Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Desktophijack ist nicht wegzukriegen - brauche Hilfe

Desktophijack ist nicht wegzukriegen - brauche Hilfe


Log-Analyse und Auswertung: Desktophijack ist nicht wegzukriegen - brauche Hilfe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 19.07.2005, 22:51   #1
Smirre_WG
 
Desktophijack ist nicht wegzukriegen - brauche Hilfe - Standard

Desktophijack ist nicht wegzukriegen - brauche Hilfe


Hallo Profis !
Habe mir was eingefangen (Smitfraud.c / AntivirusGold/ Popuper / Desktophijack) und benötige nun Hilfe da ich beim Entfernen nur halben Erfolg hatte.
Habe mit HijackThis wenigstens den blauen Eingangs-Bildschirm mit der Warnung wegbekommen. Auch die Popuper sind Dank eines runtergeladenen Programmes weg (popuper_remover.exe)
Das dämliche schwarze Hintergrundbild (Warning - your in danger ...) ist allerdings immer noch da.
Auch sind Einträge in dem Log-File, die vermutlich nicht dahin gehören.
Bin da etwas unerfahren und ängstlich die gleich wegzulöschen...
Kann da einer helfen ?
Besten Dank schon mal im Voraus
Viele Grüsse
Smirre_WG
Hier noch der aktuelle Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 23:36:35, on 19.07.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\WINDOWS\MHOTKEY.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\UNLOAD\HPQCMON.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\FPPDIS2A.EXE
C:\WINDOWS\SYSTEM\MSMSGS.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\MESSENGER\MSMSGS.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMME\SKYPE\PHONE\SKYPE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://www.fastwebfinder.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.findwhatevernow.com/searchband2
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = h**p://www.martfinder.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = h**p://www.fastwebfinder.com/hp.php
F1 - win.ini: run=hpfsched
O2 - BHO: (no name) - {DE3BEBDB-AEE7-4277-8B6E-4EEFFA9508AE} - C:\WINDOWS\SYSTEM\UOEUFE.DLL (file missing)
O2 - BHO: Class - {2DB1C7E6-C436-401E-0374-ECF3202CF49B} - C:\WINDOWS\APPJA.DLL (file missing)
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [<H] c:\Windows\System\<HEAD>
O4 - HKLM\..\Run: [ <TITLE>Error</TI] c:\Windows\System\ <TITLE>Error</TITLE>
O4 - HKLM\..\Run: [</H] c:\Windows\System\</HTML>
O4 - HKLM\..\Run: [<B] c:\Windows\System\<BODY>
O4 - HKLM\..\Run: [The site you have requested doesn't ex] c:\Windows\System\The site you have requested doesn't exist.
O4 - HKLM\..\Run: [] c:\Windows\System\
O4 - HKLM\..\Run: [The associated domain name has probably been reserved by a client ] c:\Windows\System\The associated domain name has probably been reserved by a client from
O4 - HKLM\..\Run: [<A HREF="http://www.gandi.net/">GANDI</A> then par] c:\Windows\System\<A HREF="http://www.gandi.net/">GANDI</A> then parked.
O4 - HKLM\..\Run: [</B] c:\Windows\System\</BODY>
O4 - HKLM\..\Run: [ATLLS32.EXE] C:\WINDOWS\SYSTEM\ATLLS32.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [pdfFactory Dispatcher v2] "C:\WINDOWS\SYSTEM\fppdis2a.exe" /source=HKLM
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\SYSTEM\msmsgs.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [IEGS32.EXE] C:\WINDOWS\IEGS32.EXE
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [MSMSGS] C:\PROGRA~1\MESSEN~1\msmsgs.exe /background
O4 - HKCU\..\Run: [od-stnd520] c:\programme\Webdialer\od-stnd520.exe -m
O4 - HKCU\..\Run: [<H] c:\Windows\System\<HEAD>
O4 - HKCU\..\Run: [ <TITLE>Error</TI] c:\Windows\System\ <TITLE>Error</TITLE>
O4 - HKCU\..\Run: [</H] c:\Windows\System\</HTML>
O4 - HKCU\..\Run: [<B] c:\Windows\System\<BODY>
O4 - HKCU\..\Run: [The site you have requested doesn't ex] c:\Windows\System\The site you have requested doesn't exist.
O4 - HKCU\..\Run: [] c:\Windows\System\
O4 - HKCU\..\Run: [The associated domain name has probably been reserved by a client ] c:\Windows\System\The associated domain name has probably been reserved by a client from
O4 - HKCU\..\Run: [<A HREF="http://www.gandi.net/">GANDI</A> then par] c:\Windows\System\<A HREF="http://www.gandi.net/">GANDI</A> then parked.
O4 - HKCU\..\Run: [</B] c:\Windows\System\</BODY>
O4 - HKCU\..\Run: [Skype] "C:\PROGRAMME\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimized
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\SYSTEM\hookdump.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.claranet.de/user_portal/
O19 - User stylesheet: c:\windows\my.css (file missing)
Geändert von Smirre_WG (19.07.2005 um 23:20 Uhr)

