Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hilfe bei Trojaner/Hijack-Log

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 17.01.2005, 21:13   #1
nordlicht
 
Hilfe bei Trojaner/Hijack-Log - Icon22

Hilfe bei Trojaner/Hijack-Log



Moin Moin,

nachdem Antvir mir plötzlich verschiedene Trojaner meldet und ich diese nicht mit Hilfe von Virandatenbanken eindeutig identifizieren kann um sie zu entfernen bitte ich um Eure Hilfe.


Logfile of HijackThis v1.99.0
Scan saved at 20:59:35, on 17.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\michael\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R3 - URLSearchHook: Search - {CC1A315A-FC98-4DF6-A829-2CBD2106D905} - C:\WINDOWS\system32\Q16173015.dll (file missing)
R3 - URLSearchHook: Search - {1020BF67-E5E1-479E-9865-AC244CB7AF92} - C:\WINDOWS\system32\Q18462109.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\winapps\tools\AdobeReader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A0832E93-9AEE-40B0-84F8-B3AAB5E9ED8F} - C:\WINDOWS\system32\mcicdb.dll (file missing)
O3 - Toolbar: Search - {87D00F19-01FD-4BDC-B19A-5792C5FCE79C} - C:\WINDOWS\system32\Q16173015.dll (file missing)
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - (no file)
O3 - Toolbar: Search - {D34E4D4D-B16B-45BC-A57B-373046D9994E} - C:\WINDOWS\system32\Q18462109.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\winapps\tools\DaemonTools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\winapps\tools\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\system32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\winapps\tools\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\winapps\tools\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [sp2chk.exe] sp2chk.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\winapps\tools\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\winapps\tools\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\winapps\tools\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\winapps\tools\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\winapps\BRO~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Search - {87D00F19-01FD-4BDC-B19A-5792C5FCE79C} - C:\WINDOWS\system32\Q16173015.dll (file missing)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\winapps\tools\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\winapps\tools\ICQLite\ICQLite.exe
O9 - Extra button: Search - {D34E4D4D-B16B-45BC-A57B-373046D9994E} - C:\WINDOWS\system32\Q18462109.dll (file missing)
O15 - Trusted Zone: http://*.63.219.181.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{34D030E8-2E2A-4F99-B57A-0D95A5A02E3B}: NameServer = 69.50.188.178,69.31.80.244
O17 - HKLM\System\CCS\Services\Tcpip\..\{C775359B-F2D6-4293-B1E9-1EDB61E362A9}: NameServer = 69.50.188.178,69.31.80.244
O17 - HKLM\System\CS1\Services\Tcpip\..\{34D030E8-2E2A-4F99-B57A-0D95A5A02E3B}: NameServer = 69.50.188.178,69.31.80.244
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\winapps\tools\AntiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\winapps\tools\AntiVir\AVWUPSRV.EXE
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\system32\HPHipm11.exe


Einiges davon kommt mir sehr suspekt vor, aber bevor ich hier wichtige Dinge lösche.
Die Systemwiederherstellung ist deaktiviert, muss Hijack grundsätzlich im abgesicherten Modus laufen?

Danke.

Alt 17.01.2005, 21:46   #2
chaosman
 
Hilfe bei Trojaner/Hijack-Log - Standard

Hilfe bei Trojaner/Hijack-Log



@nordlicht
poste bitte ein HJT logfile aus der normalen modus
nachdem Antvir mir plötzlich verschiedene Trojaner meldet
poste bitte auch die pfade und namen
chaosman
__________________

__________________

Alt 17.01.2005, 22:16   #3
nordlicht
 
Hilfe bei Trojaner/Hijack-Log - Standard

Hilfe bei Trojaner/Hijack-Log



Moin,

habe inzwischen weitergelesen, es läuft gerade escan.

Bisher gefunden:
Hack.Tool.Win32.Hidd.c *Virus* als "hdvbv.dll" und als "hdxop.dll"
sowie
"tlntadmnx.exe" und "winmscd.exe", beide *not-avirus*, mit beiden kann ich bisher wenig angfangen finde sie nur in englischsprachigen Foren und damit hapert es bei mir ein wenig.

