|
HAllo, Ich bin wirklich verzweifelt und weiss nicht mehr weiter, wie ich diesen dummen Hijacker beseitigen kann...Habe schon alles versucht CWShredder, AdAware, Spybot HijackThis, die yellow-page.com Anleitung zum Entfernen einfach alles... Poste hier nun mal die LogFile von HijackThis Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\DvzCommon\DvzMsgr.exe C:\Programme\Palm\HOTSYNC.EXE C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\Internet Explorer\iexplore.exe D:\Downloads\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {6CD65348-56A5-43AD-80D6-6B643FC69599} - C:\WINDOWS\System32\hip.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE O4 - Global Startup: Dataviz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...118.3722337963 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{AE6933EB-A2D6-49B4-84A3-741214956E57}: NameServer = 192.168.1.1 Vielen Dank und Gruß |
Hi Chris, wie ich dem HijackThis-Log entnehmen kann, verwendest Du McAfee VirusScan. Ist die Virendefinition aktuell? Wie Du diesem Beitrag entnehmen kannst, hatte ich die gleichen Symptome, gestern einen Workaround gefunden, um den Trojaner vorerst still zu legen und heute Morgen hat McAfee ihn schließlich als StartPage-CZ erkannt und gelöscht. Er tauchte dann noch mal auf, wurde aber gleich wieder gelöscht. Ich hab' jetzt Ruhe - vielleicht hilft's Dir ja auch... PS: Bei Dir heißt die Trojaner-DLL z.Zt. hip.dll... [img]smile.gif[/img] |
Hallo! </font><blockquote>Zitat:</font><hr />Original erstellt von chrissuperstar: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hip.dll/sp.html (obfuscated) O2 - BHO: (no name) - {6CD65348-56A5-43AD-80D6-6B643FC69599} - C:\WINDOWS\System32\hip.dll</font>[/QUOTE]Diese Einträge in HijackThis markieren, Fix checked wählen. Zuvor müssen alle IE- und Explorer-Fenster geschlossen werden. Starte sodann Windows neu, geh in C:\WINDOWS\System32\, such nach der Datei hip.dll, sende sie bitte an die in meiner Signatur genannten Adressen und lösch sie letzlich. Achso, ich vergaß: - System patchen, Windows aktualisieren! - vorbeugend Browserwechsel (auch diesen bitte stets aktuell halten), z.B. Opera, Mozilla, Firefox. |
Hi Markus, das Löschen der von Dir genannten Einträge über HijackThis bringt immer nur recht kurz etwas. Der Trojaner ist wenig später wieder da, u.U. hat die DLL dann auch einen anderen Namen... :( Aber wie bereits gesagt: Ich bin das Problem jetzt Dank Antiviren-Update los... [img]smile.gif[/img] [ 13. Mai 2004, 15:40: Beitrag editiert von: Mäc ] |
Hallo, die entsprechenden Dateien gefixt, wollte dann die hip.dll löschen, aber sie ist im Ordner System32 nicht vorhanden....vorübergehend ist der Hijacker erstmal weg...vielen Dank erstmal... |
</font><blockquote>Zitat:</font><hr />...wollte dann die hip.dll löschen, aber sie ist im Ordner System32 nicht vorhanden....</font>[/QUOTE]Hallo, die Datei ist da, allerdings versteckt. Im Moment wird forenübergreifend an einer Lösung gearbeitet. Bitte hab noch ein bisschen Geduld mit uns... ;) |
Moin, das Remove-Tool ist da: Rokop Security - aber wie gesagt, ein aktuelles Antiviren-Update tut's mittlerweile auch... ;) Trotzdem: Hut ab, Rokop! [img]graemlins/daumenhoch.gif[/img] |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:32 Uhr. |
Copyright ©2000-2025, Trojaner-Board