Alt 19.07.2005, 23:49   #2
dartus
 
Desktophijack ist nicht wegzukriegen - brauche Hilfe - Standard

Desktophijack ist nicht wegzukriegen - brauche Hilfe


Hallo,

Dein Betriebssystem inkl. IExplorer ist nicht auf dem neuesten Stand, daher ist bei Dir einiges im System.

Lade Dir Clearprog 1.4.1 final ]. Programm starten, Häckchen bei alles löschen und auf löschen klicken.
Scanne Dein System mit eScan.
Befolge genau die Anleitung (z.B. Ordner "Bases_X" erstellen, Scan im abgesicherten Modus, Anwendung der "Find.bat" usw.)

dartus
__________________

__________________
Alt 20.07.2005, 23:31   #3
Smirre_WG
 
Desktophijack ist nicht wegzukriegen - brauche Hilfe - Standard

Desktophijack ist nicht wegzukriegen - brauche Hilfe


Hallo Dartus,
bin - wie Du beschrieben hast - vorgegangen.
Allerdings hat das mit der Bat.Datei nicht geklappt und es war ne mühselige Arbeit das hier rein zu kopieren.

Jetzt weiss ich allerdings nicht ob Du nur die Einträge "infected" und "tagged" sehen wolltest oder ob Du alles sehen möchtest (was allerdings ne recht lange Liste wäre.
Ich sende jetzt mal die Anfänge plus die markierten Zeilen sowie den Schluss.
Kannst Du mir anhand dieser Einträge sagen was ich nun löschen soll oder wie ich weiter vorgehen soll ?

