Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: NAch öffnen von Winamp 5.32 sind IE7 und Firefox2 hijacked

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 02.12.2006, 22:00   #1
sj410
 
NAch öffnen von Winamp 5.32 sind IE7 und Firefox2 hijacked - Standard

NAch öffnen von Winamp 5.32 sind IE7 und Firefox2 hijacked



Hallo!

Das Board ist meine letzte Hoffnung.

Zeit einigen Tagen habe ich das Problem, dass ich beim surfen plötzlich auf ander Seiten verlinkt werde als ich in der Adresszeile eingegeben habe, oder es wird "No traps are allowed" oder irgendein Hinweis, dass die Seite nicht gefunden wird angezeigt. Egal ob ich mit IE 7 oder Firefox 2.0 arbeite.

Jetzt bin ich draufgekommen, dass der Fehler nur auftritt wenn ich eine mp3 min Winamp abgespielt habe, dh. neustart und alles ist wieder OK.

Ich habe daraufhin Winamp deinstalliert, neu von der offiziellen HP heruntergeladen vorher hatte der den ZUsatz e-music-7plus, nur gebracht hats nix.

Mittlerweile hab ich scans mit

escan
Gdata AVK 2007
Spybot
Spyware Doctor
Norton 360
Blacklight

durchgeführt nur die finden nichts, und auch der HijackThis log sieht für mich unverdächtig aus:

Logfile of HijackThis v1.99.1
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:

http://www.trojaner-board.de/showpost.php?p=171957&postcount=1

danke
GUA
[/edit]

Aber das tcpview logfile ist irgendwie verdächtig: Der Eintrag mit "80-239-170-206.customer.teliacarrier.com:http" kommt anscheinend nur vor, wenn der Hijacker aktiv ist

[System Process]:0 TCP pc1:32324 localhost:1491 TIME_WAIT
[System Process]:0 TCP pc1:32324 localhost:1489 TIME_WAIT
[System Process]:0 TCP pc1:32324 localhost:1439 TIME_WAIT
[System Process]:0 TCP pc1:1435 localhost:32324 TIME_WAIT
[System Process]:0 TCP pc1:1437 localhost:32324 TIME_WAIT
[System Process]:0 TCP pc1:1441 localhost:32324 TIME_WAIT
[System Process]:0 TCP pc1:1442 localhost:32324 TIME_WAIT
[System Process]:0 TCP pc1:32324 localhost:1429 TIME_WAIT
[System Process]:0 TCP pc1.aon:1436 80-239-170-206.customer.teliacarrier.com:http TIME_WAIT
[System Process]:0 TCP pc1.aon:1438 80-239-170-206.customer.teliacarrier.com:http TIME_WAIT
[System Process]:0 TCP pc1.aon:1444 80-239-170-206.customer.teliacarrier.com:http TIME_WAIT
[System Process]:0 TCP pc1.aon:1445 80-239-170-206.customer.teliacarrier.com:http TIME_WAIT
firefox.exe:3164 TCP pc1:1035 localhost:1036 ESTABLISHED
firefox.exe:3164 TCP pc1:1036 localhost:1035 ESTABLISHED
firefox.exe:3164 TCP pc1:1045 localhost:1046 ESTABLISHED
firefox.exe:3164 TCP pc1:1046 localhost:1045 ESTABLISHED
lsass.exe:664 UDP pc1:isakmp *:*
lsass.exe:664 UDP pc1:4500 *:*
svchost.exe:1080 UDP pc1:ntp *:*
svchost.exe:1080 UDP pc1.aon:ntp *:*
svchost.exe:1080 UDP 192.168.100.100:ntp *:*
svchost.exe:1152 UDP pc1:1087 *:*
svchost.exe:1152 UDP pc1:1025 *:*
svchost.exe:1240 UDP pc1:1900 *:*
svchost.exe:1240 UDP 192.168.100.100:1900 *:*
svchost.exe:1240 UDP pc1.aon:1900 *:*
System:4 TCP pc1:microsoft-ds pc1:0 LISTENING
System:4 TCP 192.168.100.100:netbios-ssn pc1:0 LISTENING
System:4 TCP pc1.aon:netbios-ssn pc1:0 LISTENING
System:4 UDP pc1:microsoft-ds *:*
System:4 UDP 192.168.100.100:netbios-dgm *:*
System:4 UDP pc1.aon:netbios-dgm *:*
System:4 UDP pc1.aon:netbios-ns *:*
System:4 UDP 192.168.100.100:netbios-ns *:*


Vielleicht hat irgendwer ne Ahnung was das sein kann

Geändert von GUA (03.12.2006 um 10:39 Uhr) Grund: tcpview-Scan

Alt 04.12.2006, 21:40   #2
sj410
 
NAch öffnen von Winamp 5.32 sind IE7 und Firefox2 hijacked - Standard

NAch öffnen von Winamp 5.32 sind IE7 und Firefox2 hijacked



Mittllerweile hab ich den PC neu aufgesetzt ohne Winamp, nur das Problem tritt trotzdem nachdem ich eine Weile im Inet bin auf. Mir kommt es so vor, wenn ich den IE7 ein paar mal schließe und wieder öffen, gehts los. Wirklich reproduzierbar ist das ganze aber nicht.

