| |
| |||||||
Log-Analyse und Auswertung: Bei Hijack zu viel gefixt?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
28.06.2005, 12:54
| #1 |
 |  Bei Hijack zu viel gefixt? Bin Anfänger, was Trojaner usw betrifft, sitze hier an einem Rechner, den ich säubern muss, hab aber eigentlich keine Ahnung davon.. Jetzt hab ich mir Hijack runtergeladen und laufen lassen, hatte nämlich Probleme mit dem IE. Kann es sein, dass ich zuviel gelöscht habe? Die Popups, die störten, sind jetzt zwar weg, aber leider stimmt noch was nicht: Popup: "Die Suchseite konnte nicht geöffnet werden" Ich hoffe ich schreibe ins richtige Forum *g* Bin momentan über Netscape drin, der funktioniert einwandfrei. Bitte Antworten einfach formulieren, hab keine Ahnung...! Logfile of HijackThis v1.99.1 Scan saved at 13:48:29, on 28.06.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\msdtc.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\DIRECT~1\DUService.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\llssrv.exe C:\WINNT\System32\mgabg.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Programme\RealVNC\WinVNC\WinVNC.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\inetsrv\inetinfo.exe C:\Programme\Gemeinsame Dateien\System\MSSearch\bin\mssearch.exe C:\WINNT\Explorer.EXE C:\Programme\Netscape\Netscape\Netscp.exe C:\WINNT\regedit.exe C:\Programme\HijackThis\HijackThis.exe O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: DirectUpdate engine (DirectUpdate) - h**p://www.directupdate.net/ - C:\PROGRA~1\DIRECT~1\DUService.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe O23 - Service: %NVSVC.desc% (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing) Danke im Voraus. |
|
28.06.2005, 13:11
| #2 |
| | Bei Hijack zu viel gefixt? Kann es sein das du saemtliche 04 Eintraege gefixt hast ? o.O
__________________
__________________ |
|
28.06.2005, 13:12
| #3 |
| | Bei Hijack zu viel gefixt? ist des schlimm?
__________________sag bitte nein!  was muss ich jetz machen??? |
|
28.06.2005, 13:17
| #4 |
   | Bei Hijack zu viel gefixt? Hi, wenn du keine Ahnung hast dann solltest du das fixen auch lassen, den damit kannst du ne Mengen Unheil anrichten  Stell mal eine neue Startseite im IE ein, fixe im abgesicherten Modus noch folgende Einträge: O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.h tm O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm lösche von hand folgende Dateien/Ordner: C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.h tm C:\WINNT\web\related.htm poste danach aus dem normalen Modus ein neues HJT |
|
28.06.2005, 13:36
| #5 |
| | Bei Hijack zu viel gefixt? Jetzt kommt zwar das Popup nicht mehr, aber der IE bringt immer noch die Meldung, dass der Server nicht gefunden wurde.. So, hier ist der neue Log: Logfile of HijackThis v1.99.1 Scan saved at 14:24:36, on 28.06.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\userinit.exe C:\WINNT\Explorer.EXE C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: DirectUpdate engine (DirectUpdate) - h**p://www.directupdate.net/ - C:\PROGRA~1\DIRECT~1\DUService.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe O23 - Service: %NVSVC.desc% (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing) |
|
28.06.2005, 13:39
| #6 |
| | Bei Hijack zu viel gefixt? hab vergessen die dateien zu löschen, jetzt sind sie gelöscht.. server findet er immer noch nicht Logfile of HijackThis v1.99.1 Scan saved at 14:38:10, on 28.06.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\msdtc.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\DIRECT~1\DUService.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\llssrv.exe C:\WINNT\System32\mgabg.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Programme\RealVNC\WinVNC\WinVNC.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\inetsrv\inetinfo.exe C:\Programme\Gemeinsame Dateien\System\MSSearch\bin\mssearch.exe C:\WINNT\Explorer.EXE C:\Programme\Netscape\Netscape\Netscp.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: DirectUpdate engine (DirectUpdate) - h**p://www.directupdate.net/ - C:\PROGRA~1\DIRECT~1\DUService.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe O23 - Service: %NVSVC.desc% (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing) |
|
28.06.2005, 13:41
| #7 |
| | Bei Hijack zu viel gefixt? Und noch ein Nachtrag *grml* Die Meldung mit "Die Suchseite konnte nicht.." bringt er, wenn ich kein http dazu schreib. so. |
|
28.06.2005, 13:46
| #8 |
| | Bei Hijack zu viel gefixt? ok jetzt schaun wir mal damit wir das mit dem Backup hin bekommen. Öffne dazu dein HJT dort gibt es View the list of backups draufdrücken. Dann sollten alle deine gelöschten Einträge stehen. Klicke alle an ausser die drei die ich dir schon genannt habe und dann auf Restore Danach erstellst du ein neues HJT und postest es mal sehen was da alles so drauf ist |
|
28.06.2005, 13:59
| #9 |