Besten Dank schon mal im Voraus
Gruss Smirre_WG

Wed Jul 20 22:17:12 2005 => **********************************************************
Wed Jul 20 22:17:12 2005 => MicroWorld AntiVirus & Spyware Toolkit Utility.
Wed Jul 20 22:17:12 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Wed Jul 20 22:17:12 2005 => **********************************************************
Wed Jul 20 22:17:12 2005 => Version 6.4.5 (C:\BASES_X\MWAVSCAN.COM)
Wed Jul 20 22:17:12 2005 => Log File: C:\BASES_X\MWAV.LOG
Wed Jul 20 22:17:12 2005 => MWAV Registered: FALSE.
Wed Jul 20 22:17:12 2005 => MWAV Mode: Only Scan files.
Wed Jul 20 22:17:12 2005 => Latest Date of files inside MWAV: 20 Jul 2005 22:05:41.
Wed Jul 20 22:17:18 2005 => AV Library Loaded...
Wed Jul 20 22:17:18 2005 => MWAV doing self scanning...
Wed Jul 20 22:17:18 2005 => Scanning File C:\BASES_X\kavss.exe
Wed Jul 20 22:17:18 2005 => Scanning File C:\BASES_X\Getvlist.exe
Wed Jul 20 22:17:18 2005 => Scanning File C:\BASES_X\kavss.dll
Wed Jul 20 22:17:18 2005 => Scanning File C:\BASES_X\kavssdi.dll
Wed Jul 20 22:17:18 2005 => Scanning File C:\BASES_X\kavssi.dll
Wed Jul 20 22:17:18 2005 => Scanning File C:\BASES_X\kavvlg.dll
Wed Jul 20 22:17:19 2005 => Scanning File C:\BASES_X\msvlclnt.dll
Wed Jul 20 22:17:19 2005 => Scanning File C:\BASES_X\ipc.dll
Wed Jul 20 22:17:19 2005 => Scanning File C:\BASES_X\main.avi
Wed Jul 20 22:17:19 2005 => Scanning File C:\BASES_X\virus.avi
Wed Jul 20 22:17:19 2005 => MWAV files are clean.
Wed Jul 20 22:19:31 2005 => Virus Database Date: 2005/07/20
Wed Jul 20 22:19:31 2005 => Virus Database Count: 140314

Wed Jul 20 22:20:34 2005 => **********************************************************
Wed Jul 20 22:20:34 2005 => MicroWorld AntiVirus & Spyware Toolkit Utility.
Wed Jul 20 22:20:34 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Wed Jul 20 22:20:34 2005 =>
Wed Jul 20 22:20:34 2005 => Support: support@mwti.net
Wed Jul 20 22:20:34 2005 => Web: http://www.mwti.net
Wed Jul 20 22:20:34 2005 => **********************************************************
Wed Jul 20 22:20:34 2005 => Version 6.4.5 (C:\BASES_X\MWAVSCAN.COM)
Wed Jul 20 22:20:34 2005 => Log File: C:\BASES_X\MWAV.LOG
Wed Jul 20 22:20:34 2005 => Windows Root Folder: C:\WINDOWS
Wed Jul 20 22:20:34 2005 => Windows Sys32 Folder: C:\WINDOWS\SYSTEM
Wed Jul 20 22:20:34 2005 => OS: Windows ME
Wed Jul 20 22:20:34 2005 => Latest Date of files inside MWAV: 20 Jul 2005 22:05:41.

Wed Jul 20 22:20:34 2005 => Options Selected by User:
Wed Jul 20 22:20:34 2005 => Memory Check: Enabled
Wed Jul 20 22:20:34 2005 => Registry Check: Enabled
Wed Jul 20 22:20:34 2005 => StartUp Folder Check: Disabled
Wed Jul 20 22:20:34 2005 => System Folder Check: Disabled
Wed Jul 20 22:20:34 2005 => System Area Check: Disabled
Wed Jul 20 22:20:34 2005 => Services Check: Enabled
Wed Jul 20 22:20:34 2005 => Drive Check: Disabled
Wed Jul 20 22:20:34 2005 => All Drive Check :Enabled
Wed Jul 20 22:20:34 2005 => Folder Check: Disabled

