| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Schaut euch bitte mal meine Log an!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
06.06.2004, 19:24
| #1 |
| |  Schaut euch bitte mal meine Log an! HI, mich hats nun auch mit dem Hijack erwischt und ich bekomme es nicht los. habe schon alle dirvesen programme benutz ob abgesicherter oder nicht abgesicherter modes, es geht einfach nicht. und andauert wird meine host datei unter c:\windows verändert. hier ist mal meine log file: Logfile of HijackThis v1.97.7 Scan saved at 20:19:01, on 06.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe C:\WINDOWS\System32\svchost.exe C:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\WINDOWS\System32\vmnat.exe C:\WINDOWS\System32\vmnetdhcp.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\OttBe\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab wenn ich dir R-Einträge lösche, sind sich gleich beim nächsten scan wieder da! hat jmd noch einen tipp für mich? |
|
06.06.2004, 20:40
| #2 |
  | Schaut euch bitte mal meine Log an! das is aber etwas wenig? wo ist der rest vom log oder ist das alles????
__________________irgendwie klingts nebenbei auch nach Backdoor Spybot/Sdbot... Systemwiederherstellung deaktivieren! XP interne firewall aktivieren! diese einträge fixen! C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php anschliesend mit kaspersky (eventuell im abgesicherten modus) fullscan machen. gruss rock edit: xp firewall aktivieren |
|
06.06.2004, 20:44
| #3 |
  | Schaut euch bitte mal meine Log an! Das Log kann durchaus so vollstaendig sein. Das was mich wundert ist, das ein aktuelles KAV die CWS DLL, die fuer die "R" Eintraege verantwortlich ist, finden sollte.
__________________BTW Rock, warum soll er seinen Internetexplorer "fixen"? Obwohl so schleht waere es auch nicht. 
__________________ |
|
06.06.2004, 20:47
| #4 |
| | Schaut euch bitte mal meine Log an! hehe, mir kams auch komisch vor, aber ich hab dann bei mir gescannt, ich hab so einen eintrag nicht. nur Explorer exe und keine zwei mal iexplore.exe. deshalb hab ich auf einen backdoor gedacht... gruss rock edit: stimmt, sorry wenn ich mich geirrt habe... bei einem anderen log soeben gesehen... alles andere erwähnte fixen! [ 06. Juni 2004, 21:52: Beitrag editiert von: rock' ] |
|
06.06.2004, 20:55
| #5 |
| | Schaut euch bitte mal meine Log an! der ie war so oft offen, weil ich zwei fenster offen hatte. wenn ich die R fixe bringt es nix, die sind gleich beim nächsten scan wieder drinne ... |
|
06.06.2004, 21:11
| #6 |
| | Schaut euch bitte mal meine Log an! Hast du Rocks Tipp mit dem Vollscan schon gemacht? Dein Kaspersky ist doch mit aktuellen Signaturen "bestueckt"? Die Tipps von hier hast du auch scon durch? http://www.rokop-security.de/main/article.php?sid=703 eine System32dll befindet sich zufaellig nicht in deinem System32 Ordner?
__________________ --> Schaut euch bitte mal meine Log an! |
|
06.06.2004, 21:20
| #7 |
| | Schaut euch bitte mal meine Log an! eine system32.dll hab ich nicht! den scan hab ich neulich schon ohne erfolg durchgeführt, aber ich starte es gerade nochmal! |
|
06.06.2004, 21:20
| #8 |
| | Schaut euch bitte mal meine Log an! doch, ich hab die datei c:\windows\system32\system32.dll soll ich die löschen? |
|
07.06.2004, 06:43
| #9 |
| | Schaut euch bitte mal meine Log an! hi, also ich werde gleich heute abend, wenn ich zuhause bin die dll löschen. die hosts habe ich zwei mal, einmal unter c:\windwos und einmal unter dem pfad den du geschrieben hast. aber darin sind ganz viele umleitungen meier eigenen ip (localhost) z.B. 127.0.0.1 www.xxx.de.ws usw wenn ich die lösche bringt aber nix, nach ein paar sekunden wird sie auch wieder erstellt. ich hoffe durch die löschung der dll wird dies auch verhindert. ist die system32.dll auch noch im dllchache unter c:\windows\system32 ? danke greetz shoppy |
|
07.06.2004, 11:41
| #10 |
| Gast | Schaut euch bitte mal meine Log an! hi shoppy, ja die mußt du sogar löschen, da sie dafür verantwortlich ist, daß die einträge immer wieder neu auftauchen. auch kannst du gleichx deine "hosts" (genauso geschrieben, ohne endung) kontrollieren, was da drin steht. sie sollte bei dir nur an einem ort auftauchen. und zwar: c:\windows\system32\drivers\etc\hosts sie sollte normalerweise 1kb groß sein, und es sollte sich nur ein eintrag dort drin befinden (nach der erklärung): 127.0.0.1 localhost |
|
07.06.2004, 17:29
| #11 |
| | Schaut euch bitte mal meine Log an! hi, so ich habe jetzt die system32.dll gelöscht und bei meinem ie ist wieder alles ok. aber mein winpatrol meldet mir dauernt, dass die datei "hosts" verändert wurde. wenn ich mir die datei dann anschaue, stehen ganz viele verknüfungen von localhost zu irgendwelchen seiten drinnen. wie bekomme ich dies noch raus? |
|
07.06.2004, 18:07
| #12 |
 | Schaut euch bitte mal meine Log an! Die Datei "hosts" ist unter c:\windows\system32\drivers\etc zu finden und kann mit einem einfachen Editor (notepad.exe) bearbeitet werden. Gruß Tiber
__________________ sollte man gelesen haben:<a href="http://moon.hipjoint.de/tcpa-palladium-faq-de.html" target="_blank">TCPA/Palladium FAQ</a> |
|
07.06.2004, 20:23
| #13 |
| | Schaut euch bitte mal meine Log an! danke, aber das weiß ich schon. aber wenn ich sie änderen geht es keine zwei minuten und irgend ein programm ändert mir die datei wieder ... ich was nicht was ich machen soll |
|
07.06.2004, 21:19
| #14 |
| | @shoppy Poste mal bitte den Inhalt der hosts Datei Ich glaube der Spybot ist derjenige welche der die Datei ändert. Gruß paff
__________________ Reverse Engineering Malware |
|
07.06.2004, 21:34
| #15 |
| | Schaut euch bitte mal meine Log an! danke, hat sich erledigt. scheint mit löschen der system32.dll behebt zu sein! danke euch allen nochmal |
|
| Themen zu Schaut euch bitte mal meine Log an! |
| bho, check, datei, desktop, einstellungen, explorer, file, hijack, hijackthis, internet, internet explorer, kaspersky, log, log file, microsoft, nicht, object, programme, rundll, rundll32.exe, shockwave, software, start, system, system32, träge, unter, windows, windows xp |
Linear-Darstellung
