tlb winrar war bereits weg logfile Code: Logfile of The Avenger version 1, by Swandog46 |
Hi, habe jetzt alle Programme die ich mir zwischenzeitlich runtergeladen habe mal laufen lassen. Kann sie leider nicht interpretieren. ist das System jetzt sauber??? oder sollte ich noch was tun? Ich habe nur Smitfraud noch nicht laufen lassen. das mache ich auch noch gleich. Ist ziemlich viel, aber wäre dankbar wenn es sich jemand anschauen würde. Filelist und gmer versuche ich noch irgendwie zu posten, die sind leider sehr groß geworden. Dankeschön nochmal!!! Code: Logfile of Trend Micro HijackThis v2.0.2Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:51 Uhr. |
Copyright ©2000-2025, Trojaner-Board