Wed Jul 20 22:20:34 2005 => ***** Scanning Memory Files *****


Wed Jul 20 22:21:17 2005 => File C:\WINDOWS\SYSTEM\FWNTOOLBAR.DLL tagged as "not-a-virus:AdWare.ToolBar.FWN.c". Action Taken: No Action Taken.
Wed Jul 20 22:22:32 2005 => File C:\_RESTORE\TEMP\A0083201.CPY tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Wed Jul 20 22:22:32 2005 => File C:\_RESTORE\TEMP\A0083201.CPY tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Wed Jul 20 22:42:38 2005 => File C:\WINDOWS\SYSTEM\AcsProxy.dll tagged as "not-a-virus:AdWare.ToolBar.FWN.a". Action Taken: No Action Taken.
Wed Jul 20 22:45:58 2005 => File C:\WINDOWS\TEMP\webr.exe tagged as "not-a-virus:AdWare.WebRebates.a". Action Taken: No Action Taken.
Wed Jul 20 22:46:56 2005 => File C:\WINDOWS\Desktop\AOL Gespeicherte Dateien\AOL 7.0\download\ac\fo-ac15.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Wed Jul 20 22:47:27 2005 => File C:\WINDOWS\Temporary Internet Files\li-speed00436.exe tagged as "not-a-virus:Porn-Dialer.Win32.0190-Dialers". Action Taken: No Action Taken.
Wed Jul 20 23:02:48 2005 => File C:\Programme\Cool2000\ce2kunin.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Wed Jul 20 23:02:57 2005 => File C:\Programme\acw201t.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Wed Jul 20 23:03:44 2005 => File C:\Programme\spyblocs.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Wed Jul 20 23:06:49 2005 => File C:\Benzing\Smirre\Privat\Bilderchen\VIAGRA.EXE tagged as not-a-virus:Joke.Win32.Viagra. No Action Taken.
Wed Jul 20 23:06:55 2005 => File C:\Benzing\Smirre\Privat\Bilderchen\AIRE.EXE tagged as not-a-virus:Joke.Win32.Rubis. No Action Taken.
Wed Jul 20 23:06:56 2005 => File C:\Benzing\Smirre\Privat\Bilderchen\XmasGirl1.exe tagged as not-a-virus:Effect.Win16.MessageMates. No Action Taken.
Wed Jul 20 23:06:58 2005 => File C:\Benzing\Smirre\Privat\Bilderchen\andyxmas.exe tagged as not-a-virus:Effect.Win16.MessageMates. No Action Taken.
Wed Jul 20 23:07:56 2005 => File C:\Hijack\backups\backup-20050719-220501-687.dll tagged as "not-a-virus:AdWare.WebEx". Action Taken: No Action Taken.
Wed Jul 20 23:08:40 2005 => File C:\Fotos\Benzing\Andrea\ipsinst2.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Wed Jul 20 22:21:06 2005 => File C:\WINDOWS\SYSTEM\WININET.DLL infected by "Virus.Win32.Nsag.a" Virus! Action Taken: No Action Taken.
Wed Jul 20 22:21:18 2005 => File C:\WINDOWS\SYSTEM\msmsgs.exe infected by "Trojan-Downloader.Win32.Zlob.x" Virus! Action Taken: No Action Taken.
Wed Jul 20 22:21:44 2005 => System found infected with euniverse Spyware/Adware ({5D60FF48-95BE-4956-B4C6-6BB168A70310})! Action taken: No Action Taken.
Wed Jul 20 22:21:49 2005 => System found infected with isearch Spyware/Adware (patch.exe)! Action taken: No Action Taken.

