Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: viren & hartnäckiger hijacker

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 25.02.2005, 22:33   #1
karel gott
 
viren & hartnäckiger hijacker - Ausrufezeichen

viren & hartnäckiger hijacker



hi,

hatte viren & einen hijacker, den ich nicht wegkrieg.

unter anderem ist jetzt das xp-firewallsymbol im tray, owohl ich weder sp2 noch die fw dazu installiert hab...

hier das log:

(die r1 und r0 sachen lassen sich nicht mit hjthis entfernen, kommen immer wieder ...oder ich lösche zuviel, dann isses inet ganz tot.)

Logfile of HijackThis v1.98.2
Scan saved at 23:28:46, on 25.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\RedLine\Taskbar.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\netcf32.exe
C:\Programme\Mouseware\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\atlff32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\urwkb.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\urwkb.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\urwkb.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\urwkb.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\urwkb.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\urwkb.dll/sp.html#10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\urwkb.dll/sp.html#10001
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {F1B29D9E-77D4-3911-26FA-4DF52CC3DF6D} - C:\WINDOWS\ntub.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RedLine Taskbar] C:\Programme\RedLine\Taskbar.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [netcf32.exe] C:\WINDOWS\netcf32.exe
O4 - HKLM\..\RunOnce: [msbi.exe] C:\WINDOWS\msbi.exe
O4 - HKLM\..\RunOnce: [atlff32.exe] C:\WINDOWS\system32\atlff32.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Calibration\Adobe Gamma Loader.exe
O15 - Trusted Zone: http://download.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100267738562
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAE715F8-F9F2-4E76-BBBB-C0A724BA989D}: NameServer = 10.212.67.1

TY
KG

Alt 25.02.2005, 22:39   #2
dartus
 
viren & hartnäckiger hijacker - Standard

viren & hartnäckiger hijacker



Hallo,

lass bitte diese Dateien:

C:\WINDOWS\netcf32.exe
C:\WINDOWS\msbi.exe
C:\WINDOWS\system32\atlff32.exe

hier online checken un Teile die Ergebnisse mit:

http://virusscan.jotti.dhs.org

dartus
__________________


Alt 26.02.2005, 00:06   #3
karel gott
 
viren & hartnäckiger hijacker - Ausrufezeichen

viren & hartnäckiger hijacker



hi,

C:\WINDOWS\netcf32.exe: nix gefunden, aber "possibly infected by heuristic detections"

C:\WINDOWS\msbi.exe
C:\WINDOWS\system32\atlff32.exe: beide "no infection, but suspicios" weil der scan sehr lange dauerte.

aber definitiv infiziert sind alle 3 nicht.
__________________

Alt 26.02.2005, 00:12   #4
Cidre
Administrator, a.D.
 
viren & hartnäckiger hijacker - Standard

viren & hartnäckiger hijacker



@ karel gott

Bei allen drei Dateien handelt es sich definitiv um Malware.
Führe deshalb dies aus:

Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
__________________
Gruß, Cidre


Alt 26.02.2005, 00:17   #5
*Christian*
Gast
 
viren & hartnäckiger hijacker - Standard

viren & hartnäckiger hijacker



C:\WINDOWS\netcf32.exe
C:\WINDOWS\msbi.exe
C:\WINDOWS\system32\atlff32.exe

Bitte lade auch alle Dateien hier hoch: www.malwareupload.com


Alt 26.02.2005, 00:21   #6
dartus
 
viren & hartnäckiger hijacker - Standard

viren & hartnäckiger hijacker



,

ich bin wohl zu alt und zu langsam.


@Karel Gott

bitte befolge *Christiian*s Bitte.

dartus

Alt 26.02.2005, 01:10   #7
karel gott
 
viren & hartnäckiger hijacker - Standard

viren & hartnäckiger hijacker



Fri Feb 25 19:25:02 2005 => File C:\WINDOWS\htpatch.exe.bak tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Fri Feb 25 19:25:05 2005 => File C:\WINDOWS\wnwki.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken.

Fri Feb 25 19:25:56 2005 => File C:\WINDOWS\System32\vlzmq.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken.

Fri Feb 25 19:27:14 2005 => File C:\Programme\hijackThis\backups\backup-20050113-040054-494.dll tagged as not-a-virus:AdWare.BHO.SearchAssistant.c. No Action Taken.

Fri Feb 25 19:28:04 2005 => File C:\Treiber\SIS 648\agp113\agp113\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Fri Feb 25 19:29:55 2005 => File C:\WINDOWS\htpatch.exe.bak tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Fri Feb 25 19:34:42 2005 => File C:\WINDOWS\system32\vlzmq.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken.

Fri Feb 25 19:34:56 2005 => File C:\WINDOWS\wnwki.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken.

