Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: kann hijacker usw. nicht entfernen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.02.2004, 01:57   #1
kobi
 
kann hijacker usw. nicht entfernen - Beitrag

kann hijacker usw. nicht entfernen



Hi, vielleicht könnt ihr mir ja helfen... ich habe neuerdings ständig irgendwelche Progs auf dem Pc die alles bei mir verändern, ich habe schon diverse Scanner Progs laufen lassen, zb. Ad Watch, Tojan hunter, Antivir auch cw Shredder und noch einige andere, diese finden zwar auch diverse Einträge Progs usw. Cwsshredder entfernt ständig einträge die nicht hingehören aber sie kommen ständig wieder und ich weiss langsam nicht mehr was ich machen soll, irgendwo müssen die doch herkommen. Ich weiss nun auch nicht haargenau welche Progs bei mir laufen die für den Befall zuständig sind, darum habe ich jetzt HijackThis laufen lassen und habe das Protokoll hier jetzt mal eingefügt vielleicht könnte mir jemand sagen welche Programme nicht zum Standard gehören bzw. welche zu Viren/Trojanern gehören können.

</font><blockquote>Zitat:</font><hr />
Logfile of HijackThis v1.97.7
Scan saved at 02:32:52, on 29.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Trillian\trillian.exe
C:\util\totalcmd\TOTALCMD.EXE
C:\Programme\TrojanHunter 3.8\TrojanHunter.exe
C:\WINDOWS\System32\taskmgr.exe
C:\down\HijackThis.exe
C:\Firefox-de-DE\Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://bahxox.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = ,
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ,
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Ad-watch] "C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.8\THGuard.exe"
O4 - HKCU\..\Run: [rundll32] C:\windows\rundll32.exe
O4 - Startup: Verknüpfung mit trillian.lnk = C:\Programme\Trillian\trillian.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open Selected URL - C:\Windows\openselectedurl.htm
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O14 - IERESET.INF: START_PAGE_URL=about:blank
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE1F035A-773F-4388-AB72-A34347DF4C04}: NameServer = 194.25.2.129
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F80-00104B107C96}
</font>[/QUOTE]Vor allem kann ich mit den meisten Einträgen nichts anfangen die unter Windows/System laufen, einen grossteil davon kann ich einordnen aber was ist mit diesen csrss.exe, winlogon.exe, services.exe, lsass.exe svchost.exe, spoolsv.exe Einträgen, gehören die zum System oder wie ??

Vielleicht kann mir ja hoffentlich jemand weiterhelfen, Big Thx schon mal vorab....

Tschau...
Kobi

Alt 29.02.2004, 04:03   #2
mmk
 
kann hijacker usw. nicht entfernen - Pfeil

kann hijacker usw. nicht entfernen



Hallo Kobi,
willkommen an Board!

Vorweg: Bevor du irgendwelche der in meinem Posting genannten Maßnahmen ergreifst, lies es bitte erstmal bis zu Ende durch!

</font><blockquote>Zitat:</font><hr />Original erstellt von kobi:
[...]Cwsshredder entfernt ständig einträge die nicht hingehören aber sie kommen ständig wieder und ich weiss langsam nicht mehr was ich machen soll, irgendwo müssen die doch herkommen.</font>[/QUOTE]Sie kommen über den IE bei einem nicht auf dem neuesten Patch-Stand befindlichen System. Daher die Empfehlungen:

1.) System auf den neuesten Stand bringen:
-&gt; http://windowsupdate.microsoft.com (mit dem IE ansurfen)
2.) Browser wechseln (für das tägliche Surfen). Zum Beispiel nur noch jenen nutzen, den du ja bereits installiert hast: C:\Firefox-de-DE\Firefox\firefox.exe

Ist also schon mal teilweise ein guter Weg.


Setze in HijackThis nun Haken neben den folgenden Einträgen und wähle anschl. "Fix checked":

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h*tp://bahxox.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://riviera.cc (obfuscated)

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O4 - HKCU\..\Run: [rundll32] C:\windows\rundll32.exe

O8 - Extra context menu item: Open Selected URL - C:\Windows\openselectedurl.htm

Zu dem folgenden Eintrag nur eine Anmerkung:
C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

Incredi Mail ist ein unsicherer Mailclient. Du solltest dessen Nutzung überdenken. Scripte in Mails sind grundsätzlich nicht empfehlenswert.

Bevor du nun eine der genannten Maßnahmen ergreifst, gehe bitte in &gt;Systemsteuerung &gt;Ordneroptionen. Stelle sicher, dass hier die Anzeige aller Dateien (auch versteckter und Systemdateien) aktiviert ist. Suche sodann in C:\windows\ nach rundll32.exe und berichte, inwiefern du fündig wirst. Lösche aber nicht voreilig eine Datei - nur prüfen bitte (und das bitte vor dem Fixen mit HijackThis). Ggf. wäre nämlich die Analyse einer solche Malwaredatei anzuraten, falls sie bis dato unbekannt ist. Sende gefundene Dateien bitte zur Prüfung an virus@rokop-security.de. Danke!
__________________

__________________

Alt 29.02.2004, 06:08   #3
kobi
 
kann hijacker usw. nicht entfernen - Beitrag

kann hijacker usw. nicht entfernen



Hallo,
erstmal Danke für deine schnelle Antwort [img]graemlins/party.gif[/img]

Ich habe jetzt mal die Schritte die du aufgeführt hast der Reihe nach abgearbeitet, bis auf das IE Update, da bin ich noch nicht zu gekommen, aber ich benutze den Ie nun schon seit 2 Wochen nicht mehr und habe auch nicht vor ihn noch einmal zu benutzen, muss ich trotzdem die Updates machen ? Oder kann man den IE evtl komplett vom System entfernen?