Wed Jul 20 22:21:51 2005 => System found infected with istbar Spyware/Adware (unregister.exe)! Action taken: No Action Taken.
Wed Jul 20 22:21:51 2005 => System found infected with istbar Spyware/Adware (acsproxy.dll)! Action taken: No Action Taken.
Wed Jul 20 22:21:51 2005 => System found infected with istbar Spyware/Adware (fwntoolbar.dll)! Action taken: No Action Taken.
Wed Jul 20 22:21:51 2005 => System found infected with istbar Spyware/Adware (imgconv.dll)! Action taken: No Action Taken.
Wed Jul 20 22:21:51 2005 => System found infected with istbar Spyware/Adware (vic32.dll)! Action taken: No Action Taken.
Wed Jul 20 22:21:53 2005 => System found infected with istbar Spyware/Adware ({5F1ABCDB-A875-46C1-8345-B72A4567E486})! Action taken: No Action Taken.
Wed Jul 20 22:21:53 2005 => System found infected with istbar Spyware/Adware ({5f1abcdb-a875-46c1-8345-b72a4567e486})! Action taken: No Action Taken.
Wed Jul 20 22:22:03 2005 => System found infected with vx2 Spyware/Adware (boot.exe)! Action taken: No Action Taken.
Wed Jul 20 22:22:04 2005 => System found infected with webdialer Spyware/Adware ({02c20140-76f8-4763-83d5-b660107b7a90})! Action taken: No Action Taken.
Wed Jul 20 22:23:19 2005 => File C:\_RESTORE\TEMP\A0262920.CPY infected by "Trojan.Win32.Puper.aa" Virus! Action Taken: No Action Taken.
Wed Jul 20 22:23:19 2005 => File C:\_RESTORE\TEMP\A0263920.CPY infected by "Trojan.Win32.Puper.aa" Virus! Action Taken: No Action Taken.
Wed Jul 20 22:23:19 2005 => File C:\_RESTORE\TEMP\A0264920.CPY infected by "Trojan.Win32.Puper.aa" Virus! Action Taken: No Action Taken.
Wed Jul 20 22:23:19 2005 => File C:\_RESTORE\TEMP\A0265920.CPY infected by "Trojan.Win32.Puper.aa" Virus! Action Taken: No Action Taken.
Wed Jul 20 22:23:19 2005 => File C:\_RESTORE\TEMP\A0266920.CPY infected by "Trojan.Win32.Puper.aa" Virus! Action Taken: No Action Taken.
Wed Jul 20 22:23:21 2005 => File C:\_RESTORE\TEMP\A6291400.0 infected by "Trojan.Win32.Agent.ff" Virus! Action Taken: No Action Taken.
Wed Jul 20 22:23:21 2005 => File C:\_RESTORE\TEMP\A0267961.CPY infected by "Trojan.Win32.Puper.aa" Virus! Action Taken: No Action Taken.
Wed Jul 20 22:23:22 2005 => File C:\_RESTORE\TEMP\A0268961.CPY infected by "Trojan.Win32.Puper.aa" Virus! Action Taken: No Action Taken.
Wed Jul 20 22:23:28 2005 => File C:\_RESTORE\TEMP\A0270007.CPY infected by "Trojan.Win32.Puper.aa" Virus! Action Taken: No Action Taken.
Wed Jul 20 22:23:28 2005 => File C:\_RESTORE\TEMP\A0271007.CPY infected by "Trojan.Win32.Puper.aa" Virus! Action Taken: No Action Taken.
Wed Jul 20 22:23:37 2005 => File C:\_RESTORE\TEMP\A0273108.CPY infected by "Trojan.Win32.Puper.aa" Virus! Action Taken: No Action Taken.
Wed Jul 20 22:23:40 2005 => File C:\_RESTORE\TEMP\A0274153.CPY infected by "Trojan.Win32.Puper.aa" Virus! Action Taken: No Action Taken.
Wed Jul 20 22:23:40 2005 => File C:\_RESTORE\TEMP\A0275153.CPY infected by "Trojan.Win32.Puper.aa" Virus! Action Taken: No Action Taken.
Wed Jul 20 22:23:41 2005 => File C:\_RESTORE\TEMP\WININET.1 infected by "Virus.Win32.Nsag.a" Virus! Action Taken: No Action Taken.
Wed Jul 20 22:23:41 2005 => File C:\_RESTORE\TEMP\UNINSTIU.0 infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.
Wed Jul 20 22:23:41 2005 => File C:\_RESTORE\TEMP\INTEL32.0 infected by "Trojan.Win32.Small.eu" Virus! Action Taken: No Action Taken.
Wed Jul 20 22:42:36 2005 => File C:\WINDOWS\SYSTEM\glkogtdo.dll infected by "Trojan.Win32.Golid.d" Virus! Action Taken: No Action Taken.
Wed Jul 20 22:42:40 2005 => File C:\WINDOWS\SYSTEM\LogFiles\K7111600.so infected by "Trojan-Downloader.Win32.Small.azg" Virus! Action Taken: No Action Taken.
Wed Jul 20 22:42:41 2005 => File C:\WINDOWS\SYSTEM\WININET.DLL infected by "Virus.Win32.Nsag.a" Virus! Action Taken: No Action Taken.
Wed Jul 20 22:45:58 2005 => File C:\WINDOWS\TEMP\AcsProxyStub.exe infected by "Trojan-Clicker.Win32.Agent.di" Virus! Action Taken: No Action Taken.
Wed Jul 20 22:48:29 2005 => File C:\WINDOWS\hh.dll infected by "Trojan-Spy.Win32.Spung.b" Virus! Action Taken: No Action Taken.
Wed Jul 20 23:04:08 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Wed Jul 20 23:04:08 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\#INDEX#


