Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Fastlook.com Startseitentrojaner Hilfe bitte. (https://www.trojaner-board.de/6601-fastlook-com-startseitentrojaner-hilfe-bitte.html)

thinktank 01.08.2004 09:59
Fastlook.com Startseitentrojaner Hilfe bitte.
 
Hallo zusammen!

Erst mal möcht ich sagen das ich das Forum und die Leute die denenn helfen die probleme haben sehr sehr geil find :-)

So nun zu meinen Problem. Seit ein paar tagen befinde ich mich auf der jagt nach dem Trojaner aber ziemlich erfolglos immer wenn ich dennke jetzt hab ich ihn tacht er wieder auf. Aber das is ja normal nur allein komm ich nicht mehr klar bin zwar a weng vom fach aber so tief bin ich auch nicht drin in Win2k. Also bitte hilfe hier ma mein HJ log.

Danke und Gruß
Bernd


Logfile of HijackThis v1.98.0
Scan saved at 10:57:36, on 01.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Network Associates\McAfee Desktop Firewall für Windows 2000\FireSvc.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\EPOX\USDM\USDM.EXE
C:\WINNT\TBPanel.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\PROGRA~1\Logitech\iTouch\iTouch.exe
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\WINNT\winlogon.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Network Associates\McAfee Desktop Firewall für Windows 2000\FireTray.exe
C:\Dokumente und Einstellungen\Thinktank\Desktop\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fastlook.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fastlook.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [EPoXUSDM] "C:\Programme\EPOX\USDM\USDM.EXE" "5000"
O4 - HKLM\..\Run: [Gainward] C:\WINNT\TBPanel.exe /A
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [iexplore.exe] C:\WINNT\winlogon.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: McAfee Desktop Firewall Tray.lnk = ?
O17 - HKLM\System\CCS\Services\Tcpip\..\{D179855D-F299-436C-A36D-65A21ABF8822}: NameServer = 196.171.1.1,196.171.1.1
O20 - AppInit_DLLs: nvdesk32.dll

*Christian* 01.08.2004 11:12
Bitte mal überprüfen: C:\WINNT\winlogon.exe bei http://www.kaspersky.com/de/scanforvirus


Fixen:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fastlook.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{D179855D-F299-436C-A36D-65A21ABF8822}: NameServer = 196.171

thinktank 01.08.2004 11:24
jo die winlog on werd ich ma testen kann nur gerade nicht da escan im abgesicherten Modus erneut läuft.
die eintrag mit der 196... ip kommt von meinem router kann aber nichts damit anfangen was das ist aber ich werds fixen !
Andere frage hat einer lust über MSN kontakt aufzunehmen und mir a weng zu helfen wenn ja dann hier meine msn Regnal_Orton@hotmail.com und vielen dank im vorraus !
Hab den trojaner schon a paar ma gedacht weg zu haben aber nach spätestens 30 min online is er wieder da !
Acch ja eines der blockerprogramme meldet zwar das die startseite geändert werden soll und blockt das aber es sagt nicht wer es ändern möchte. Ihr seht ich bin im auf der spur nur zur letzten erfolgreichen vernichtung brauch ich noch die hilfe von erfahrenen trojannerjägern :-)
DAnke scho ma
Gruß
Bernd

thinktank 01.08.2004 12:24
Logfile of HijackThis v1.98.0
Scan saved at 13:20:19, on 01.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Network Associates\McAfee Desktop Firewall für Windows 2000\FireSvc.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\EPOX\USDM\USDM.EXE
C:\WINNT\TBPanel.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\PROGRA~1\Logitech\iTouch\iTouch.exe
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Network Associates\McAfee Desktop Firewall für Windows 2000\FireTray.exe
C:\Dokumente und Einstellungen\Thinktank\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [EPoXUSDM] "C:\Programme\EPOX\USDM\USDM.EXE" "5000"
O4 - HKLM\..\Run: [Gainward] C:\WINNT\TBPanel.exe /A
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: McAfee Desktop Firewall Tray.lnk = ?
O17 - HKLM\System\CCS\Services\Tcpip\..\{D179855D-F299-436C-A36D-65A21ABF8822}: NameServer = 196.171.1.1
O20 - AppInit_DLLs: nvdesk32.dll

So der neuste scan und die winlogon.exe gekillt alle temp files aus allen profilen und mom siehts gut aus :-) !!!

Ma sehen wie lange es hält :-)

Gruß
Bernd

*Christian* 01.08.2004 16:39
Das Log schaut jetzt gut aus.
Man kann noch empfehlen, dass du einen sicherern Browser verwenden solltest. www.firefox-browser.de ist schnell, sicher und kostenlos.

thinktank 01.08.2004 19:53
jo werds mir überlegen da mir diese trojanerjagt ganz schön auf die .... geht !

Vielen dank für hilfe :-)


Gruß
Bernd


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131