Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Browser Übergreifender Hijacker ?? (https://www.trojaner-board.de/7043-browser-ubergreifender-hijacker.html)

platinuma 22.08.2004 12:56
Browser Übergreifender Hijacker ??
 
Hey habe folgendes Problem:
Erstmal das HJ Log :
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\tools\avg7_245\avgamsvr.exe
C:\tools\avg7_245\avgupsvc.exe
C:\WINDOWS\System32\GEARSec.exe
C:\tools\OPOFW_21\outpost.exe
C:\tools\pqi_7\Agent\PQV2iSvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\tools\avg7_245\avgcc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\tools\corel12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=090604 serial=xxxxxxxxxxxxx-nft lang=DE
O4 - HKLM\..\Run: [AVG7_CC] C:\tools\avg7_245\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\xxxxx\xxxxxxx\outpost.exe /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\tools\WinZip\WZQKPICK.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{57FC2E81-7F4A-40B8-A1BF-45EDBA319AD1}: NameServer = 194.25.2.129,193.158.140.105
O17 - HKLM\System\CCS\Services\Tcpip\..\{D358C38D-7413-4997-A132-384C504DCB15}: NameServer = 217.237.151.225 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{57FC2E81-7F4A-40B8-A1BF-45EDBA319AD1}: NameServer = 194.25.2.129,193.158.140.105
O17 - HKLM\System\CS2\Services\Tcpip\..\{57FC2E81-7F4A-40B8-A1BF-45EDBA319AD1}: NameServer = 194.25.2.129,193.158.140.105


Bei jedem Browser den ich starte egal ob Opera , Mozilla, Firebird (ausser Kmeleon)
versucht dieser zu folgenden IP zu Connecten:
mozilla.exe TCP OUT 67.19.99.210 HTTP Port 1039 www.fastercan._com

mozilla.exe TCP OUT 196.7.147.4 HTTP 1037 www.download.prodatabackup._com


Dasselbe bei Opera und FB .
Ich hab HJT Ad-Aware und Cwshredder laufen lassen ohne Befund .Ich hab die Platte und Reg durchsucht auch nix gefunden,hab bestimmt was übersehen ,schon mal hiervon gehört ????????????

Shadowdance 22.08.2004 15:51
Hallo platinuma,

bitte sei so nett und editiere Dein Posting mit einem neuen Logfile, das auch die Systemangaben enthält. Es sollte mit dieser Zeile beginnen: "Logfile of HijackThis v1.98.2".

Danke
SD

platinuma 22.08.2004 16:38
Logfile of HijackThis v1.98.2
Scan saved at 17:35:29, on 22.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\tools\avg7_245\avgamsvr.exe
C:\tools\avg7_245\avgupsvc.exe
C:\WINDOWS\System32\GEARSec.exe
C:\tools\OPOFW_21\outpost.exe
C:\tools\pqi_7\Agent\PQV2iSvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\tools\avg7_245\avgcc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\tools\WinZip\WZQKPICK.EXE
C:\tools\nbpro_406\nbpro.exe
C:\tools\mozilla\mozilla.exe
I:\interentemp\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\tools\corel12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=090604 serial=xxxxxxxxxxxx-nft lang=DE
O4 - HKLM\..\Run: [AVG7_CC] C:\tools\avg7_245\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\tools\Opofw_21\outpost.exe /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\tools\WinZip\WZQKPICK.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\tools\Opofw_21\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\tools\Opofw_21\TRASH.EXE (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{57FC2E81-7F4A-40B8-A1BF-45EDBA319AD1}: NameServer = 194.25.2.129,193.158.140.105
O17 - HKLM\System\CCS\Services\Tcpip\..\{D358C38D-7413-4997-A132-384C504DCB15}: NameServer = 217.237.151.225 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{57FC2E81-7F4A-40B8-A1BF-45EDBA319AD1}: NameServer = 194.25.2.129,193.158.140.105
O17 - HKLM\System\CS2\Services\Tcpip\..\{57FC2E81-7F4A-40B8-A1BF-45EDBA319AD1}: NameServer = 194.25.2.129,193.158.140.105



Oki hab übrigens auch Escan und mit ner Knoppix CD mal nen AV scan gemacht --Narda ....menno gibts da nix von Datiopharm ???


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:39 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131