[edit]
Jetzt räumt escan gerade mein Antivir-Infected-verzeichnis auf, darin steckt noch einer der Trojaner "NAJESUU.DLL", soll "Trojan-Downloader.Win32.Agent.gl" sein.
[/edit]

Hat jemand eine Idee was die beiden "tlntadmnx.exe" und "winmscd.exe" sind und ob ich die mit löschen sollte?
Wenn escan zu ende ist werde ich aufräumen und noch einmal scannen, wenn dann noch etwas über ist, komme ich wieder.

Danke euch erstmal bis hier her.
__________________

Alt 18.01.2005, 00:08   #4
nordlicht
 
Hilfe bei Trojaner/Hijack-Log - Standard

Hilfe bei Trojaner/Hijack-Log



Mist, ich glaube mein Beitrag eben war zu lang.

Der letzte Log von Antivir (vor escan und hijack):


Start des Suchlaufs: Sonntag, 16. Januar 2005 01:58

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Master-Bootsektor von Festplatte HD1
Der Sektor konnte nicht gelesen werden!
Fehlercode: 0x0015
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK
Bootsektor von Laufwerk E: OK
Bootsektor von Laufwerk F: OK

C:\Dokumente und Einstellungen\anna\Anwendungsdaten\Coder\45700-joke-0-0-
gn.exe
Die Datei enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/301179 (Dialer) und wurde vom Benutzer unterdrückt.
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\system32
iecust.dll
[FUND!] Ist das Trojanische Pferd TR/Drp.Small.OW.1
WURDE GELÖSCHT!
Q18462109.dll
[FUND!] Ist das Trojanische Pferd TR/Drp.Chsea.A.1
WURDE GELÖSCHT!
wncust.exe
[FUND!] Ist das Trojanische Pferd TR/Drp.Small.OW.3
WURDE GELÖSCHT!
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

Fehler beim Wechsel in das Verzeichnis System Volume Information

E:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
Fehler beim Wechsel in das Verzeichnis System Volume Information

Ende des Suchlaufs: Sonntag, 16. Januar 2005 02:11
Benötigte Zeit: 12:49 min

2123 Verzeichnisse wurden durchsucht
26292 Dateien wurden geprüft
6 Warnungen wurden ausgegeben
3 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Viren bzw. unerwünschte Programme wurden gefunden


Log von Escan (alle Funde bis auf die beiden *not-a-virus* habe ich gelöscht):

Mon Jan 17 23:37:46 2005 => ***** Checking for specific ITW Viruses *****
Mon Jan 17 23:37:47 2005 => Checking for Welchia Virus..
Mon Jan 17 23:37:47 2005 => Checking for LovGate Virus...
Mon Jan 17 23:37:47 2005 => Checking for CodeRed Virus...
Mon Jan 17 23:37:47 2005 => Checking for OpaServ Virus..
Mon Jan 17 23:37:47 2005 => Checking for Sobig.e Virus...
Mon Jan 17 23:37:47 2005 => Checking for Winupie Virus...
Mon Jan 17 23:37:47 2005 => Checking for Swen Virus...
Mon Jan 17 23:37:47 2005 => Checking for JS.Fortnight Virus...
Mon Jan 17 23:37:47 2005 => Checking for Novarg Virus...
Mon Jan 17 23:37:47 2005 => Checking for Pagabot Virus...
Mon Jan 17 23:37:47 2005 => Checking for Parite.b Virus...
Mon Jan 17 23:37:47 2005 => Checking for Parite.a Virus...

Mon Jan 17 23:37:47 2005 => ***** Scanning complete. *****
Mon Jan 17 23:37:48 2005 => Total Files Scanned: 28208
Mon Jan 17 23:37:48 2005 => Total Virus(es) Found: 13
Mon Jan 17 23:37:48 2005 => Total Disinfected Files: 0
Mon Jan 17 23:37:48 2005 => Total Files Renamed: 0
Mon Jan 17 23:37:48 2005 => Total Deleted Files: 0
Mon Jan 17 23:37:48 2005 => Total Errors: 14
Mon Jan 17 23:37:48 2005 => Time Elapsed: 01:45:16
Mon Jan 17 23:37:48 2005 => Virus Database Date: 2005/01/17
Mon Jan 17 23:37:48 2005 => Virus Database Count: 115848

Mon Jan 17 23:37:48 2005 => Scan Completed.

