![]() |
Habe ein Problem mit einem sehr hartnäckigen Vertreter eines Hijackers Hallo Leute, ich habe mir vor kurzem einen sehr hartnäckigen Vertreter eines Hijackers eingefangen. Zuerst habe ich es mit escan versucht. Ohne Erfolg. Dann habe ich Hijackthis drüberlaufen lasssen und es anhand der Anleitung von trojaner-info gefixt. Ohne Erfolg. Vielleicht könnt Ihr mir helfen. Hier mein Log: Logfile of HijackThis v1.98.0 Scan saved at 22:03:46, on 26.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\monitor.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Apoint2K\Apoint.exe C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Apoint2K\Apntex.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Jonas Compensis\Desktop\Notbookclean\hijackthis_198\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.14/ie R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.14/ie R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = www.global-acer.com F2 - REG:system.ini: Shell=Explorer.exe monitor.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {DE3BEBDB-AEE7-4277-8B6E-4EEFFA9508AE} - C:\WINDOWS\System32\zoeawin.dll (disabled by BHODemon) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [monitor] monitor.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O13 - DefaultPrefix: http://195.225.176.14/pre.pl? O13 - WWW Prefix: http://195.225.176.14/pre.pl? O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe Vielen Dank! |
Abgesicherter Modus und dies fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.14/ie R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.14/ie R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/ O2 - BHO: (no name) - {DE3BEBDB-AEE7-4277-8B6E-4EEFFA9508AE} - C:\WINDOWS\System32\zoeawin.dll (disa O13 - DefaultPrefix: http://195.225.176.14/pre.pl? O13 - WWW Prefix: http://195.225.176.14/pre.pl? O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe Danach diese Datei löschen: C:\WINDOWS\System32\zoeawin.dll Mit einem anderen Browser kannst du sowas künftig verhindern: www.firefox-browser.de ist schnell, sicher und kostenlos. |
Hallo jonas und Willkommen an Board, hat eScan denn etwas Verdächtiges gefunden? Fixe bitte folgendes mit HijackThis: Zitat:
Zur Monitor.exe habe ich dieses gefunden. Solltest Du Dir mal durchlesen. Sorry, hier der Link: http://support.microsoft.com/?kbid=317445 nachgereicht Anschließend boote den Rechner neu und erstelle ein neues Log mit HijackThis. Edit: OK - Christian war schneller... ;) |
da hat wohl jemand was ganz wichtiges vergessen: F2 - REG:system.ini: Shell=Explorer.exe monitor.exe unbedingt fixen!! und dies hier auch: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = www.global-acer.com neptune |
@neptune Warum? Weil die automatische Auswertung das so sagt? Monitor.exe ist keine Malware, zumindest nicht wenn es die Originaldatei ist. Schau mal in meinen Link. Und warum sollte global-acer bei einem Notebook (wahrscheinlich ACER!?!) unbedingt gefixt werden? |
@lutz die seite global-acer.com gibt es nicht und der monitor.exe eintrag ist wenn nicht böse dann überflüssig! |
Ok, die Seite gibt es nicht (mehr). Der Punkt geht an Dich. Aber das Monitor.exe überflüssig ist, würde ich so nicht sagen. Wenn diese 'sauber' ist und nicht die im Link beschriebenen Fehler verursacht, würde ich sie stehen lassen. |
ok, aber ich würd die exe loeschen.. normal taucht sie in logs ja nicht auf.. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 07:03 Uhr. |
Copyright ©2000-2025, Trojaner-Board