Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Logfile Michaelos (https://www.trojaner-board.de/6141-logfile-michaelos.html)

Michaelos 01.07.2004 23:20
Logfile Michaelos
 
Hier ist mein Logfile:

Was sagt Ihr dazu?

Problem ist die Startseite SEARCH THE WEB

Gruß

Michael(os)


Logfile of HijackThis v1.98.0
Scan saved at 00:16:43, on 02.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\Programme\Opera75\opera.exe
D:\Programme\Movie Jack DVD\MovieJackDVDXL.exe
C:\WINDOWS\System32\notepad.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
D:\Programme\IT Sicherheit\Hijackthis\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Gabriel\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Gabriel\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Gabriel\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Gabriel\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Gabriel\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Gabriel\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeHelper Class - {A491D208-B353-490F-B81A-A8A3DC97042D} - "C:\WINDOWS\System32\smiehlp.dll (file missing)
O2 - BHO: (no name) - {BF8F1009-51EB-45EE-BB55-8B5BABF50FC6} - C:\WINDOWS\System32\gpp.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - D:\Programme\saveflash\Save Flash 2.4.20\SaveFlash.dll
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\Programme\MGI\MGI PhotoSuite II\Temp\MGI00000.html
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINDOWS\System32\SHDOCVW.DLL
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{526AC800-A2DA-432B-B945-B1F115C78AD0}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{6020DD85-4298-41B6-A7AF-58813BF69698}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{0574B1A9-EE15-4BE3-874E-83882FB1DEB1}: NameServer = 192.168.120.252,192.168.120.253
O18 - Filter: text/html - {DB85E56E-FE57-42C1-8262-64B627C5C6AB} - C:\WINDOWS\System32\gpp.dll
O18 - Filter: text/plain - {DB85E56E-FE57-42C1-8262-64B627C5C6AB} - C:\WINDOWS\System32\gpp.dll

Lutz 02.07.2004 07:02
Hallo Michael,

  • scanne Deinen Rechner im abgesicherten Modus mit eScan (siehe meine Signatur).
  • Markiere folgende Einträge in HijackThis und klicke anschließend auf 'Fix checked'
    Zitat:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Gabriel\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Gabriel\LOKALE~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Gabriel\LOKALE~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Gabriel\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Gabriel\LOKALE~1\Temp\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Gabriel\LOKALE~1\Temp\sp.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: IeHelper Class - {A491D208-B353-490F-B81A-A8A3DC97042D} - "C:\WINDOWS\System32\smiehlp.dll (file missing)
    O2 - BHO: (no name) - {BF8F1009-51EB-45EE-BB55-8B5BABF50FC6} - C:\WINDOWS\System32\gpp.dll (file missing)
    O18 - Filter: text/html - {DB85E56E-FE57-42C1-8262-64B627C5C6AB} - C:\WINDOWS\System32\gpp.dll
    O18 - Filter: text/plain - {DB85E56E-FE57-42C1-8262-64B627C5C6AB} - C:\WINDOWS\System32\gpp.dll
    Alternativ sollte auch die neueste Version von CWShredder in der Lage sein, diesen Hijacker zu fixen.

Michaelos 03.07.2004 13:39
Hallo Lutz,


danke für die Angaben, der Trojaner war aber nach den Tips von Radja schon weg.

Dennoch postete ich das Logfile.

Das Entfernt sein, ist jetzt nach mehreren Hochfahren bestätigt, so dass ich mir deinen Weg hier nur merke, falls es einmal noch komplizerter wird.

Viele Grüße und ich bin vom Forum nach diesem Desinfektionserfolg echt begeistert!

Michael

Radja 03.07.2004 13:43
Die von Lutz angegeben Einträge solltest Du aber noch fixen!


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:05 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19