![]() |
|
Plagegeister aller Art und deren Bekämpfung: Hartnäckige Hijacker und leider keine AhnungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
| ![]() Hartnäckige Hijacker und leider keine Ahnung Hallo zusammen, Ich habe mir (einen?) ziemlich hartnäckigen Hijacker eingefangen, den ich nicht wider los werde. Habe es mit Ad-Aware und HijachThis versucht und auch schon per Hand (schwitz) einen Eintrag aus meiner Registry enfernt. Mit dem Ergebnis, dass der Mist jedesmal wieder auftaucht. Interessanterweise sind es auffällig oft schwedische Seiten, zu denen er mich schickt und On-line Casinos. Habe schon versucht, im abgesicherten Modus zu putzen. Bin mir aber nicht sicher, alles zu erwischen. Anbei mein HijackThis-Logfile. Bin für jede Hilfe sehr dankbar. Beste Grüße Hagen Logfile of HijackThis v1.97.7 Scan saved at 15:02:25, on 05.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Personal Firewall\NISUM.EXE C:\WINDOWS\System32\alg.exe C:\Programme\Norton Personal Firewall\ccPxySvc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\SOINTGR.EXE C:\WINDOWS\System32\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe C:\Programme\AOL 7.0\aoltray.exe C:\Programme\Pinnacle\Studio PCTV\TeleText\WebServer.exe C:\PROGRA~1\Pinnacle\SHARED~1\Filter\Server.exe C:\PROGRA~1\Pinnacle\SHARED~1\Filter\VBI_SE~1.EXE C:\Programme\AOL 7.0\waol.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\odcfg.exe C:\WINDOWS\System32\getdns.exe C:\Dokumente und Einstellungen\Hagen\Eigene Dateien\My eBooks\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - Startup: WebServer.lnk = C:\Programme\Pinnacle\Studio PCTV\TeleText\WebServer.exe O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9CF4F231-FE0B-466A-BBA2-DFCB58DFEBC8}: NameServer = 205.188.146.146 |
![]() | #2 |
Gast | ![]() Hartnäckige Hijacker und leider keine Ahnung Verwende die aktuelle Version 1.98.2 und poste ein neues Log.
__________________ |
![]() | #3 |
| ![]() Hartnäckige Hijacker und leider keine Ahnung Ok, hier das Log-File der Version 1.98.2
__________________Logfile of HijackThis v1.98.2 Scan saved at 16:36:29, on 05.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Personal Firewall\NISUM.EXE C:\WINDOWS\System32\alg.exe C:\Programme\Norton Personal Firewall\ccPxySvc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\SOINTGR.EXE C:\WINDOWS\System32\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AOL 7.0\aoltray.exe C:\PROGRA~1\Pinnacle\SHARED~1\Filter\Server.exe C:\Programme\AOL 7.0\waol.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\odcfg.exe C:\WINDOWS\System32\getdns.exe C:\WINDOWS\System32\msiexec.exe C:\Dokumente und Einstellungen\Kinder\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wasistwas.de/ O2 - BHO: SuperAdBlockerBHO Class - {00000000-6C30-11D8-9363-000AE6309654} - C:\Programme\SuperAdBlocker.com\Super Ad Blocker\SABBHO.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Super Ad Blocker Toolbar - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - C:\Programme\SuperAdBlocker.com\Super Ad Blocker\sabtb.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: WebServer.lnk = C:\Programme\Pinnacle\Studio PCTV\TeleText\WebServer.exe O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O15 - Trusted Zone: http://*.63.219.181.7 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9CF4F231-FE0B-466A-BBA2-DFCB58DFEBC8}: NameServer = 205.188.146.145 O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing) Gruß Hagen |
![]() | #4 |
![]() ![]() ![]() | ![]() Hartnäckige Hijacker und leider keine Ahnung Bei Dir ist der schon lange (2002) erkannte Easyserv-Backdoortroj. aktiv. Er erlaubt es einem Fremden, die komplette Steurerung über Deinen Rechner zu übernehmen. Dies bedingt, daß Du Dein System neu aufsetzt.. Bitte die Tipps von cidre genau beachten. Du bist nicht mehr Herr im Haus! Beachte dies: Datensicherung und auch das hier einen besseren Rat kann ich Dir hier nicht geben, leider. Mit ein Grund wird wohl sein, daß dein System nicht gepatcht ist... cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
![]() | #5 |
| ![]() Hartnäckige Hijacker und leider keine Ahnung Ok, das klingt nicht gut. Auch wenn Ihr es vielleicht für blöd haltet, aber jetzt doch noch mal eine ganz dumme FRage: Wie groß ist die realistische Bedrohung? Kann mein Rechner zum Beispiel nur nach bloßem Anschalten ohne mich ins Netz gehen? Sendet mein Rechner jetzt den gesamten Inhalt meiner Daten irgendwo hin? Haltet mich bitte nicht für blöd, aber es ist das erste Mal, dass mir sowas passiert und ich will a) die Sache sicher und möglichst ohne schwerwiegende Folgen aus der Welt schaffen und b) nicht durch Panik und unüberlegtes handeln zusätzlichen (vermeidbaren) Schaden anrichten. Gruß Hagen |
![]() | #6 |
![]() ![]() ![]() | ![]() Hartnäckige Hijacker und leider keine Ahnung @Hagen2 Kann mein Rechner zum Beispiel nur nach bloßem Anschalten ohne mich ins Netz gehen? hier ist dein antwort. When it is activated, Backdoor.Easyserv does the following: It listens on port 5558 for a connection. Once connected, the attacker can direct Backdoor.Easyserv to activate an HTTP server that will show the directory structure of any local hard disk. The HTTP server will allow the attacker to connect to the host machine using an Internet browser. Through the browser, the attacker can browse the host computer and download files from it. Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) wie cacatoa schon postete, system marke scheunentor... chaosman
__________________ --> Hartnäckige Hijacker und leider keine Ahnung |
![]() |
Themen zu Hartnäckige Hijacker und leider keine Ahnung |
abgesicherten modus, ad-aware, antivirus, dateien, einstellungen, explorer, firewall, hilfe, internet, internet explorer, keine ahnung, messenger, microsoft, monitor, nicht sicher, object, programme, registry, seite, seiten, shockwave, software, spyware, spyware doctor, studio, symantec, system, system32, tcpip, windows, windows xp |