Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Browser wurde gehijackt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 25.01.2005, 13:28   #1
Sebi84
 
Browser wurde gehijackt - Standard

Browser wurde gehijackt



ICh hab highjack this durchlaufen lassen und folgendes Log erhalten:



Logfile of HijackThis v1.99.0
Scan saved at 13:30:15, on 25.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
t:\stuff\norton~1\norton~1\NPROTECT.EXE
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
T:\stuff\norton~1\Speed Disk\nopdb.exe
C:\WINNT\system32\stisvc.exe
C:\TEMP\_VWUPSRV.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Nikon\NkView6\NkvMon.exe
C:\Programme\OpenOffice.org1.1.3\program\soffice.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\WINNT\system32\wuauclt.exe
C:\WINNT\msagent\AgentSvr.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchdom.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchdom.net/?re= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchdom.net/?re= (obfuscated)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Programme\OpenOffice.org1.1.3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O13 - DefaultPrefix: http://%77%77%77%2E%73%65%61%72%63%6...%6E%65%74/?re=
O13 - WWW Prefix: http://%77%77%77%2E%73%65%61%72%63%6...%6E%65%74/?re=
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: pcAnywhere Host Service - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - t:\stuff\norton~1\norton~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Speed Disk service - Symantec Corporation - T:\stuff\norton~1\Speed Disk\nopdb.exe
O23 - Service: AntiVir Update Temp - H+BEDV Datentechnik GmbH, Germany - C:\TEMP\_VWUPSRV.EXE


Im unteren teil stehen so sachen mit diesen % zeichen. Kann es sein das daurch meine Startseite usw. verändert wurden? Kann ich das durch highjack this irgendwie wieder beheben??

Gruss, Sebastian

Alt 25.01.2005, 13:50   #2
cacatoa
 
Browser wurde gehijackt - Standard

Browser wurde gehijackt



Hi,
im abgesicherten Modus folgendes mit HJT fixen (nach dem scan Häkchen bei den von mir genannten Punkten machen und auf "fix checked"clicken):
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchdom.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchdom.net/?re= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchdom.net/?re= (obfuscated)
O13 - DefaultPrefix: http://%77%77%77%2E%73%65%61%72%63%...6E%65%7 4/?re=
O13 - WWW Prefix: http://%77%77%77%2E%73%65%61%72%63%...6E%65%7 4/?re=

Dann neu booten (normal) und neues Logfile posten; deine Probs sollten weg sein.
cacatoa
__________________

__________________

Alt 25.01.2005, 17:04   #3
Sebi84
 
Browser wurde gehijackt - Standard

Browser wurde gehijackt



Ich habs genau so gemacht, aber das bleibt alles wie gehabt. Was kann ich nun tuen?
__________________

Alt 25.01.2005, 17:16   #4
cacatoa
 
Browser wurde gehijackt - Standard

Browser wurde gehijackt



Erst mal ein neues Logfile posten.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 25.01.2005, 22:03   #5
Sebi84
 
Browser wurde gehijackt - Standard

Browser wurde gehijackt



Das logfile ist das gleich wie unten zu sehen! Es hat sich absolut nichts verändert!


Alt 25.01.2005, 22:05   #6
cacatoa
 
Browser wurde gehijackt - Standard

Browser wurde gehijackt



Du hast das im abgesicherten Modus gefixt?
Glaub ich nicht.
cacatoa
__________________
--> Browser wurde gehijackt

Alt 25.01.2005, 22:56   #7
Sebi84
 
Browser wurde gehijackt - Standard

Browser wurde gehijackt



Ich weis doch was ich gemacht habe!!!
Ich versichere dir das ich es so gemacht habe!

Alt 25.01.2005, 23:14   #8
Cidre
Administrator, a.D.
 
Browser wurde gehijackt - Standard

Browser wurde gehijackt



Hallo @Sebi84

Deinstalliere unter Software das Programm "MSSoft"

Öffne das Notepad, kopiere folgenden Inhalt und speichere es als fix.reg ab:
Zitat:
Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe]
Quelle: http://help.lockergnome.com/index.php?showtopic=30266

Wechsle in den abgesicherten Modus und fixe diese Einträge nochmal:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchdom.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchdom.net/?re= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchdom.net/?re= (obfuscated)
O13 - DefaultPrefix: http://%77%77%77%2E%73%65%61%72%63%...6E%65%7 4/?re=
O13 - WWW Prefix: http://%77%77%77%2E%73%65%61%72%63%...6E%65%7 4/?re=

Danach Doppelklick auf fix.reg, Neustart und zuguterletzt postest du ein neues HJT Log-File.
__________________
Gruß, Cidre


