Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bittee bitte HiJack Log durchsehen (https://www.trojaner-board.de/7134-bittee-bitte-hijack-log-durchsehen.html)

HannesMA 26.08.2004 20:08
Bittee bitte HiJack Log durchsehen
 
Hallo, Ihr seid meine letzte Hoffnung.
Hier mein "Case":
Muß seit Tagen in address bar immer http:// angeben; e.g. www.cnn..com allein funktioniert nicht mehr.
Habe folgende Hijacker Software durchlaufen lassen: CWShredder, Ad-Aware, Spybot, A2 Guard. => ohne Besserung
Nach den Anweisungen im Forum folgten danach
eScan (5 files verändert) und HiJack

Habt ihr ne idee??

Logfile of HijackThis v1.98.2
Scan saved at 21:06:37, on 26.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Speed Disk\nopdb.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\HP\HP Software Update\HPWuSchd.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\a2\a2guard.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Mindjet\MindManager 5\sys\PDF\ENU\W2K\PDFSaver.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\bases\HijackThis.exe
C:\WINDOWS\System32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [a²] "C:\Program Files\a2\a2guard.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MindManager PDF Writer.lnk = C:\Program Files\Mindjet\MindManager 5\sys\PDF\ENU\W2K\PDFSaver.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O13 - Gopher Prefix:

Lutz 26.08.2004 20:19
Hallo Hannes,

fixe mal mit HijackThis diesen Eintrag:
Zitat:
O13 - Gopher Prefix:
Evtl. war das schon alles.

HannesMA 26.08.2004 20:39
http:// Prefix Issue: Pls HiJack Log durchsehen
 
Hi Lutz, hab's probiert. Das wars leider nicht.
Habe auch noch ein eSCAN log im Angebot-> hat aber 5MB.

Gibts eigentlich noch die Möglichkeit, daß das was mit Settings oder so zu tun hat (die Hoffnung stirbt zuletzt)?
In der Registry hab ich schon die Prefixes gecheckt. Die sind's aber auch nicht.

Jemand ne Idee?

Gruessle, und Danke. Hannes

Lutz 27.08.2004 07:42
Hallo Hannes,

im Anhang dieses Postings findest Du die Datei IEFIX.reg.txt.
Lade sie Dir bitte einmal herunter und ändere den Namen auf IEFIX.reg, also entferne die zweite Endung .txt.

Wenn Du die Datei IEFIX.reg mit einem Doppelklick ausführst, werden die Registry-Einträge für den Internet-Explorer auf den 'Auslieferungszustand' zurückgesetzt. Dabei werden dann allerdings auch die Startseite, die Suchseite, ect. zurückgesetzt. Das sollte aber anschließend das kleinere Problem sein, Deine persönlichen Seiten wieder einzubinden.

Grundsätzlich empfehle ich allerdings immer eine Sicherung der kompletten Registry zu machen, bevor man dort Veränderungen vornimmt.

HannesMA 27.08.2004 18:08
Hi Lutz.
Hab alles wie empfohlen gemacht. Leider is nix passiert. Auch StartSeite ist nachwievor google und Favoriten etc. sind auch dieselben.
Habe zudem ncohamsl Spybot durchlaufen lassen und DSO Exploit entdeckt und gemäß Anweisungen auf http://www.chip.de/forum/thread.html?bwthreadid=673280 manuell in der Registry die 1004 Keys erneuert.

Leider (ächz) hat sich dieses komische Browser Problem von wegen http:// eingeben noch nicht geändert.

noch ne Idee?

Gruesse Dich (Euch), Hannes

Lutz 28.08.2004 07:51
Hallo Hannes,

dass iefix.reg keine Veränderungen bei Deinem Rechner durchgeführt hat, verstehe ich nicht. Was natürlich nicht heißen soll, dass ich Dir nicht glaube. :)

Schau mal bitte 'manuell' nach, was in diesen beiden Registry-Pfaden steht:

Zitat:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix]
und
Zitat:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes]
IMHO sind das die verantwortlichen Registry-Einträge.

Wenn dort -im Gegensatz zu den Einträgen von iefix.reg nichts anderes steht- habe ich auch keine rechte Idee mehr. Du könntest noch eine Reparatur des IE versuchen. Oder du 'wagst' Dich an das SP 2 für XP, welches ja u.a. auch eine ganze Reihe von Aktualisierungen im IE ausführt...


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:17 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55