Wed Jul 20 23:22:07 2005 => ***** Scanning complete. *****

Wed Jul 20 23:22:07 2005 => Total Objects Scanned: 37153
Wed Jul 20 23:22:07 2005 => Total Virus(es) Found: 58
Wed Jul 20 23:22:07 2005 => Total Disinfected Files: 0
Wed Jul 20 23:22:07 2005 => Total Files Renamed: 0
Wed Jul 20 23:22:07 2005 => Total Deleted Objects: 0
Wed Jul 20 23:22:07 2005 => Total Errors: 94
Wed Jul 20 23:22:07 2005 => Time Elapsed: 00:58:21
Wed Jul 20 23:22:07 2005 => Virus Database Date: 2005/07/20
Wed Jul 20 23:22:07 2005 => Virus Database Count: 140314

Wed Jul 20 23:22:07 2005 => Scan Completed.

Wed Jul 20 23:22:35 2005 => Virus Database Date: 2005/07/20
Wed Jul 20 23:22:35 2005 => Virus Database Count: 140314
Wed Jul 20 23:25:04 2005 => AV Library Unloaded (3)...
__________________
Alt 21.07.2005, 09:55   #4
dartus
 
Desktophijack ist nicht wegzukriegen - brauche Hilfe - Standard

Desktophijack ist nicht wegzukriegen - brauche Hilfe


Hallo Smirre_WG,

hast Du mit "clearprog" eine Datenträgerbereinigung vorgenommen? Es sieht nicht danach aus.
Wende "clearprog" an (wie beschrieben), um den Müll in Deinen "Temp"-Ordnern loszuwerden.
Downloade Adaware
und Spybot S&D . Installieren und updaten.

Arbeiten dann dieses durch (dabei unbedingt die Systemwiederherstellung deaktivieren):
http://www.trojaner-board.de/showthread.php?t=17863
Beachte dabei, dass die dort beschriebenen Dateien bei Dir im Ordner "System" stecken nicht im "system32"-Ordner.
Lösche ebenfalls alle Dateien die "Escan" fand, ausser die in folgenden Ordnern:
C:\_RESTORE (wird mit der Deaktivierung der Systemwiederherstellung gelöscht)
C:\WINDOWS\TEMP (clearprog)
C:\WINDOWS\Temporary Internet Files (clearprog)
C:\Benzing\Smirre\Privat\Bilderchen

Scanne dann (ebenfalls im abgesicherten Modus) nacheinander mit Adaware und Spybot und lösche alle Funde.

Hier kannst Du Dir eine saubere "wininet.dll" laden. C:\WINDOWS\SYSTEM\WININET.DLL infected by "Virus.Win32.Nsag.a"

Poste nach Deinen Aktivitäten ein neues Logfile

dartus
__________________
Kein Support per PN

Alt 21.07.2005, 21:29   #5
Smirre_WG
 
Desktophijack ist nicht wegzukriegen - brauche Hilfe - Standard

Desktophijack ist nicht wegzukriegen - brauche Hilfe


Hallo Dartus,
schon mal bis hierhin besten Dank für Deine Mühe und Ausdauer !

