Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: R3 - URLSearchHook

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 18.03.2007, 11:42   #1
Technofreak
 
R3 - URLSearchHook - Standard

R3 - URLSearchHook



Hi,
in der Auswertung von meinem HijackThis Log steht folgender Eintrag
Code:
ATTFilter
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
         
Bei der Benutzerbewertung steht "Äußerst schädlich".
Bei den Informationen steht jedoch "Dieser Eintrag wurde als gut identifiziert!".

Was soll ich da jetzt glauben?
Fixen oder nicht fixen, das ist hier die Frage.
__________________
Ping wird ausgeführt für 127.0.0.1 mit 32 Bytes Daten:

Zeitüberschreitung der Anforderung

Alt 18.03.2007, 12:41   #2
nochdigger
 
R3 - URLSearchHook - Standard

R3 - URLSearchHook



Hallo

der hinter dem Eintrag steht nichts mehr "(no file)", kann also gefixt werden.

MFG
__________________


Alt 18.03.2007, 13:02   #3
Shadow
/// Mr. Schatten
 
R3 - URLSearchHook - Standard

R3 - URLSearchHook



Müsste für eine (verschwundene?) ICQ-Toolbar stehen, war also unter Sicherheitsaspekten tatsächlich nicht(!) gut, aber eher minder übel.
__________________
__________________

Alt 20.03.2007, 16:04   #4
Technofreak
 
R3 - URLSearchHook - Standard

R3 - URLSearchHook



Der Log müsste jetzt sauber sein.
Logfile of HijackThis v1.99.1
Scan saved at 16:56:46, on 20.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\SLEE503.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Saitek\Software\ProfilerU.exe
C:\Programme\Saitek\Software\SaiMfd.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunThreatEngine.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Java\jre1.5.0_11\bin\javaw.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu65\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu65\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\ProfilerU.exe
O4 - HKLM\..\Run: [SaiMfd] C:\Programme\Saitek\Software\SaiMfd.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - Startup: TV-Browser.url
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\$hf_mig$\KB887472\SP2QFE\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\$hf_mig$\KB887472\SP2QFE\msmsgs.exe
O9 - Extra button: MedionShop - {7288F092-0E1C-48D7-852C-D5718D4EC435} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099254598359
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Habe aber das Problem, dass sich mein svchost.exe nach der Anmeldung bei 100% einpendelt.
Benutze WinXP SP2 aktuelles Update.
Dazu AntiVir PE 7 aktuelle Version
und ZoneAlarm aktuelle Version.
Zusätzlich hab ich noch den Aktivschutz von CounterSpy laufen.
Hab bei Google leider nichts brauchbares gefunden.
Woran kann das liegen, dass der svchost so lagt?
__________________
Ping wird ausgeführt für 127.0.0.1 mit 32 Bytes Daten:

Zeitüberschreitung der Anforderung

Alt 20.03.2007, 16:16   #5
undoreal
/// AVZ-Toolkit Guru
 
R3 - URLSearchHook - Standard

R3 - URLSearchHook



Halli hallo.

Zitat:
svchost.exe nach der Anmeldung bei 100% einpendelt.
dann mache bitte einen eScan. Anleitung ist in meiner Signatur verlinkt..

mfg

Undoreal

__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 20.03.2007, 17:03   #6
Technofreak
 
R3 - URLSearchHook - Standard

R3 - URLSearchHook



Ist das normal dass mwav.exe über ne Stunde braucht.
__________________
--> R3 - URLSearchHook

Alt 20.03.2007, 17:13   #7
undoreal
/// AVZ-Toolkit Guru
 
R3 - URLSearchHook - Standard

R3 - URLSearchHook



Ja! dauert noch viiiiieeeeeeeeel länger............ :aplaus:
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 20.03.2007, 17:53   #8
Technofreak
 
R3 - URLSearchHook - Standard

R3 - URLSearchHook



Ok, mit FlashGet gings schneller.
Bin grad am scannen.
Wie lang dauert der Scan ungefähr?

Edit: Shit da kommt schon einiges
__________________
Ping wird ausgeführt für 127.0.0.1 mit 32 Bytes Daten:

Zeitüberschreitung der Anforderung

Alt 24.03.2007, 18:06   #9
Technofreak
 
R3 - URLSearchHook - Standard

R3 - URLSearchHook



OK, ich glaube das Problemchen mit dem svchost.exe war wohl keine bösartige Softwäre.
Für alle, die das gleiche Problem haben.
Der Thread:
http://www.rokop-security.de/index.php?showtopic=14026
Die Lösung:
http://patch-info.de/artikel/2007/02/20/333

@undoreal:
Den E-Scan werde ich zrotzdem demnächst mal durchführen.
__________________
Ping wird ausgeführt für 127.0.0.1 mit 32 Bytes Daten:

Zeitüberschreitung der Anforderung

Antwort

Themen zu R3 - URLSearchHook
auswertung, code, file, folge, folgender, frage, glaube, hijack, hijackthis, hijackthis log, ide, informationen, log, schädlich, urlsearchhook



Ähnliche Themen: R3 - URLSearchHook


  1. URLSearchHook: (no name) - - (no file) = 25% cpu auslastung?
    Log-Analyse und Auswertung - 17.09.2013 (7)
  2. URLSearchHook: (no name) - - (no file) = 25% cpu auslastung?
    Mülltonne - 15.09.2013 (1)
  3. URLSearchHook: (no name) - - (no file), pc arbeitet ständig im Hintergrund
    Log-Analyse und Auswertung - 12.11.2010 (6)
  4. HiJackThis | R3 - URLSearchHook: (no name) - - (no file) | schädlich ?
    Plagegeister aller Art und deren Bekämpfung - 03.11.2010 (1)
  5. Log + Virus - R3 - URLSearchHook: (no name) - - (no file)
    Log-Analyse und Auswertung - 24.10.2010 (6)
  6. R3 - URLSearchHook: (no name) - - (no file) schädlich?
    Log-Analyse und Auswertung - 12.08.2010 (9)
  7. Logfile Analyse URLSearchHook?
    Log-Analyse und Auswertung - 29.04.2010 (1)
  8. Virus?,Trojaner: richtx64.exe, URLSearchHook
    Log-Analyse und Auswertung - 12.01.2010 (21)
  9. URLSEARCHHOOK (no name)--(no file)
    Plagegeister aller Art und deren Bekämpfung - 07.12.2009 (1)
  10. R3 - URLSearchHook: (no name) - - (no file)
    Log-Analyse und Auswertung - 30.09.2009 (1)
  11. URLSearchHook gefunden !!!
    Plagegeister aller Art und deren Bekämpfung - 01.05.2009 (0)
  12. Web Rebates & URLSearchHook
    Plagegeister aller Art und deren Bekämpfung - 29.04.2009 (1)
  13. Spion "URLSearchHook" lässt sich nicht löschen!
    Plagegeister aller Art und deren Bekämpfung - 07.10.2008 (5)
  14. URLSearchHook
    Log-Analyse und Auswertung - 18.10.2005 (6)

Zum Thema R3 - URLSearchHook - Hi, in der Auswertung von meinem HijackThis Log steht folgender Eintrag Code: Alles auswählen Aufklappen ATTFilter R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) Bei der Benutzerbewertung steht - R3 - URLSearchHook...
Archiv
Du betrachtest: R3 - URLSearchHook auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.