Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Brauche Hilfe !! Scheinbar einen Trojaner gefangen !? (https://www.trojaner-board.de/2264-brauche-hilfe-scheinbar-trojaner-gefangen.html)

ralli zischer 04.04.2004 19:27
Hallo Leidensgenossen,

seit ein paar Tagen erscheint bei mir bei Aufruf des Internet-Explorers als Startseite folgendes:

http://213.159.117.233/search.cgi?ac...0?%61%69%64=42

Offensichtlich habe ich mir einen Trojaner "eingefangen" der sich irgendwo versteckt aber wo??
Meine gewünschte Startseite kann ich zurzeit nur für die laufende Sitzung am PC wieder einsetzen. Nach Neustart erscheint wieder die o.g. Seite. Über www.dialerschutz.de habe ich den Hinweis auf das Programm Hijack this bekommen, welches ich runtergeladen und eingesetzt habe. Einige Einträge, die m.E. suspekt waren habe ich daraufhin gelöscht. Die in dem nachfolgenden Hijack log von heute aufgeführten Einträge sind jetzt noch vorhanden. Sind hier noch Einträge vorhanden, die nicht auf den Rechner gehören? wer kann mir einen Tipp (oder mehrere) geben.

Logfile of HijackThis v1.97.7
Scan saved at 19:37:43, on 04.04.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)
Running processes:
C:\WINDOWS.000\SYSTEM\KERNEL32.DLL
C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE
C:\WINDOWS.000\SYSTEM\MPREXE.EXE
C:\WINDOWS.000\SYSTEM\mmtask.tsk
C:\WINDOWS.000\SYSTEM\MSTASK.EXE
C:\WINDOWS.000\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS.000\EXPLORER.EXE
C:\WINDOWS.000\TASKMON.EXE
C:\WINDOWS.000\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS.000\SYSTEM\QTTASK.EXE
C:\PROGRAMME\BRENNER\INCD\INCD.EXE
C:\PROGRAMME\ANTIVIRUS\AVGCTRL.EXE
C:\PROGRAMME\SOPHOS SWEEP\ICMON.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\WINDOWS.000\SYSTEM\WMIEXE.EXE
C:\WINDOWS.000\TEMP\ICSUPP95.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS.000\SYSTEM\PSTORES.EXE
C:\WINDOWS.000\SYSTEM\INTERNAT.EXE
C:\WINDOWS.000\SYSTEM\RNAAPP.EXE
C:\WINDOWS.000\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE
C:\PROGRAMME\YAW 3.5\UPX.EXE
C:\WINDOWS.000\SYSTEM\WINOA386.MOD
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ahgwli.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ahgwli.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ahgwli.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ahgwli.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ahgwli.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ahgwli.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ahgwli.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ahgwli.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://ahgwli.t.muxa.cc/h.php?aid=420 (obfuscated)
F1 - win.ini: run=C:\WINDOWS.000
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: HTML Source Editor - {086AE192-23A6-48D6-96EC-715F53797E85} - C:\WINDOWS.000\SYSTEM\DREPLACE.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS.000\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS.000\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [VsEcomrEXE] C:\Programme\Network Associates\McAfee VirusScan\vsecomr.exe
O4 - HKLM\..\Run: [AvconsoleEXE] C:\Programme\Network Associates\McAfee VirusScan\avconsol.exe /minimize
O4 - HKLM\..\Run: [VsStatEXE] C:\Programme\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS.000\SYSTEM\QTTASK.EXE
O4 - HKLM\..\Run: [NetCologne E-Mail-Checker] "C:\Programme\NetCologne\traystart.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Brenner\InCD\InCD.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS.000\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [McAfeeWebScanX] C:\PROGRAMME\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTIVIRUS\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\Run: [InterCheckMonitor] "C:\PROGRAMME\SOPHOS SWEEP\ICMON.EXE" -minimised
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS.000\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [McAfeeWebScanX] C:\PROGRAMME\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS.000\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [Sweep95] C:\Programme\Sophos SWEEP\ICLOAD95.EXE
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe"
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .mpga: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab


Insbesondere die unter R0 und R1 aufgeführten Einträge scheinen mir suspekt, da Sie auch nach dem "Fixen" und löschen beim nächsten Scan wieder auftauchen. Auch die Antiviren-Software von Sophos hat mir nicht geholfen.

Vielen Dank für jede Hilfe.

[ 04. April 2004, 20:32: Beitrag editiert von: ralli zischer ]

Yopie 04.04.2004 19:43
Hi ralli zischer,

willkommen an Board. [img]smile.gif[/img]

Du hast Dir in der Tat einen Browser Hijacker eingefangen.

Hilfe zur Selbsthilfe:
Bitte gehe nach dieser Anleitung vor; zur Analyse des HJT-Logs gibts auch ein Tutoial. Bei Problemen wird Dir hier natürlich gerne weitergeholfen. ;)

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19