Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 02.04.2007, 20:04   #1
atibebe
 
Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log - Icon27

Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log



Immer wenn der Internet Explorer gestartet wird, ist die Startseite http:///
Fixen mit Hijacktis bisher leider ohne Erfolg. Muss dazu gestehen, daß ich mich damit nicht so genau auskenne.
Mit Firefox funktioniert alles ohne probleme. Da bleibt die Startseite so wie ich sie eingestellt habe.
G-Data (Internet Security 2007) meldet immer, daß die Startseite immer geändert werden will. http://www.trojaner-board.de/images/smilies/confused.gif


Bin für jede Hilfe dankbar, da dieser Fehler mittlerweile auf meinen 3 PC´s vorhanden ist. Möchte wenn möglich auf ein formatieren verzichten (auch wenn es länger dauert den Fehler los zu werden...) http://www.trojaner-board.de/images/smilies/frown.gif

Danke im voraus für eure Hilfe.http://www.trojaner-board.de/images/smilies/smile.gif



Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:41:26, on 02.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
f:\creativepci512\AudioHQ\AHQTB.EXE
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\E_S00RP1.EXE
C:\WINDOWS\system32\E_S00RP2.EXE
C:\Programme\E-Color\Common\IconMgr.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
C:\Programme\E-Color\Colorific\hgcctl95.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\SAgent4.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\E-Color\E-Color Indicator\TICIcon.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\Dokumente und Einstellungen\***\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\killVBS.vbs
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [AudioHQ] f:\creativepci512\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX520 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAGE.EXE /P31 "EPSON Stylus Photo RX520 Series" /O6 "USB001" /M "Stylus Photo RX520"
O4 - HKLM\..\Run: [PC Suite for Smartphones] "C:\Programme\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: E-Color.lnk = C:\Programme\E-Color\Common\IconMgr.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: gwum.lnk = C:\Programme\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137764738343
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE
O23 - Service: EPSON V3 Service2(02) (EPSON_PM_RPCV2_02) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP2.EXE
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Epson Printer Status Agent4 (StatusAgent4) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\SAgent4.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe

--
End of file - 9129 bytes

Alt 19.04.2007, 16:51   #2
rhand
 
Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log - Standard

Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log



C:\WINDOWS\system32\killVBS.vbs is a virus. Kaspersky anti virus trial program killed it when it was located at my usb flash drive
__________________


Geändert von rhand (19.04.2007 um 16:52 Uhr) Grund: correction

Alt 19.04.2007, 17:04   #3
413X65
 
Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log - Standard

Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log



FIXEN!!

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\wscript.exe C:\WINDOWS\system32\killVBS.vbs

MFG 413X65
__________________

Alt 19.04.2007, 17:17   #4
Apocalypt
 
Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log - Standard

Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log



Hi
Ich würde dich bitten noch einen scan mit MWAV zu machen.

http://www.trojaner-board.de/38066-e...ightymarc.html

Alt 19.04.2007, 17:42   #5
Sunny
Administrator
> Competence Manager
 

Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log - Cool

Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log



Zitat:
Zitat von 413X65 Beitrag anzeigen
FIXEN!!

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\wscript.exe C:\WINDOWS\system32\killVBS.vbs

MFG 413X65

Auch diesen Eintrag nicht FIXEN!!!


Das "wscript" aus wscript.exe steht für "Windows Scripting Host" (WSH).

Windows Scripting Host ist eine so genannte Scriptsprache, welche es ermöglicht, Scripte in Windows ablaufen zu lassen (zum Beispiel das automatisieren von Abläufen).

