Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hijacker Alarm bei Antivir.... (https://www.trojaner-board.de/9983-hijacker-alarm-antivir.html)

Schmu 23.11.2004 15:28

Hijacker Alarm bei Antivir....
 
Hi,

hab heute Antivir laufen laßen und der hat mir gesagt das er befall in einem Archiv hat das aber nicht löschen kann. Im Internet explorer hab ich dann auch andere Startseite gehabt. Die kann ich aber weg machen und die Standartseite speichern... wenn ich aber in der IE Leiste auf Suchen klick kommt die wieder... also ist sie nicht ganz weg... hab schon neu gestartet... Adaware und Spybot eingesetzt... den CW Shrader hab ich auch schon laufen lassen... alles recht erfolglos... Nachdem Antivir erneut drüber gelaufen ist zeigt er keine Fehler mehr...(???) hier mein Log....

Logfile of HijackThis v1.98.2
Scan saved at 15:11:44, on 23.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\system32\Prismsta.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Karl-Heinz Schmitz\Desktop\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://duvx.com/bbs.php?bbs=NBC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://duvx.com/bbs.php?bbs=NBC
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://gb.bbs.ws/book.php?book=VIKTIION
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://duvx.com/bbs.php?bbs=NBC
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://duvx.com/bbs.php?bbs=NBC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.t-online.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: Gangsters2Setup.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04...dxIE601_de.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.browserplugin.com/plugin/...ss_special.ocx
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll

Glaube die folgenden Dateien haben was mit der Sache zu tun...

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://duvx.com/bbs.php?bbs=NBC

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://duvx.com/bbs.php?bbs=NBC
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://duvx.com/bbs.php?bbs=NBC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.t-online.de/


Das ist die Startseite die ich immer bekomm....

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://gb.bbs.ws/book.php?book=VIKTIION

Für Hilfe was ich noch tun könnte wäre ich dankbar... bitte kein Format c:\...

Gruß Schmu

Shadowdance 23.11.2004 17:54

@ Schmu

boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - Startup: Gangsters2Setup.lnk = ?
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - h**p://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - h**p://www.browserplugin.com/plugin...ess_special.ocx

wenn Du folgende Einträge nicht kennst/brauchst, bitte fixen:
(Häk'chen setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://duvx.com/bbs.php?bbs=NBC
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://duvx.com/bbs.php?bbs=NBC
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://gb.bbs.ws/book.php?book=VIKTIION
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://duvx.com/bbs.php?bbs=NBC
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://duvx.com/bbs.php?bbs=NBC
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - h**p://god.t-online.de/download/ExentCtl.ocx
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll

boote in den normalen Modus.

beende:
mmtask.exe

lösche:
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe

Aktiviere die Systemwiederherstellung.

Lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst nun einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte aus der "mwav.log" NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt?

Erstelle ein weiteres Hijack This Logfile und poste es.

SD

Schmu 24.11.2004 14:15

Hi,

hier das Ergebnis vom escan Test:

Wed Nov 24 13:57:28 2004 => ***** Checking for specific ITW Viruses *****
Wed Nov 24 13:57:28 2004 => Checking for Welchia Virus...
Wed Nov 24 13:57:28 2004 => Checking for LovGate Virus...
Wed Nov 24 13:57:28 2004 => Checking for CodeRed Virus...
Wed Nov 24 13:57:28 2004 => Checking for OpaServ Virus...
Wed Nov 24 13:57:28 2004 => Checking for Sobig.e Virus...
Wed Nov 24 13:57:28 2004 => Checking for Winupie Virus...
Wed Nov 24 13:57:28 2004 => Checking for Swen Virus...
Wed Nov 24 13:57:28 2004 => Checking for JS.Fortnight Virus...
Wed Nov 24 13:57:29 2004 => Checking for Novarg Virus...

Wed Nov 24 13:57:29 2004 => ***** Scanning complete. *****

Wed Nov 24 13:57:29 2004 => Total Number of Files Scanned: 93470
Wed Nov 24 13:57:29 2004 => Total Number of Virus(es) Found: 48
Wed Nov 24 13:57:29 2004 => Total Number of Disinfected Files: 0
Wed Nov 24 13:57:29 2004 => Total Number of Files Renamed: 16
Wed Nov 24 13:57:29 2004 => Total Number of Deleted Files: 21
Wed Nov 24 13:57:29 2004 => Total Number of Errors: 1
Wed Nov 24 13:57:29 2004 => Time Elapsed: 01:28:08
Wed Nov 24 13:57:29 2004 => Virus Database Date: 2004/11/24
Wed Nov 24 13:57:29 2004 => Virus Database Count: 110416



Hier die neue hijackthis.log:


Logfile of HijackThis v1.98.2
Scan saved at 14:06:29, on 24.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\system32\Prismsta.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Karl-Heinz Schmitz\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.t-online.de/
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04...dxIE601_de.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx

Hab ich jetzt alles beseitigt?

Gruß Schmu

Shadowdance 27.11.2004 21:15

Hallo Schmu,

Zitat:

Zitat von Schmu
hier das Ergebnis vom escan Test:

Wed Nov 24 13:57:29 2004 => Total Number of Files Scanned: 93470
Wed Nov 24 13:57:29 2004 => Total Number of Virus(es) Found: 48
Wed Nov 24 13:57:29 2004 => Total Number of Disinfected Files: 0
Wed Nov 24 13:57:29 2004 => Total Number of Files Renamed: 16
Wed Nov 24 13:57:29 2004 => Total Number of Deleted Files: 21
Wed Nov 24 13:57:29 2004 => Total Number of Errors: 1
Wed Nov 24 13:57:29 2004 => Time Elapsed: 01:28:08
Wed Nov 24 13:57:29 2004 => Virus Database Date: 2004/11/24
Wed Nov 24 13:57:29 2004 => Virus Database Count: 110416

--> Teile uns das Ergebnis des eScan mit (öffne dazu die "mwav.log" oder die "mwXface.log"): wie heißen die gefundenen, gelöschten bzw. umbenannten Viren: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:17 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19