|
|
#1
14.09.2004, 18:37
|
||||
|
||||
Hilfe Hijacker, wer kennt sich aus
Hi,
hab einen Hijacker auf meinem Rechner und hab mit einigen Tools es nicht geschafft ihn zu löschen. Hier die Log file, kann sie mir jemand auslesen?? Logfile of HijackThis v1.98.2 Scan saved at 19:12:46, on 14.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\Mixer.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Free Surfer\fs20.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\or32or32SP.exe C:\WINDOWS\system32\winmm64.exe C:\WINDOWS\msor.exe C:\WINDOWS\6A29.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\crypserv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\planetmovie\Eigene Dateien\New Files\stinger.exe C:\Dokumente und Einstellungen\planetmovie\Eigene Dateien\New Files\HijackThis.exe C:\Programme\Internet Explorer\IEXPLORE.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-ex R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=n-ex R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-ex R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-ex R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://s-redirect.com/?b=n-ex R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=n-ex R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=n-ex R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-ex R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=n-ex R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-ex R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=n-ex R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lexmark.com/MD/?func=newr...os=5&src=1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [freesurfer] C:\Programme\Free Surfer\fs20.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [or32or32SP] C:\WINDOWS\or32or32SP.exe O4 - HKCU\..\Run: [YAW Autostart] "C:\Programme\YAW\yaw.exe" O4 - HKCU\..\Run: [SpywareGuardPlus] C:\WINDOWS\system32\winmm64.exe O4 - HKCU\..\Run: [or32or32SP] C:\WINDOWS\or32or32SP.exe O4 - HKCU\..\Run: [msor] C:\WINDOWS\msor.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\OFFICE~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Free Surfer - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - C:\Programme\Free Surfer\FS20.exe O9 - Extra 'Tools' menuitem: Free Surfer - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - C:\Programme\Free Surfer\FS20.exe O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{098F9F37-7611-4FD4-9114-50032B429272}: NameServer = 217.237.150.33 217.237.151.161 O17 - HKLM\System\CS1\Services\Tcpip\..\{098F9F37-7611-4FD4-9114-50032B429272}: NameServer = 217.237.150.33 217.237.151.161 O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - C:\WINDOWS\sysdll.reg O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\sysdll.reg
__________________
Alfa, emozioni uniche |
|
#2
14.09.2004, 20:29
|
|||
|
|||
|
@ Marcello
Ich habe auch schon solche lustigen Hijacker entfernt!!! :motz: Es kann aber je nach Version enorm mühsam werden!!! Nun ich würde mal mit dem hier versuchen: http://www.safer-networking.org/en/download/index.html AUf dieser Site Spybot search and destroy saugen!! Danach installieren und vor dem ersten Durchlauf unbedingt auf Udates prüfen (bei mir gab es fast immer eines) Nach dem Update starte einen System Check!!! Wenn es mit diesem Programm nicht geht wird es schon schwieriger.... Du kannst mit dem CWS Shredder und /oder Win Patrol Prozesse welche in Verbindung mit dem IE sind nachsehen und eventuell auch killen... Wenn der sch...Hijacker aber eine ganz harte Nuss ist, musst du eventuell mit einer Bootdisk/CD manuel die verantwortliche *.dll Datei entfernen. (die Bootdisk/oder CD muss aber einen Treiber zur Ünterstützung vom NTFS-Dateisystem haben, ausser du hast eine FAT-32 Partition) Winpatrol hat mir aber das letztemal die dll welche die ganze kacke startet angezeigt..nach dem löschen (manuel mit Boot-CD) dieser Datei konnte ich mit Spybot Search and Destroy den Resten löschen..... Viel Glück!! :wink: Cheers Sämu |
|
#3
14.09.2004, 21:27
|
||||
|
||||
|
ich war vor kurzem mal auf ein forum gestossen, wo leute ihre hijackthis-logs gepostet haben und die jungs dort genau sagen konnten, was da gefixt werden muss... mit etwas googlen solltest du die auch finden (hatte auf google nach nem trojaner gesucht, dessen name ich vergessen hatte, und hab das forum so gefunden)..
ich denke der erfolg wird da grösser sein... spybot ist natürlich ein versuch wert, zusätzlich aber auch ad-ware drüberlaufen lassen, die ergänzen sich super! www.spybot.info und www.lavasoft.de gruss michel |
|
#4
14.09.2004, 21:33
|
||||
|
||||
|
nachtrag:
hier ein forum, bei dem man die logs posten kann: http://www.trojaner-board.de/forumdisplay.php?f=20 oder hier: http://www.windowspower.de/bereich46.html sind aber beide nicht das von mir oben genannte... scheints bei google wie sand am mehr zu geben... gruss michel |
|
#5
15.09.2004, 17:43
|
||||
|
||||
|
@ all
danke für eure posts, ich glaube das Problem ist jetzt behoben. hier die Links, falls jemand interessiert ist  abgesicherter Modus eScan
__________________
Alfa, emozioni uniche |
Linear-Darstellung