Sat Feb 26 01:08:52 2005 => File C:\WINDOWS\htpatch.exe.bak tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Sat Feb 26 01:13:03 2005 => File C:\WINDOWS\htpatch.exe.bak tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Sat Feb 26 01:13:10 2005 => File C:\WINDOWS\wnwki.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken.

Sat Feb 26 01:14:10 2005 => File C:\WINDOWS\System32\lnfrd.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken.

Sat Feb 26 01:15:09 2005 => File C:\WINDOWS\System32\vlzmq.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken.

Sat Feb 26 01:17:10 2005 => File C:\Programme\hijackThis\backups\backup-20050113-040054-494.dll tagged as not-a-virus:AdWare.BHO.SearchAssistant.c. No Action Taken.

Sat Feb 26 01:18:30 2005 => File C:\Treiber\SIS 648\agp113\agp113\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Sat Feb 26 01:21:22 2005 => File C:\WINDOWS\htpatch.exe.bak tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Sat Feb 26 01:27:57 2005 => File C:\WINDOWS\system32\lnfrd.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken.

Sat Feb 26 01:29:21 2005 => File C:\WINDOWS\system32\vlzmq.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken.

Sat Feb 26 01:29:49 2005 => File C:\WINDOWS\wnwki.dll tagged as not-a-virus:AdWare.JS.OneMoreSearch.a. No Action Taken.

Fri Feb 25 19:27:54 2005 => File C:\RECYCLER\S-1-5-21-1801674531-1500820517-725345543-1003\Dc1.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: File Deleted.

Fri Feb 25 19:26:41 2005 => File C:\ntdetect.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: File Deleted.

Fri Feb 25 19:26:32 2005 => File C:\Dokumente und Einstellungen\Tomy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WJBZ2SPP\msits[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

Fri Feb 25 19:26:20 2005 => File C:\Dokumente und Einstellungen\Tomy\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F753FXOW\archive[1].jar infected by "Trojan.Java.ClassLoader.z" Virus. Action Taken: File Deleted.

soweit die escans.

die 3 filez kann ich leider nicht auf malwareupload.com raufladen. die dateien würden nicht den kriterien entspechen...warum auch immer - es geht leider net.

KG

ps: escan hat alle 3 nicht gelöscht, sind nach wie vor auf dem rechner.

Alt 26.02.2005, 01:36   #8
*Christian*
Gast
 
viren & hartnäckiger hijacker - Standard

viren & hartnäckiger hijacker



Hmm? Die Dateien entsprechen nicht den Kritierien? Sind sie über 2 MB groß?
Sende mir bitte die Dateien an partytime-germany.ice@web.de .

Danke schonmal.

Christian

Alt 26.02.2005, 16:45   #9
MarcHJT
 
viren & hartnäckiger hijacker - Standard

viren & hartnäckiger hijacker



Die Dateien sind auf malwareupload.com angekommen.

Die Rückmeldung für ordnungsgemässe Uploads wird verbessert.

MfG
Marc
__________________
the anti-spyway is my way

Alt 26.02.2005, 21:31   #10
karel gott
 
viren & hartnäckiger hijacker - Ausrufezeichen

viren & hartnäckiger hijacker



thx marchjt für die rückmeldung &
thx christian für das angebot, dir die dateien zu schicken.


zwischenzeitlich alle 3 filez durch markhjt gecheckt: alle 3 malware.´
(juhuu, ich hab gaaaanz neue malware, die av-software noch nicht kennt )

versuche also alle 3 zu löschen.

was muß ich noch tun ?

KG.

ps: netcf32.exe sorgt in unregelm abständen für ein popup das aussieht wie eine windows-systemmeldung von der xp2-firewall mit auswahlfeldern ja/nein zum anklicken... sieht genau aus wie echt.

Alt 26.02.2005, 21:50   #11
dartus
 
viren & hartnäckiger hijacker - Standard

viren & hartnäckiger hijacker



Hallo,

ich rate Dir dazu:

http://www.trojaner-board.de/showthread.php?t=12154

dartus

Alt 26.02.2005, 21:55   #12
karel gott
 
viren & hartnäckiger hijacker - Standard

viren & hartnäckiger hijacker



die ganzen r0,r1 und r3 einträge bekomme ich nicht endgültig gelöscht. auch das netcf32.exe wird von hjt zwar gefixt, ist nach neustart aber wieder da.

soll ich die 3 unten genannten filez einfach von hand löschen ??


ein aktuelles log:

Logfile of HijackThis v1.98.2
Scan saved at 22:48:52, on 26.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\d3im32.exe
C:\Programme\RedLine\Taskbar.exe
C:\Programme\Mouseware\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\netcf32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hijackThis\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qmxrh.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qmxrh.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\qmxrh.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qmxrh.dll/sp.html#10001
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qmxrh.dll/sp.html#10001
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qmxrh.dll/sp.html#10001
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qmxrh.dll/sp.html#10001
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {84726F98-05BE-A8F9-2D6E-FA2D7F559343} - C:\WINDOWS\ippt.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RedLine Taskbar] C:\Programme\RedLine\Taskbar.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [netcf32.exe] C:\WINDOWS\netcf32.exe
O4 - HKLM\..\RunOnce: [d3im32.exe] C:\WINDOWS\d3im32.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Calibration\Adobe Gamma Loader.exe
O15 - Trusted Zone: http://download.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100267738562
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAE715F8-F9F2-4E76-BBBB-C0A724BA989D}: NameServer = 10.212.67.1

Alt 26.02.2005, 22:15   #13
Chris14
 

viren & hartnäckiger hijacker - Standard

viren & hartnäckiger hijacker



nein. ist zwar schon gut, dass es malwareupload.com gibt, aber ich müsste wissen, um was es sich da handelt...
also lass die dateien bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis

Alt 26.02.2005, 22:39   #14
karel gott
 
viren & hartnäckiger hijacker - Standard

viren & hartnäckiger hijacker



Zitat:
Zitat von Chris14
nein. ist zwar schon gut, dass es malwareupload.com gibt, aber ich müsste wissen, um was es sich da handelt...
also lass die dateien bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis

hi, hatte ich doch schon weiter unten gemacht

Alt 28.02.2005, 00:13   #15
karel gott
 
viren & hartnäckiger hijacker - Ausrufezeichen

viren & hartnäckiger hijacker



also, nachdem vom trojaner-board diesmal leider wenig hilfe kam (schade drum ), hab ich das prob aber wohl selbst in den griff bekommen.

hab die ensprechenden dienste und über ein dutzend dll und exe aus den windows bzw windows/system32-verzeichnissen rausgefunden von hand gelöscht. jetzt iss erstmal ruhe.

c ya

KG

Antwort

Themen zu viren & hartnäckiger hijacker
acrobat, adobe, bho, bla, entfernen, explorer, hijacker, hijackthis, immer wieder, internet, internet explorer, log, logitech, microsoft, programme, rundll, rundll32.exe, screen, software, sp2, system, system32, urlsearchhook, viren, windows, windows xp, zuviel



Ähnliche Themen: viren & hartnäckiger hijacker


  1. Hartnäckiger Browser Hijacker: "Do Searches"
    Plagegeister aller Art und deren Bekämpfung - 10.11.2013 (11)
  2. Hartnäckiger Trojaner
    Log-Analyse und Auswertung - 15.08.2012 (1)
  3. Hijacker auswertung / viren
    Log-Analyse und Auswertung - 01.02.2011 (1)
  4. Hijacker deaktivier Taskmanager und Registry-Editor - Hijacker nicht entfernbar
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (2)
  5. hartnäckiger Schädling
    Plagegeister aller Art und deren Bekämpfung - 22.06.2009 (1)
  6. hartnäckiger Trojaner
    Plagegeister aller Art und deren Bekämpfung - 29.05.2009 (3)
  7. Hartnäckiger Trojaner
    Log-Analyse und Auswertung - 12.01.2009 (5)
  8. Hartnäckiger trojan.xxx.xxx
    Plagegeister aller Art und deren Bekämpfung - 19.09.2008 (16)
  9. Hartnäckiger Trojaner
    Plagegeister aller Art und deren Bekämpfung - 07.11.2006 (1)
  10. Hijacker? Viren? Brauche Hilfe!
    Log-Analyse und Auswertung - 20.10.2006 (8)
  11. Hartnäckiger Hijacker
    Log-Analyse und Auswertung - 19.05.2005 (0)
  12. besonders hartnäckiger hijacker
    Log-Analyse und Auswertung - 26.02.2005 (14)
  13. Hartnäckiger Trojaner
    Plagegeister aller Art und deren Bekämpfung - 09.11.2004 (4)
  14. verschiedene Hijacker und Viren
    Log-Analyse und Auswertung - 15.10.2004 (4)
  15. HILFE! Hartnäckiger hijacker, hartnäckiger Trojaner!
    Log-Analyse und Auswertung - 07.09.2004 (3)
  16. MSN : hartnäckiger Hijacker
    Plagegeister aller Art und deren Bekämpfung - 04.06.2004 (7)
  17. Viren: Moniker32 , Startpage.gv und hijacker
    Plagegeister aller Art und deren Bekämpfung - 25.05.2004 (17)

Zum Thema viren & hartnäckiger hijacker - hi, hatte viren & einen hijacker, den ich nicht wegkrieg. unter anderem ist jetzt das xp-firewallsymbol im tray, owohl ich weder sp2 noch die fw dazu installiert hab... hier das - viren & hartnäckiger hijacker...
Archiv
Du betrachtest: viren & hartnäckiger hijacker auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.