Hier ein aktuelles HijackThis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:06:46, on 04.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Und Escan hätte ich auch noch:

Entry "HKCR\DirectAnimation.PathControl" refers to invalid object "{D7A7D7C3-D47F-11D0-89D3-00A0C90833E6}". Action Taken: No Action Taken.
Entry "HKCR\DirectAnimation.Sequence" refers to invalid object "{4F241DB1-EE9F-11D0-9824-006097C99E51}". Action Taken: No Action Taken.
Entry "HKCR\DirectAnimation.SequencerControl" refers to invalid object "{B0A6BAE2-AAF0-11D0-A152-00A0C908DB96}". Action Taken: No Action Taken.
Entry "HKCR\DirectAnimation.SpriteControl" refers to invalid object "{FD179533-D86E-11D0-89D6-00A0C90833E6}". Action Taken: No Action Taken.
Entry "HKCR\DirectAnimation.StructuredGraphicsControl" refers to invalid object "{369303C2-D7AC-11D0-89D5-00A0C90833E6}". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".PAB". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".pstB". Action Taken: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".pstH". Action Taken: No Action Taken.
File F:\Downloads\SmitfraudFix.zip tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken.


Hoffe jetzt passts
__________________


Antwort

Themen zu NAch öffnen von Winamp 5.32 sind IE7 und Firefox2 hijacked
aktiv, board, fehler, firefox, hijack, hijacker, hijackthis, hijackthis log, ie 7, ie7, links, liste, localhost, log, microsoft-ds, min, mp3, netbios-ns, neustart, nicht gefunden, nichts, plötzlich, problem, seite, seiten, surfen, system, udp, öffnen



Ähnliche Themen: NAch öffnen von Winamp 5.32 sind IE7 und Firefox2 hijacked


  1. CinePlus-meine Browser(Firefox, Chrome und Microsoft Edge) öffnen wenn sie geschlossen sind Pop-Up-Fenster
    Alles rund um Windows - 06.12.2015 (52)
  2. tr/agent.909312.159 in C.\users...winamp\winamp.exe
    Plagegeister aller Art und deren Bekämpfung - 01.02.2015 (6)
  3. Bei Aufruf einer Seite oder Funktion öffnen sich ständig Fenster, die nicht gewünscht sind, auch während ich dies schreibe.
    Log-Analyse und Auswertung - 08.06.2014 (1)
  4. Problem mit avast wo die dateien sich nicht öffnen lassen weil die kennwort geschützt sind
    Plagegeister aller Art und deren Bekämpfung - 28.05.2014 (1)
  5. Nach öffnen von Email bleibt Laptop hängen, nach Neustart keine Ausgabe mehr (schwarzer Bildschirm).
    Antiviren-, Firewall- und andere Schutzprogramme - 18.01.2014 (10)
  6. Einzelne Wörter sind plötzlich blau und doppelt unterstrichen - Fenster öffnen sich
    Plagegeister aller Art und deren Bekämpfung - 10.12.2013 (23)
  7. Programme öffnen langsam. Security Manager zeigt Prozesse an, die nicht im System auffindbar sind.
    Log-Analyse und Auswertung - 25.07.2013 (26)
  8. Virus. JPG und MP4 Dateien sind jetzt KSR und lassen sich nicht öffnen
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (3)
  9. Dateien sind verschlüsselt und lassen sich nicht mehr öffnen!
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (5)
  10. Antivir: "TR/Crypt.XPACK.Gen in D:\Programme\Winamp\winamp.exe"
    Log-Analyse und Auswertung - 17.02.2012 (7)
  11. Nach Winamp download searchprotocolhost.exe auf dem Notebook
    Plagegeister aller Art und deren Bekämpfung - 26.11.2011 (1)
  12. Virus eingefangen und nun sind Pfade durcheinander, es öffnen sich unzählige Programme nicht mehr
    Plagegeister aller Art und deren Bekämpfung - 15.07.2011 (1)
  13. FF+IE öffnen falsche Seiten und sind langsam!Antivir entdeckt Malware trotz Antimalwarebytes
    Plagegeister aller Art und deren Bekämpfung - 29.06.2011 (1)
  14. Hijacked
    Log-Analyse und Auswertung - 23.09.2009 (2)
  15. enthaltene Programm von "Svchost.exe" sind nicht zu öffnen
    Log-Analyse und Auswertung - 03.12.2007 (4)
  16. IE6.1 + FireFox2.0 + Opera9 laden manche Seiten nicht mehr
    Alles rund um Windows - 26.02.2007 (9)
  17. Winamp Stress, neue "Winamp" files auf HD aufgetaucht / Systemprotokoll
    Plagegeister aller Art und deren Bekämpfung - 24.03.2003 (12)

Zum Thema NAch öffnen von Winamp 5.32 sind IE7 und Firefox2 hijacked - Hallo! Das Board ist meine letzte Hoffnung. Zeit einigen Tagen habe ich das Problem, dass ich beim surfen plötzlich auf ander Seiten verlinkt werde als ich in der Adresszeile eingegeben - NAch öffnen von Winamp 5.32 sind IE7 und Firefox2 hijacked...
Archiv
Du betrachtest: NAch öffnen von Winamp 5.32 sind IE7 und Firefox2 hijacked auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.