Zum aktuellen Stand:
- ja Du hattest Recht - das mit dem Clearprog habe ich gestern Nacht wohl in meiner Aufregung vergessen...

- Ich hatte heute, wie Du nochmals darauf hingewiesen hattest angefangen.
Ich bin zwar noch nicht fertig - aber es hat bereits Erfolge, da das dämliche Hintergrundbild nun weg ist.
- Bevor ich jedoch weitermache zunächst nochmals ein paar Fragen bzw. Hinweise. Ich schilder Dir vielleicht mal kurz wie ich vorgegangen bin und welche Fehler/Informationen/Fragen auftraten:

- System im abgesicherten Modus starten -> o.k.
- Systemwiederherstellung deaktiviert -> o.k.
- Im Windows Explorer die Haken entfernt für geschützte Dateien ausblenden -> o.k.
- Alle Dateien und Orndner anzeigen -> o.k.
- Taskmanager aufrufen um zu überprüfen ob die angegebenen Prozesse laufen -> hier war nur der Explorer angezeigt. Allerdings ist die Syntax nicht ausführlich wie im Thread geschrieben, sodass ich nicht mit Sicherheit sagen kann ob da noch was im Hintergrund läuft (das nicht sichtbar ist aber auch nicht laufen soll). Somit habe ich Killbox nicht angewandt
- erneuter Start im abgesicherten Modus -> o.k.
- Starten des Regfile Smitfraud.reg -> o.k.
- Erneut im abgesicherten Modus gestartet -> o.k.
- Programm Hoster aktiviert -> o.k.
- Tip mit webtabmissing.reg -> Meldung dass dies keine Registrierungsdatei ist -> fehlgeschlagen !

Bevor ich nun weitermache - ich hatte vorgestern bereits das Programm Spybot laufen. Dieses hatte auch zuverlässig ca. 80 "Defekte" gefunden. Nachdem diese alle von mir entfernt wurden hat das System aber nach dem Neustart lauter Fehlermeldungen gebracht (irgendwas mit Explorer) sodass ich die Entfernungen rückgängig machte. Dieses hat auch zuverlässig funktioniert sodass ich der Meinung war dass auch "gute" Einträge mit gelöscht wurden die für andere Anwendungen nötig sind. So habe ich in mehreren Vorgängen jeweils die ca. 10 "meist bösesten" Einträge gelöscht und das System lief danach immer noch sauber. Jedoch beim Löschen der vorletzten ca. 10 Einträge lief das System wieder nicht sodass ich auch hier wieder die Löschungen zurücknahm. Seither kommt aber die Fehlermeldung "System Start User Entry / Wert gelöscht / -> ein wichtiger Regisrierungsdatenbank-Eintrag wurde geändert.
Dies ist vielleicht nicht schlimm - zeigt mir aber dass ich ggf. was falsch gemacht habe...?

Da als nächster Schritt nach dem "CleanUp" ja nun das Escan kommen soll, weiss ich nicht so recht ob ich hier alle Einträge, ausser denen die ich laut Dir lassen soll, löschen kann. Dies sind ja sehr viele - gibt es hier evtl. auch so eine Art "Rettung" falls was schief läuft ?

Auch wenn alles klappt blicke ich die nächsten Schritte danach nicht so ganz.
Im von Dir erwähnten Thread steht das mit dem "Der .tmp Ordner wird als BHO installiert und „hijacked“ den Browser nach quicknavigate.com".
Was muss ich hier tun ? Läuft das allein ?
Und dann wäre das noch mit der sauberen Wininet.dll - muss ich die in ein spezielles Verzeichnis stellen oder nur "irgendwohin" ?