Alle anderen Punkte habe ich jetzt mit Hijacker gefixt und IncredMail habe ich auch deinstalliert, das war eigentlich nur zum Testen drauf, aber da ich Outlook benutzt ist das ja auch nicht besser, ich hatte schon mal angefangen den Mozilla Clienten zu installieren, aber da er leider nicht meine Konten aus Outlook übernommen hat habe ich das erst mal gelassen :-( , muss ich mich aber doch noch mal mit auseinandersetzen.

Die rundll32.exe habe ich auch gefunden, nicht gelöscht, und werde sie gleich mal an die Adresse senden, mal sehen was dabei rauskommt.
Allerdings gibt es die Rundll32.exe dreimal im System, einmal im /System32, einmal im /system32/dllcache und direkt einmal in /windows.
Die beiden Dateien im /system32 Verzeichnis haben allerdings ein Datum vom Januar 2001 und die im /windows Ordner ist vom Januar 2004 und ist auch 40960kb gross statt 32256kb wie die anderen beiden.
Also denke ich mal ich verschicke die neuste.

Mal sehen wie das jetzt so weitergeht und ob die ganze Sache jetzt aufhört. Ich werde jetzt noch das MS Java deinstallieren wie im HiJacker beschrieben und dann Java Sun draufspielen, ich denke das sollte besser sein.

Tschau..
Kobi
__________________

Alt 02.03.2004, 00:09   #4
kobi
 
kann hijacker usw. nicht entfernen - Beitrag

kann hijacker usw. nicht entfernen



ein kurzer Status Bericht [img]graemlins/daumenhoch.gif[/img]

</font><blockquote>Zitat:</font><hr />
---------------------------------------------------
rundll32.exe
Hallo, dies ist ein Trojan.Win32.StartPage.aq, also vermutlich eine Cool Web Search Komponente. Du kannst die betreffende Datei und den Run Eintrag bedenkenlos löschen, so etwas gehört nicht auf den Rechner.
---------------------------------------------------</font>[/QUOTE]Übrigens scheint jetzt alles sauber zu sein, Adwatch und Antivir haben auf jeden Fall nichts mehr gemeldet.

Antwort

Themen zu kann hijacker usw. nicht entfernen
.inf, ad watch, ad-aware, antivir, bho, button, diverse, dll, down, excel, explorer, hijack, hijackthis, internet, internet explorer, langsam, microsoft, nicht, obfuscated, office, programme, rundll, rundll32, scan, software, system, system32, tcpip, träge, windows, windows xp



Ähnliche Themen: kann hijacker usw. nicht entfernen


  1. Kann Adware nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 06.04.2015 (11)
  2. Startseite Sweet-page lässt sich nicht entfernen / hijacker ?
    Log-Analyse und Auswertung - 03.02.2014 (10)
  3. 6 Hijacker gefunden - kann sie aber nicht löschen
    Log-Analyse und Auswertung - 22.09.2010 (1)
  4. Hijacker deaktivier Taskmanager und Registry-Editor - Hijacker nicht entfernbar
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (2)
  5. kann Virus nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 17.06.2010 (6)
  6. BDS/Agent.vxa.1 kann ich nicht entfernen
    Mülltonne - 24.12.2008 (0)
  7. Kann TR/Hijack.AG.1 nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 17.11.2008 (11)
  8. kann den Trojaner nicht entfernen!!! pls help!!!
    Plagegeister aller Art und deren Bekämpfung - 30.10.2007 (2)
  9. Hijacker?? Wer kann helfen?
    Log-Analyse und Auswertung - 06.02.2006 (3)
  10. Kann cws realsearch nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 12.06.2005 (1)
  11. Kann Trojaner nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 12.03.2005 (1)
  12. Kann Virus nicht entfernen
    Log-Analyse und Auswertung - 23.02.2005 (10)
  13. Hijacker auf dem PC : http://default.home Wer kann helfen?
    Plagegeister aller Art und deren Bekämpfung - 17.12.2004 (5)
  14. Browser-Hijacker kann nicht gelöscht werden.
    Log-Analyse und Auswertung - 25.11.2004 (2)
  15. Hijacker lässt sich nicht entfernen!
    Log-Analyse und Auswertung - 07.11.2004 (6)
  16. Hijacker läßt sich nicht entfernen
    Log-Analyse und Auswertung - 27.07.2004 (4)
  17. Wer kann helfen - Hijacker/Trojaner
    Log-Analyse und Auswertung - 22.07.2004 (1)

Zum Thema kann hijacker usw. nicht entfernen - Hi, vielleicht könnt ihr mir ja helfen... ich habe neuerdings ständig irgendwelche Progs auf dem Pc die alles bei mir verändern, ich habe schon diverse Scanner Progs laufen lassen, zb. - kann hijacker usw. nicht entfernen...
Archiv
Du betrachtest: kann hijacker usw. nicht entfernen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.