Alt 15.02.2005, 19:47   #9
chriz300
 
Browser wurde gehijackt - Icon35

Browser wurde gehijackt



Zitat:
Zitat von Cidre
Hallo @Sebi84

Deinstalliere unter Software das Programm "MSSoft"

Öffne das Notepad, kopiere folgenden Inhalt und speichere es als fix.reg ab:

Quelle: http://help.lockergnome.com/index.php?showtopic=30266

Wechsle in den abgesicherten Modus und fixe diese Einträge nochmal:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchdom.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchdom.net/?re= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchdom.net/?re= (obfuscated)
O13 - DefaultPrefix: http://%77%77%77%2E%73%65%61%72%63%...6E%65%7 4/?re=
O13 - WWW Prefix: http://%77%77%77%2E%73%65%61%72%63%...6E%65%7 4/?re=

Danach Doppelklick auf fix.reg, Neustart und zuguterletzt postest du ein neues HJT Log-File.
Danke für den Tipp Bei mir hats nach n paar versuchen geklappt.

aber wie kann man sich sowas denn eigentlich "einfangen"?

Alt 15.02.2005, 22:26   #10
Chris14
 

Browser wurde gehijackt - Standard

Browser wurde gehijackt



indem man solche seiten "ausversehen" oder per zufall wegen einem seriös aussehenden googlelink herklickt. du hast dir die das zeugs quasi selbst runtergeladen und installiert. mit browsern wie opera oder firefox passiert sowas eigentlich überhaupt nicht .

Antwort

Themen zu Browser wurde gehijackt
acrobat, adobe, antivir, antivir update, bho, browser, dateien, dll, explorer, highjack this, hijack, hijackthis, internet, internet explorer, log, microsoft, nvcpl.dll, nvidia, obfuscated, programme, rundll, seite, software, symantec, system, system32, temp, update, windows



Ähnliche Themen: Browser wurde gehijackt


  1. In Ihrem Browser wurde ein unbekannter Schädling(Fingerprint: [23b7a990])entdeckt. (GData15) ?
    Plagegeister aller Art und deren Bekämpfung - 15.12.2014 (28)
  2. WARNUNG. Polizei! Browser wurde gesperrt.. Daten verschlüsselt etc.
    Plagegeister aller Art und deren Bekämpfung - 18.02.2014 (26)
  3. Gehijackt von Nationzoom?
    Plagegeister aller Art und deren Bekämpfung - 11.02.2014 (19)
  4. Trojaner, Trojan.ADH.2, bzw Firefox wurde gehijackt
    Plagegeister aller Art und deren Bekämpfung - 19.01.2014 (20)
  5. Nokia N8 gehijackt ?
    Log-Analyse und Auswertung - 20.12.2011 (1)
  6. Wurde ich gehijacked? Oder was ist los? Browser öffnet in verschiedenen Abständen Werbetabs!
    Log-Analyse und Auswertung - 31.10.2011 (21)
  7. PC gehijackt? Wie feststellen
    Plagegeister aller Art und deren Bekämpfung - 09.06.2011 (6)
  8. TR/Shakat.o.300 von AntiVir erkannt, AdWords Anzeigen werden gehijackt
    Plagegeister aller Art und deren Bekämpfung - 21.02.2011 (22)
  9. TR/Spy.Gen / Antimalware Doctor / Browser wird geHIJACKt & neue Viren geladen
    Plagegeister aller Art und deren Bekämpfung - 04.07.2010 (17)
  10. HILFE, Hijackers!!! Firefox startet (gehijackt) von allein und stürzt dann ab...
    Log-Analyse und Auswertung - 21.09.2007 (3)
  11. Jede Seite im Explorer wird gehijackt
    Log-Analyse und Auswertung - 29.05.2007 (2)
  12. Startseite gehijackt
    Log-Analyse und Auswertung - 17.01.2007 (2)
  13. Wurde mein PC gehijackt?
    Log-Analyse und Auswertung - 29.06.2005 (2)
  14. Newbee der wohl gehijackt wurde - was tun?
    Log-Analyse und Auswertung - 30.04.2005 (1)
  15. Hilfe, mein Browser wurde entführt
    Log-Analyse und Auswertung - 15.12.2004 (3)
  16. Browser wurde lahmgelegt, keine URL funkt.!
    Log-Analyse und Auswertung - 10.12.2004 (3)
  17. Browser wurde geHIJACKT
    Log-Analyse und Auswertung - 28.06.2004 (7)

Zum Thema Browser wurde gehijackt - ICh hab highjack this durchlaufen lassen und folgendes Log erhalten: Logfile of HijackThis v1.99.0 Scan saved at 13:30:15, on 25.01.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 - Browser wurde gehijackt...
Archiv
Du betrachtest: Browser wurde gehijackt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.