| | Bei Hijack zu viel gefixt? bitteschön (aber den bouncer usw sollt ich schon runterschmeißen, oder??) meine datenbank hab ich mal mit *** verschlüsselt. vor mir hat nämlich irgendwer AdDestroyer und Virtual Bouncer installiert. Logfile of HijackThis v1.99.1 Scan saved at 14:56:38, on 28.06.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\msdtc.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\DIRECT~1\DUService.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\llssrv.exe C:\WINNT\System32\mgabg.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Programme\RealVNC\WinVNC\WinVNC.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\inetsrv\inetinfo.exe C:\Programme\Gemeinsame Dateien\System\MSSearch\bin\mssearch.exe C:\WINNT\Explorer.EXE C:\Programme\Netscape\Netscape\Netscp.exe C:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://linux/***datenbank/index.php3 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchforit.com/searchbar R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchforit.com/searchbar R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchforit.com/searchbar R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchforit.com/searchbar R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe R3 - URLSearchHook: IncrediFindBHO Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} - C:\WINNT\ceres.dll O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll (file missing) O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar version 60.dll (file missing) O4 - HKLM\..\Run: [gkbmwl] c:\winnt\system32\gkbmwl.exe O4 - HKLM\..\Run: [checkrun] C:\winnt\system32\eliterhw32.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\Run: [etupS] C:\WINNT\system32\etupS.exe O4 - HKLM\..\Run: [shconw] C:\WINNT\system32\shconw.exe O4 - HKLM\..\Run: [alchem] C:\WINNT\alchem.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [DUControl] C:\Programme\DirectUpdate\DUControl.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKCU\..\Run: [kfww] C:\PROGRA~1\COMMON~1\kfww\kfwwm.exe O4 - HKCU\..\Run: [sfita] C:\WINNT\sfita.exe O4 - HKCU\..\Run: [sf] C:\Programme\sf\sf.exe O4 - HKCU\..\Run: [StrokeIt] C:\Programme\Strokeit\strokeit.exe O4 - Startup: Virtual Bouncer.lnk = C:\Programme\VBouncer\VirtualBouncer.exe O4 - Startup: AdDestroyer.lnk = C:\Programme\AdDestroyer\AdDestroyer.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: DirectUpdate engine (DirectUpdate) - http://www.directupdate.net/ - C:\PROGRA~1\DIRECT~1\DUService.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe O23 - Service: %NVSVC.desc% (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing) |
|
28.06.2005, 14:25
| #10 |
| | Bei Hijack zu viel gefixt? da würde ich mal sagen scanne erst mal mit escan, da ja eine Menge Zeugs drauf ist was da nicht hingehört. Halte dich bei dem Scan genau an die Anleitung Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "C:\bases_x" . Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung .Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus (Haken setzen bei All Local Drives und All Scan Files).Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu. --> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - das geht so: Mittels Rechtsklick --> "Ziel speichern unter..." diese Datei runterladen entpacken und ausführen. Dann einfach den Inhalt der c:\eScan_neu.txt hier posten.Funktioniert nur, wenn du eScan gemäß der Anleitung ausführst! (Zitat: Haui45) |
|
28.06.2005, 16:20
| #11 |
| |  Bei Hijack zu viel gefixt? der kommt mitm scannen grad mal bis zu C:/Programme/Microsoft Visual bla/SAMPLES/VJ98, da sind grad mal zwei objekte drinne, aber angeblich hat er da schon so um die zwanzig stück durchsucht. seit dem ordner geht des total lahm. ich werds etz abbrechen. hab nämlich heute keine pause gemacht und geh früher heim  |
|
28.06.2005, 16:30
| #12 | |
| | Bei Hijack zu viel gefixt? Du solltest beim scanne schon Gedult mitbringen denn je nach dem was alles auf der Platte ist braucht er mindestens 1 Stunde. Zitat:
|
|
29.06.2005, 06:02
| #13 |
| |  Bei Hijack zu viel gefixt? so werde dann in die arbeit gehn und das ganze nochmal von vorn anfangen. ich poste den log dann ^^ schon mal danke, dass man hier trotz totaler unwissenheit unterstützung bekommt! nachher habi dann auch nan ganzen tag zeit  |
|
29.06.2005, 06:05
| #14 |
| | Bei Hijack zu viel gefixt? achja! die haken habi jetzt so gesetzt, wie in der anleitung beschrieben! des passt ja dann, nich? |
|
29.06.2005, 09:55
| #15 |
| | Bei Hijack zu viel gefixt? Habe eScan noch einmal gestartet, aber das gleiche Problem, wie schon erwähnt: Beim Ordner Microsoft Visual bla kommt er einfach nicht weiter. Was soll ich tun - den Ordner löschen?? |
|
| Themen zu Bei Hijack zu viel gefixt? |
| anfänger, antivir, antivir update, button, dateien, explorer, forum, gelöscht, hijack, hijackthis, icq, internet, internet explorer, keine ahnung, links, nvidia, popups, probleme, programme, server, software, system, system32, tan, trojaner, update, windows |
