| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Brauche Hilfe !! Scheinbar einen Trojaner gefangen !?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
04.04.2004, 19:27
| #1 |
| |  Brauche Hilfe !! Scheinbar einen Trojaner gefangen !? Hallo Leidensgenossen, seit ein paar Tagen erscheint bei mir bei Aufruf des Internet-Explorers als Startseite folgendes: http://213.159.117.233/search.cgi?ac...0?%61%69%64=42 Offensichtlich habe ich mir einen Trojaner "eingefangen" der sich irgendwo versteckt aber wo?? Meine gewünschte Startseite kann ich zurzeit nur für die laufende Sitzung am PC wieder einsetzen. Nach Neustart erscheint wieder die o.g. Seite. Über www.dialerschutz.de habe ich den Hinweis auf das Programm Hijack this bekommen, welches ich runtergeladen und eingesetzt habe. Einige Einträge, die m.E. suspekt waren habe ich daraufhin gelöscht. Die in dem nachfolgenden Hijack log von heute aufgeführten Einträge sind jetzt noch vorhanden. Sind hier noch Einträge vorhanden, die nicht auf den Rechner gehören? wer kann mir einen Tipp (oder mehrere) geben. Logfile of HijackThis v1.97.7 Scan saved at 19:37:43, on 04.04.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800) Running processes: C:\WINDOWS.000\SYSTEM\KERNEL32.DLL C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE C:\WINDOWS.000\SYSTEM\MPREXE.EXE C:\WINDOWS.000\SYSTEM\mmtask.tsk C:\WINDOWS.000\SYSTEM\MSTASK.EXE C:\WINDOWS.000\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS.000\EXPLORER.EXE C:\WINDOWS.000\TASKMON.EXE C:\WINDOWS.000\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\WINDOWS.000\SYSTEM\QTTASK.EXE C:\PROGRAMME\BRENNER\INCD\INCD.EXE C:\PROGRAMME\ANTIVIRUS\AVGCTRL.EXE C:\PROGRAMME\SOPHOS SWEEP\ICMON.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE C:\WINDOWS.000\SYSTEM\WMIEXE.EXE C:\WINDOWS.000\TEMP\ICSUPP95.EXE C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE C:\WINDOWS.000\SYSTEM\PSTORES.EXE C:\WINDOWS.000\SYSTEM\INTERNAT.EXE C:\WINDOWS.000\SYSTEM\RNAAPP.EXE C:\WINDOWS.000\SYSTEM\TAPISRV.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE C:\PROGRAMME\YAW 3.5\UPX.EXE C:\WINDOWS.000\SYSTEM\WINOA386.MOD R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ahgwli.t.muxa.cc/s.php?aid=420 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ahgwli.t.muxa.cc/s.php?aid=420 (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ahgwli.t.muxa.cc/h.php?aid=420 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ahgwli.t.muxa.cc/s.php?aid=420 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ahgwli.t.muxa.cc/h.php?aid=420 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ahgwli.t.muxa.cc/s.php?aid=420 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ahgwli.t.muxa.cc/s.php?aid=420 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ahgwli.t.muxa.cc/s.php?aid=420 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://ahgwli.t.muxa.cc/h.php?aid=420 (obfuscated) F1 - win.ini: run=C:\WINDOWS.000 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: HTML Source Editor - {086AE192-23A6-48D6-96EC-715F53797E85} - C:\WINDOWS.000\SYSTEM\DREPLACE.DLL O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS.000\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS.000\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [VsEcomrEXE] C:\Programme\Network Associates\McAfee VirusScan\vsecomr.exe O4 - HKLM\..\Run: [AvconsoleEXE] C:\Programme\Network Associates\McAfee VirusScan\avconsol.exe /minimize O4 - HKLM\..\Run: [VsStatEXE] C:\Programme\Network Associates\McAfee VirusScan\VSSTAT.EXE /SHOWWARNING O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS.000\SYSTEM\QTTASK.EXE O4 - HKLM\..\Run: [NetCologne E-Mail-Checker] "C:\Programme\NetCologne\traystart.exe" O4 - HKLM\..\Run: [InCD] C:\Programme\Brenner\InCD\InCD.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS.000\SYSTEM\hpztsb04.exe O4 - HKLM\..\Run: [McAfeeWebScanX] C:\PROGRAMME\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTIVIRUS\AVGCTRL.EXE /min O4 - HKLM\..\Run: [sys] regedit -s sys.reg O4 - HKLM\..\Run: [InterCheckMonitor] "C:\PROGRAMME\SOPHOS SWEEP\ICMON.EXE" -minimised O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS.000\SYSTEM\ZONELABS\MINILOG.EXE -service O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [McAfeeWebScanX] C:\PROGRAMME\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe /RUNSERVICES O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS.000\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [Sweep95] C:\Programme\Sophos SWEEP\ICLOAD95.EXE O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe" O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O12 - Plugin for .mpga: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll O12 - Plugin for .mpg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab Insbesondere die unter R0 und R1 aufgeführten Einträge scheinen mir suspekt, da Sie auch nach dem "Fixen" und löschen beim nächsten Scan wieder auftauchen. Auch die Antiviren-Software von Sophos hat mir nicht geholfen. Vielen Dank für jede Hilfe. [ 04. April 2004, 20:32: Beitrag editiert von: ralli zischer ] |
|
04.04.2004, 19:43
| #2 |
| Moderator, a.D.   |  Brauche Hilfe !! Scheinbar einen Trojaner gefangen !? Hi ralli zischer,
__________________willkommen an Board. [img]smile.gif[/img] Du hast Dir in der Tat einen Browser Hijacker eingefangen. Hilfe zur Selbsthilfe: Bitte gehe nach dieser Anleitung vor; zur Analyse des HJT-Logs gibts auch ein Tutoial. Bei Problemen wird Dir hier natürlich gerne weitergeholfen.  Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
|
| Themen zu Brauche Hilfe !! Scheinbar einen Trojaner gefangen !? |
| adobe, als startseite, antivirus, askbar, bho, dateien, hijack, hijack this, hijackthis, html, internet explorer, log, löschen, mehrere, microsoft, neustart, nicht, obfuscated, object, outlook express, programm, programme, registry, rundll, shockwave, software, sophos, starten, suspekt, system, temp, trojaner, träge, windows |
Linear-Darstellung
