Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Schaut euch bitte mal meine Log an! (https://www.trojaner-board.de/625-schaut-euch-bitte-mal-log.html)

shoppy 06.06.2004 19:24
HI,

mich hats nun auch mit dem Hijack erwischt und ich bekomme es nicht los.

habe schon alle dirvesen programme benutz ob abgesicherter oder nicht abgesicherter modes, es geht einfach nicht. und andauert wird meine host datei unter c:\windows verändert.

hier ist mal meine log file:

Logfile of HijackThis v1.97.7
Scan saved at 20:19:01, on 06.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\System32\vmnat.exe
C:\WINDOWS\System32\vmnetdhcp.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\OttBe\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

wenn ich dir R-Einträge lösche, sind sich gleich beim nächsten scan wieder da!

hat jmd noch einen tipp für mich?

rock 06.06.2004 20:40
das is aber etwas wenig? wo ist der rest vom log oder ist das alles????

irgendwie klingts nebenbei auch nach Backdoor Spybot/Sdbot...

Systemwiederherstellung deaktivieren!
XP interne firewall aktivieren!
diese einträge fixen!

C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php

anschliesend mit kaspersky (eventuell im abgesicherten modus) fullscan machen.

gruss
rock

edit: xp firewall aktivieren

raman 06.06.2004 20:44
Das Log kann durchaus so vollstaendig sein. Das was mich wundert ist, das ein aktuelles KAV die CWS DLL, die fuer die "R" Eintraege verantwortlich ist, finden sollte.

BTW Rock, warum soll er seinen Internetexplorer "fixen"? Obwohl so schleht waere es auch nicht. ;)

rock 06.06.2004 20:47
hehe,
mir kams auch komisch vor, aber ich hab dann bei mir gescannt, ich hab so einen eintrag nicht. nur Explorer exe und keine zwei mal iexplore.exe.

deshalb hab ich auf einen backdoor gedacht...

gruss
rock

edit: stimmt, sorry wenn ich mich geirrt habe...
bei einem anderen log soeben gesehen...

alles andere erwähnte fixen!

[ 06. Juni 2004, 21:52: Beitrag editiert von: rock' ]

shoppy 06.06.2004 20:55
der ie war so oft offen, weil ich zwei fenster offen hatte.

wenn ich die R fixe bringt es nix, die sind gleich beim nächsten scan wieder drinne ...

raman 06.06.2004 21:11
Hast du Rocks Tipp mit dem Vollscan schon gemacht? Dein Kaspersky ist doch mit aktuellen Signaturen "bestueckt"?
Die Tipps von hier hast du auch scon durch?
http://www.rokop-security.de/main/article.php?sid=703

eine System32dll befindet sich zufaellig nicht in deinem System32 Ordner?

shoppy 06.06.2004 21:20
eine system32.dll hab ich nicht!

den scan hab ich neulich schon ohne erfolg durchgeführt, aber ich starte es gerade nochmal!

shoppy 06.06.2004 21:20
doch, ich hab die datei

c:\windows\system32\system32.dll

soll ich die löschen?

shoppy 07.06.2004 06:43
hi,

also ich werde gleich heute abend, wenn ich zuhause bin die dll löschen.
die hosts habe ich zwei mal, einmal unter

c:\windwos
und einmal unter dem pfad den du geschrieben hast.

aber darin sind ganz viele umleitungen meier eigenen ip (localhost)

z.B.

127.0.0.1 www.xxx.de.ws

usw

wenn ich die lösche bringt aber nix, nach ein paar sekunden wird sie auch wieder erstellt.
ich hoffe durch die löschung der dll wird dies auch verhindert. ist die system32.dll auch noch im dllchache unter c:\windows\system32 ?

danke

greetz
shoppy

mav1976 07.06.2004 11:41
hi shoppy,

ja die mußt du sogar löschen, da sie dafür verantwortlich ist, daß die einträge immer wieder neu auftauchen. ;)

auch kannst du gleichx deine "hosts" (genauso geschrieben, ohne endung) kontrollieren, was da drin steht.

sie sollte bei dir nur an einem ort auftauchen. und zwar:

c:\windows\system32\drivers\etc\hosts

sie sollte normalerweise 1kb groß sein, und es sollte sich nur ein eintrag dort drin befinden (nach der erklärung): 127.0.0.1 localhost

shoppy 07.06.2004 17:29
hi,

so ich habe jetzt die system32.dll gelöscht und bei meinem ie ist wieder alles ok.
aber mein winpatrol meldet mir dauernt, dass die datei "hosts" verändert wurde.
wenn ich mir die datei dann anschaue, stehen ganz viele verknüfungen von localhost zu irgendwelchen seiten drinnen.

wie bekomme ich dies noch raus?

Tiber 07.06.2004 18:07
Die Datei "hosts" ist unter
c:\windows\system32\drivers\etc zu finden und kann mit einem einfachen Editor (notepad.exe) bearbeitet werden.

Gruß Tiber

shoppy 07.06.2004 20:23
danke, aber das weiß ich schon.
aber wenn ich sie änderen geht es keine zwei minuten und irgend ein programm ändert mir die datei wieder ...

ich was nicht was ich machen soll

paff 07.06.2004 21:19
@shoppy

Poste mal bitte den Inhalt der hosts Datei

Ich glaube der Spybot ist derjenige welche der die Datei ändert.

Gruß paff

shoppy 07.06.2004 21:34
danke, hat sich erledigt.
scheint mit löschen der system32.dll behebt zu sein!

danke euch allen nochmal


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27