Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Startseitenhijacker (https://www.trojaner-board.de/5991-startseitenhijacker.html)

TheIfrit 15.06.2004 08:13
Hi zusammen,

Dachte, ich kriegs alleine hin und hab schon recht grosszügig in der Registry rausgelöscht, aber offensichtlich nicht, denn es ist immer noch da.

Logfile of HijackThis v1.97.7
Scan saved at 09:04:58, on 15.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
d:\Programme\Security\AVPersonal\AVGUARD.EXE
d:\Programme\Security\AVPersonal\AVWUPSRV.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\System32\RunDll32.exe
D:\Programme\Tools\MySQL\bin\mysqld-nt.exe
D:\programme\tools\QuickTime\qttask.exe
D:\Programme\Security\AVPersonal\AVGNT.EXE
C:\PROGRA~1\BINDEQ~1\64ReadmeGrey.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
D:\PROGRA~1\Security\POP-UP~1\PSFREE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Security\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Tools\AcrobatReader5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\Tools\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {66C54DE2-43D5-4FB7-1F97-6494AD17ABA7} - C:\PROGRA~1\bolttool\kindsettings.dll
O2 - BHO: (no name) - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {709ADAFB-311E-E58E-08DB-9CDB0878301B} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\tools\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] d:\Programme\Tools\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [idol user] C:\PROGRA~1\BINDEQ~1\64ReadmeGrey.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "D:\PROGRA~1\TOOLS\POP-UP~1\PSFREE.EXE"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Danke im Vorraus,
Ifrit666

Nangie 15.06.2004 09:00
Hallo and Welcome on Board [img]smile.gif[/img]

Bitte aufmerksam lesen

HijackThis Anleitung

Lucky 15.06.2004 10:16
Guck bitte undbedingt mal im System32 Verzeichnis ob es da zwei rundll32.exe gibt.
Du hast 2 in deinem Log, und eine davon hat eine komische Schreibweise, so das ich nicht ausschliessen kann, das das 2 grosse i sind und keine kleine Ls.

</font><blockquote>Zitat:</font><hr />C:\WINDOWS\System32\RunDll32.exe</font>[/QUOTE]Björn

TheIfrit 15.06.2004 10:19
Danke erstmal für die Links.

AdAware lasse ich schon nahezu täglich drüberlaufen, mit aktueller Version, wenn eine da ist.
Aber es entfernt nur den eintrag für die Session. nicht dauerhaft. Ist dann bei jedem Neustart wieder da.

Spybot findet nen DSO Exploit, aber der wird auch nicht dauerhaft entfernt.

Schätze, dann muss ichs wohl mal im abgesicherten Modus veruschen, oder?

CWS findet derzeit gar nix.

@Lucky
Nö, da is nur eine, auch mit versteckten Dateien.

Abermals danke im vorraus
TheIfrit

[ 15. Juni 2004, 11:24: Beitrag editiert von: TheIfrit ]

AndyN 15.06.2004 12:29
Bitte korrigiert mich wenn ich falsch liege aber ist das kein Trojaner Downloader?

O2 - BHO: (no name) - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - (no file)

Ich kenn mich noch nicht so gut aus aber ich find sie merkwürdig!!

Lutz 15.06.2004 20:14
Beitrag verschoben nach: Trojaner, Viren, Würmer


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:24 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131