Alt 18.01.2005, 00:11   #5
nordlicht
 
Hilfe bei Trojaner/Hijack-Log - Standard

Hilfe bei Trojaner/Hijack-Log



Und das Log von hijack im normalen Modus:

Logfile of HijackThis v1.99.0
Scan saved at 00:00:40, on 18.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\winapps\tools\AntiVir\AVGUARD.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\winapps\tools\AntiVir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\winapps\tools\DaemonTools\daemon.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\WINDOWS\system32\hphmon04.exe
C:\winapps\tools\ICQLite\ICQLite.exe
C:\winapps\tools\AntiVir\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\HPHipm11.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\michael\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R3 - URLSearchHook: Search - {CC1A315A-FC98-4DF6-A829-2CBD2106D905} - C:\WINDOWS\system32\Q16173015.dll (file missing)
R3 - URLSearchHook: Search - {1020BF67-E5E1-479E-9865-AC244CB7AF92} - C:\WINDOWS\system32\Q18462109.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\winapps\tools\AdobeReader\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Search - {87D00F19-01FD-4BDC-B19A-5792C5FCE79C} - C:\WINDOWS\system32\Q16173015.dll (file missing)
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - (no file)
O3 - Toolbar: Search - {D34E4D4D-B16B-45BC-A57B-373046D9994E} - C:\WINDOWS\system32\Q18462109.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\winapps\tools\DaemonTools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\winapps\tools\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\system32\hphmon04.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\winapps\tools\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\winapps\tools\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\winapps\tools\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\winapps\tools\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\winapps\tools\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\winapps\tools\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\winapps\BRO~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Search - {87D00F19-01FD-4BDC-B19A-5792C5FCE79C} - C:\WINDOWS\system32\Q16173015.dll (file missing)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\winapps\tools\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\winapps\tools\ICQLite\ICQLite.exe
O9 - Extra button: Search - {D34E4D4D-B16B-45BC-A57B-373046D9994E} - C:\WINDOWS\system32\Q18462109.dll (file missing)
O15 - Trusted Zone: http://*.63.219.181.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{34D030E8-2E2A-4F99-B57A-0D95A5A02E3B}: NameServer = 69.50.188.178,69.31.80.244
O17 - HKLM\System\CCS\Services\Tcpip\..\{C775359B-F2D6-4293-B1E9-1EDB61E362A9}: NameServer = 69.50.188.178,69.31.80.244
O17 - HKLM\System\CS1\Services\Tcpip\..\{34D030E8-2E2A-4F99-B57A-0D95A5A02E3B}: NameServer = 69.50.188.178,69.31.80.244
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\winapps\tools\AntiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\winapps\tools\AntiVir\AVWUPSRV.EXE
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\system32\HPHipm11.exe


Zur Zeit läuft alles ohne Probleme, ist der Spuk vorbei?


Alt 21.01.2005, 05:00   #6
Shadowdance
 
Hilfe bei Trojaner/Hijack-Log - Standard

Hilfe bei Trojaner/Hijack-Log



@ nordlicht

boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken), wenn Du diese Einträge nicht kennst/brauchst:

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = h**p://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R3 - URLSearchHook: Search - {CC1A315A-FC98-4DF6-A829-2CBD2106D905} - C:\WINDOWS\system32\Q16173015.dll (file missing)
R3 - URLSearchHook: Search - {1020BF67-E5E1-479E-9865-AC244CB7AF92} - C:\WINDOWS\system32\Q18462109.dll (file missing)
O3 - Toolbar: Search - {87D00F19-01FD-4BDC-B19A-5792C5FCE79C} - C:\WINDOWS\system32\Q16173015.dll (file missing)
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - (no file)
O3 - Toolbar: Search - {D34E4D4D-B16B-45BC-A57B-373046D9994E} - C:\WINDOWS\system32\Q18462109.dll (file missing)
O9 - Extra button: Search - {87D00F19-01FD-4BDC-B19A-5792C5FCE79C} - C:\WINDOWS\system32\Q16173015.dll (file missing)
O9 - Extra button: Search - {D34E4D4D-B16B-45BC-A57B-373046D9994E} - C:\WINDOWS\system32\Q18462109.dll (file missing)

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung. Boote neu.

