Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Ein skrupelloser Highjacke immer noch da

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 29.11.2004, 09:29   #1
jensH
 
Ein skrupelloser Highjacke immer noch da - Standard

Ein skrupelloser Highjacke immer noch da



Hallo,

ich habe immer noch einen Virus drauf und einen Highjacker, alles hat nichts gebracht escan leider versagt ;( , was kann ich tun hier mein log .

Logfile of HijackThis v1.98.2
Scan saved at 09:27:51, on 29.11.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\NOVELL\CLIENT32\NWPOPUP.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMME\SYMANTEC\PCANYWHERE\PCAMGT.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\A2\A2GUARD.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\T-ONLINE\ISDN SPEEDMANAGER\TOMCAT.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [pcAnywhere Agent] C:\Programme\Symantec\pcAnywhere\pcamgt.exe
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/active...pload_1111.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.25.2.129

DAnke Danke DAnke

Alt 29.11.2004, 15:15   #2
steveman
 

Ein skrupelloser Highjacke immer noch da - Standard

Ein skrupelloser Highjacke immer noch da



Hi,

das fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
__________________


Alt 29.11.2004, 23:22   #3
Cidre
Administrator, a.D.
 
Ein skrupelloser Highjacke immer noch da - Standard

Ein skrupelloser Highjacke immer noch da



Das Fixen und Löschen dieser Dateien sollte im abgesicherten Modus ausgeführt werden:
C:\WINDOWS\TEMP\sp.html
C:\WINDOWS\SYSTEM\systime.exe

Danach diese Punkte abarbeiten:

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
- neue Startseite vergeben
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- T-Online Browser nicht mehr verwenden
- neues Log-File von HijackThis und die Virus Log Information von eScan posten
__________________
__________________

Alt 30.11.2004, 19:06   #4
Passat2002
 
Ein skrupelloser Highjacke immer noch da - Standard

Ein skrupelloser Highjacke immer noch da



hi, wenn dir fad ist, bitte überprüfe noch diese dateien mit Jotti
C:\PROGRAMME\SYMANTEC\PCANYWHERE\PCAMGT.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
ergebnis bitte posten
das hier fixen
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activ...upload_1111.cab

C:\WINDOWS\TEMP\HIJACKTHIS.EXE C:\Programme\HijackThis\HijackThis.exe
__________________
lg
HijackThis, Security-Tool

Geändert von Passat2002 (30.11.2004 um 20:05 Uhr)

Alt 01.12.2004, 12:31   #5
jensH
 
Ein skrupelloser Highjacke immer noch da - Standard

Ein skrupelloser Highjacke immer noch da



Hallo ,

die viren habe ich gefunden mit escan und gelöscht , nun hier ist mein log

Logfile of HijackThis v1.98.2
Scan saved at 12:26:10, on 01.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\NOVELL\CLIENT32\NWPOPUP.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMME\SYMANTEC\PCANYWHERE\PCAMGT.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [mwavscan] "C:\WINDOWS\TEMP\MWAVSCAN.COM" /s
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [pcAnywhere Agent] C:\Programme\Symantec\pcAnywhere\pcamgt.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/active...pload_1111.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.25.2.129


Danke Gruss jens


Alt 01.12.2004, 14:13   #6
chaosman
 
Ein skrupelloser Highjacke immer noch da - Standard

Ein skrupelloser Highjacke immer noch da



@jensH
welche viren würden wo gefunden?
wenn du diesen eintrag kennst, dann ist nichts auffälliges im log
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activ...upload_1111.cab

chaosman
__________________
--> Ein skrupelloser Highjacke immer noch da

Antwort

Themen zu Ein skrupelloser Highjacke immer noch da
browser, control, escan, explorer, firefox, hijack, hijackthis, internet, internet explorer, log, mein log, microsoft, mozilla, mozilla firefox, programme, registry, rundll, rundll32.exe, services, software, start, symantec, system, t-online, temp, upload, virus, windows, windows\temp



Ähnliche Themen: Ein skrupelloser Highjacke immer noch da


  1. immer noch Probleme
    Plagegeister aller Art und deren Bekämpfung - 05.03.2015 (21)
  2. Windows 7 , PC stürzt immer wieder ab, nach säuberung mit Vipre immer noch viele verdächtig Datein im Autorun
    Log-Analyse und Auswertung - 15.01.2014 (12)
  3. nationzoom ist immer noch da
    Log-Analyse und Auswertung - 04.01.2014 (10)
  4. noch immer Sponsorship
    Plagegeister aller Art und deren Bekämpfung - 02.09.2013 (19)
  5. immer noch Sparkasse 40 TAN (Win XP SP3)
    Plagegeister aller Art und deren Bekämpfung - 19.08.2010 (31)
  6. Your Protection immer noch da?
    Plagegeister aller Art und deren Bekämpfung - 06.05.2010 (48)
  7. TR/Crypt.CFI.Gen immer noch da
    Log-Analyse und Auswertung - 20.02.2009 (4)
  8. Immer noch Probleme
    Antiviren-, Firewall- und andere Schutzprogramme - 31.05.2008 (11)
  9. Sponsorenprogramm:CiD immer noch da
    Log-Analyse und Auswertung - 03.02.2008 (3)
  10. Immer noch probleme mit IRC\Bot
    Mülltonne - 17.05.2007 (1)
  11. Immer noch infiziert?
    Log-Analyse und Auswertung - 15.04.2007 (10)
  12. immer noch W32.Myzor.FK@yf
    Plagegeister aller Art und deren Bekämpfung - 29.11.2006 (4)
  13. ps stürzt immer noch ab ^^
    Netzwerk und Hardware - 04.11.2006 (7)
  14. Pc hängt immer noch
    Plagegeister aller Art und deren Bekämpfung - 01.05.2006 (3)
  15. Swizzor A immer noch da !!!
    Mülltonne - 16.04.2006 (1)
  16. Immer noch Promleme !!!!
    Plagegeister aller Art und deren Bekämpfung - 26.03.2006 (1)
  17. Alles neu und immer noch...
    Log-Analyse und Auswertung - 25.07.2005 (1)

Zum Thema Ein skrupelloser Highjacke immer noch da - Hallo, ich habe immer noch einen Virus drauf und einen Highjacker, alles hat nichts gebracht escan leider versagt ;( , was kann ich tun hier mein log . Logfile of - Ein skrupelloser Highjacke immer noch da...
Archiv
Du betrachtest: Ein skrupelloser Highjacke immer noch da auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.