Bevor ich also weiter loslege (vermutlich erst Samstag möglich), wollte ich erst noch ein paar Infos/Tips um zu sehen ob ich das richtig verstanden habe bzw. um überhauopt weitermachen zu können.
Wäre nett wenn Du mir helfen könntest - ich selbst bin begierig dazuzulernen.

Viele Grüsse
Smirre_WG


Antwort

Themen zu Desktophijack ist nicht wegzukriegen - brauche Hilfe
askbar, bho, brauche hilfe, danger, entfernen, error, explorer, helfen, hijackthis, internet, internet explorer, log-file, logfile, messenger, microsoft, msn, msn messenger, nicht wegzukriegen, popuper, realplay.exe, realplayer, regsvr32, rundll32.exe, software, system, system tool, träge, warning, warnung, windows


« TR/Rootkit.L BITTE HELFT MIR!!! | BITTE LOG AUSWERTUNG!!! Weiß mir nicht zu helfen. »


Ähnliche Themen: Desktophijack ist nicht wegzukriegen - brauche Hilfe


  1. Bedrohung MalSign.Dailytools.3A7 einfach nicht wegzukriegen
    Log-Analyse und Auswertung - 31.08.2014 (3)
  2. MalSign.Dailytools.3A7 nicht wegzukriegen
    Log-Analyse und Auswertung - 17.08.2014 (1)
  3. Virus der nicht wegzukriegen ist
    Log-Analyse und Auswertung - 01.11.2013 (3)
  4. Plus Network - Startseite nicht wegzukriegen - Trojaner-Gefahr?
    Plagegeister aller Art und deren Bekämpfung - 27.02.2013 (10)
  5. Malware die anscheinend nicht wegzukriegen ist
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (15)
  6. <www.searchqu.com/406> als Startseite - nicht wegzukriegen!
    Log-Analyse und Auswertung - 05.07.2011 (31)
  7. 2x iexplore.exe nicht wegzukriegen
    Log-Analyse und Auswertung - 23.05.2011 (7)
  8. Trojaner ist nicht wegzukriegen
    Mülltonne - 06.01.2009 (0)
  9. 2 trojaner nicht wegzukriegen
    Log-Analyse und Auswertung - 23.05.2007 (4)
  10. mllmj.dll und yayaxwx.dll sind nicht wegzukriegen
    Plagegeister aller Art und deren Bekämpfung - 09.03.2007 (25)
  11. CoolwwwSearch nicht wegzukriegen bei IE
    Log-Analyse und Auswertung - 10.01.2006 (2)
  12. desktophijack.B Probleme mit smitrem!!HILFE!!
    Log-Analyse und Auswertung - 07.01.2006 (1)
  13. W32.Desktophijack <= ...bitte um Hilfe...
    Log-Analyse und Auswertung - 02.07.2005 (1)
  14. W32.desktophijack und trojan.desktophijack.B !!! Help ;-)
    Plagegeister aller Art und deren Bekämpfung - 26.06.2005 (3)
  15. Trojaner nicht wegzukriegen
    Plagegeister aller Art und deren Bekämpfung - 08.03.2005 (4)
  16. Hijacker der nicht wegzukriegen ist.
    Log-Analyse und Auswertung - 04.12.2004 (21)
  17. SahAgent (Bundle.exe/wupdater) und KeenValue.eUniverse nicht wegzukriegen
    Plagegeister aller Art und deren Bekämpfung - 01.09.2004 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Desktophijack ist nicht wegzukriegen - brauche Hilfe - Hallo Profis ! Habe mir was eingefangen (Smitfraud.c / AntivirusGold/ Popuper / Desktophijack) und benötige nun Hilfe da ich beim Entfernen nur halben Erfolg hatte. Habe mit HijackThis wenigstens den - Desktophijack ist nicht wegzukriegen - brauche Hilfe...
Archiv
Du betrachtest: Desktophijack ist nicht wegzukriegen - brauche Hilfe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129