Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hiiiiiiiiiiilllfeeeeeeee

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 05.12.2004, 11:47   #1
Geplagt
 
Hiiiiiiiiiiilllfeeeeeeee - Standard

Hiiiiiiiiiiilllfeeeeeeee



hallo alle miteinander,

seit einigen Tagen bin ich ein wenig genervt. Sobald ich meinen Internet-Explorer öffne kommt nich meine Startseite sondern eine Seite mit diesem Namen: http://www.e-finder.cc/hp/ Das lässt sich allerdings auch nur feststellen wenn man sich die Eigenschaften der Internetseite anzeigen lässt.
Unter den internetoptionen ist dann als Startseite folgendes eingetragen: http://default.home/
Und oben in der Adressleiste ist das hier zu lesen: res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm
Ich habe dann versucht diese dll Datei zu löschen, was natürlich nicht ging. Dann hab ich sie auf den Desktop verschoben und konnte sie von dort aus umbenennen und löschen. In dem angegebenen Ordner wurde diese Datei jedoch unverzüglich wieder neu erstellt. Sobald ich versuche unter den Internetoptionen eine andere Startseite einzugeben klappt das auch erst einmal, aber sobald ich den Internet-Explorer einmal schließe und wieder neu öffne hab ich wieder das oben angegebene Problem.
Für eure Hilfe wäre ich euch überaus dankbar.

MFG

Alt 05.12.2004, 11:51   #2
Cidre
Administrator, a.D.
 
Hiiiiiiiiiiilllfeeeeeeee - Standard

Hiiiiiiiiiiilllfeeeeeeee



Hallo,

erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.
__________________

__________________

Alt 05.12.2004, 11:58   #3
Geplagt
 
Hiiiiiiiiiiilllfeeeeeeee - Standard

Hiiiiiiiiiiilllfeeeeeeee



so hab mir das Runtergeladen hier nun mein LOG:

Logfile of HijackThis v1.98.2
Scan saved at 12:57:15, on 05.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\windows\system32\saie.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Sani\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL (file missing)
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: RX Toolbar - {25D8BACF-3DE2-4B48-AE22-D659B8D835B0} - C:\Programme\RXToolBar\RXToolBar.dll (file missing)
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [saie] c:\windows\system32\saie.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Office2K\Office\OSA9.EXE
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.browserplugin.com/plugin/...ss_special.ocx
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3EF80D92-CBA8-41B7-B3EA-E8760B033142}: NameServer = 195.50.140.250 145.253.2.11



ich hoffe das reicht um mir helfen zu können :-)
__________________

Alt 05.12.2004, 12:13   #4
Cidre
Administrator, a.D.
 
Hiiiiiiiiiiilllfeeeeeeee - Standard

Hiiiiiiiiiiilllfeeeeeeee



Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Der Grund für die Kompromittierung liegt hauptsächlich an deinem nicht gepatchten System!

Da bereits ein W32/Rbot-LK aktiv ist/war, erschliesst sich nur diese eine Möglichkeit um wieder zu einem vertrauenswürdigen System zu gelangen -> http://www.trojaner-board.de/showpos...28&postcount=2

Info zu W32/Rbot-LK:
Zitat:
# Schaltet Antiviren-Anwendungen aus
# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Reduziert die Systemsicherheit
# Speichert Tastenfolgen
# Installiert sich in der Registrierung
Quelle: http://www.sophos.de/virusinfo/analyses/w32rbotlk.html
__________________
Gruß, Cidre


Alt 05.12.2004, 12:19   #5
Geplagt
 
Hiiiiiiiiiiilllfeeeeeeee - Standard

Hiiiiiiiiiiilllfeeeeeeee



uff.... das klingt äußerst kompliziert. Gibt es da wirklich garkeinen leichteren weg???


Alt 05.12.2004, 13:37   #6
Cidre
Administrator, a.D.
 
Hiiiiiiiiiiilllfeeeeeeee - Standard

Hiiiiiiiiiiilllfeeeeeeee



Zitat:
das klingt äußerst kompliziert
Ist es nicht. Unter fast jedem Link findest du eine bebilderte Anleitung, die dir das abarbeiten der einzelnen Punkte erheblich erleichert.
Grundvoraussetzung ist natürlich, dass man sich mit seinem System auseinander setzt und nicht nur ans I-net anstöpselt nach dem Motto "Bin ich schon drin oder was!" ohne dass man sich über die möglichen Folgen bzw. Konsequenzen im Klaren ist.
Lesen, verstehen und daraus lernen.

Zitat:
Gibt es da wirklich garkeinen leichteren weg???
Nein!
Solch ich dir etwa ein AV Programm empfehlen, welches dich in den Glauben lässt, alles auf deinem System restlos entfernt zu haben.
Siehe http://oschad.de/wiki/index.php/Virenscanner
http://www.mathematik.uni-marburg.de...c-removal.html
__________________
--> Hiiiiiiiiiiilllfeeeeeeee

Antwort

Themen zu Hiiiiiiiiiiilllfeeeeeeee
als startseite, anzeige, anzeigen, datei, desktop, folge, folgendes, hilfe, interne, internet-explorer, internetseite, löschen, miteinander, namen, natürlich, neu, ordner, seite, startseite, stelle, system, system32, umbenennen, verschoben, versuche, windows



Zum Thema Hiiiiiiiiiiilllfeeeeeeee - hallo alle miteinander, seit einigen Tagen bin ich ein wenig genervt. Sobald ich meinen Internet-Explorer öffne kommt nich meine Startseite sondern eine Seite mit diesem Namen: http://www.e-finder.cc/hp/ Das lässt sich - Hiiiiiiiiiiilllfeeeeeeee...
Archiv
Du betrachtest: Hiiiiiiiiiiilllfeeeeeeee auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.