Zitat:
Log von Escan (alle Funde bis auf die beiden *not-a-virus* habe ich gelöscht): Mon Jan 17 23:37:48 2005 => Total Virus(es) Found: 13
--> gib bitte die Namen dieser 13 Viren an: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Antwort

Themen zu Hilfe bei Trojaner/Hijack-Log
abgesicherten modus, antivir, antivir update, antvir, askbar, avgnt.exe, banke, banken, bho, button, ctfmon.exe, daemontools, drivers, ellung, entfernen, excel, explorer, file missing, hijack, hijackthis, hotkey, icq, internet, internet explorer, microsoft, obfuscated, office, programme, software, suspekt, system, system32, systemwiederherstellung, tcpip, temp, trojaner, update, urlsearchhook, windows, windows xp



Ähnliche Themen: Hilfe bei Trojaner/Hijack-Log


  1. Trojaner TR/SPY.KeyLogger.ZZ Hijack This ist vorhanden! Bitte um Hilfe!
    Log-Analyse und Auswertung - 24.06.2009 (0)
  2. hilfe - hijack :(
    Log-Analyse und Auswertung - 22.02.2009 (3)
  3. brauche hilfe mit HiJack
    Mülltonne - 08.12.2008 (0)
  4. Hijack Log File,Virus,trojaner ? Hilfe !!
    Log-Analyse und Auswertung - 30.11.2007 (1)
  5. Hilfe HiJack!!!
    Log-Analyse und Auswertung - 16.04.2007 (6)
  6. HiJack LoG Bitte um Hilfe
    Log-Analyse und Auswertung - 26.03.2007 (5)
  7. Hilfe: Trojaner TR/Dldr.Ladder.D, ieloader.dll, HiJack Log Auswertung
    Plagegeister aller Art und deren Bekämpfung - 28.12.2005 (1)
  8. Hilfe bei Hijack Auswertung
    Log-Analyse und Auswertung - 31.05.2005 (3)
  9. Hilfe Bei Hijack (log) Auswertung!!!
    Mülltonne - 21.05.2005 (1)
  10. Hilfe bei Hijack This
    Log-Analyse und Auswertung - 29.03.2005 (1)
  11. Hijack Log - bitte um Hilfe
    Log-Analyse und Auswertung - 20.02.2005 (1)
  12. Hilfe zum Hijack-Log
    Log-Analyse und Auswertung - 23.01.2005 (2)
  13. Hilfe bei Hijack-Log
    Log-Analyse und Auswertung - 18.01.2005 (1)
  14. hijack log zwecks hilfe
    Log-Analyse und Auswertung - 09.01.2005 (1)
  15. Trojaner, Viren ? Hilfe !!! hijack thist log liegt bei
    Plagegeister aller Art und deren Bekämpfung - 21.09.2004 (1)
  16. hijack.... ich brauch Hilfe
    Log-Analyse und Auswertung - 11.07.2004 (2)
  17. hijack hilfe
    Log-Analyse und Auswertung - 27.06.2004 (3)

Zum Thema Hilfe bei Trojaner/Hijack-Log - Moin Moin, nachdem Antvir mir plötzlich verschiedene Trojaner meldet und ich diese nicht mit Hilfe von Virandatenbanken eindeutig identifizieren kann um sie zu entfernen bitte ich um Eure Hilfe. Logfile - Hilfe bei Trojaner/Hijack-Log...
Archiv
Du betrachtest: Hilfe bei Trojaner/Hijack-Log auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.