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 19.04.2007, 18:11   #6
MightyMarc
 
Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log - Standard

Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log



Zitat:
Zitat von [Gc]Sunny Beitrag anzeigen
Das "wscript" aus wscript.exe steht für "Windows Scripting Host" (WSH).
Windows Scripting Host ist eine so genannte Scriptsprache, welche es ermöglicht, Scripte in Windows ablaufen zu lassen (zum Beispiel das automatisieren von Abläufen).
WSH schön und gut, aber was hat ein wscript/cscript-Eintrag in der system.ini zu suchen?
Das ganze sieht nach einem obskuren Scriptaufruf aus und sollte mMn gefixed werden. Zudem sollte das Script mal bei virustotal.com überprüft werden. Vllt sollte der TO zusätzlich den WSH temporär deaktivieren.
__________________
--> Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log

Alt 19.04.2007, 18:54   #7
ordell1234
 
Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log - Standard

Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log



Zitat MightyMarc
Zitat:
Das ganze sieht nach einem obskuren Scriptaufruf aus
Wenn da mal nicht die Unterdrückung des WGA-Aufrufs dahintersteckt . Aber mein Thai ist nicht so gut...

btw hat sich der TO nicht mehr gemeldet, Gruß

Alt 19.04.2007, 19:50   #8
MightyMarc
 
Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log - Standard

Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log



Englisch hätte auch gereicht.

Zitat:
Subject: RE: Dangerous objects [KLAB-1927175]

Hello,

killVBS.vbs_ - Worm.VBS.Anur.a

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.

--
Best regards, Dmitry Shvetsov
Virus analyst, Kaspersky Lab.
__________________
When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one.

Antwort

Themen zu Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log
adobe, application, auswertung, bho, browseui preloader, dateien, desktop, drivers, einstellungen, explorer, fehler, firefox, firewall, formatieren, g data, gigabyte, hijack, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, internet security, magix, microsoft, programme, s-1-5-18, security, server, software, system, trend micro, userinit.exe, windows, windows xp



Ähnliche Themen: Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log


  1. Internet langsam, Immer wieder öffnet sich http://offers.bycontext.com
    Plagegeister aller Art und deren Bekämpfung - 07.06.2015 (25)
  2. V9-Virus - Internet Explorer startet immer mit V9-Seite
    Plagegeister aller Art und deren Bekämpfung - 31.08.2014 (11)
  3. Internet Explorer öffnet sich ständig mit der Seite: http://www_getwindowinfo/
    Log-Analyse und Auswertung - 25.11.2013 (15)
  4. Internet Explorer startet automatisch und versucht http://www_getwindowinfo/ zu öffnen, kann aber keine Verbindung aufbauen.
    Plagegeister aller Art und deren Bekämpfung - 21.10.2013 (10)
  5. Internet Explorer öffnet sich immer wieder mit http://www_getwindowinfo/
    Plagegeister aller Art und deren Bekämpfung - 16.09.2013 (45)
  6. ICQ IProblem sshnas21.dll & Internet Explorer startet immer Werbung...
    Antiviren-, Firewall- und andere Schutzprogramme - 29.04.2010 (12)
  7. mein internet explorer startet immer von allein und ich hab keine ahnung wieso
    Log-Analyse und Auswertung - 30.03.2010 (14)
  8. Bitte um Hijackthis-Logfile-Auswertung! Internet sehr langsam!
    Log-Analyse und Auswertung - 04.09.2009 (3)
  9. Explorer.exe startet immer wieder neu!
    Log-Analyse und Auswertung - 14.11.2008 (18)
  10. Explorer.exe startet immer wieder neu
    Log-Analyse und Auswertung - 17.10.2008 (1)
  11. HiJackThis Logfile Auswertung - PC startet immer wieder neu
    Log-Analyse und Auswertung - 09.09.2008 (2)
  12. Bitte um HiJackThis Log-Auswertung; IE öffnet immer wieder neu
    Log-Analyse und Auswertung - 23.03.2008 (0)
  13. Internet Explorer und Firefox funktioniert nicht - Bitte um Auswertung
    Mülltonne - 16.12.2007 (0)
  14. Inet explorer startet immer wieder automatisch
    Log-Analyse und Auswertung - 04.12.2007 (2)
  15. explorer.exe startet immer neu!
    Log-Analyse und Auswertung - 29.04.2006 (4)
  16. Internet explorer startet automatisch, brauche bitte Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 14.06.2005 (18)
  17. Hab ich Besuch? http:/vbs.searchwww.com/vbi.cgi - Microsoft Internet Explorer
    Plagegeister aller Art und deren Bekämpfung - 28.08.2004 (13)

Zum Thema Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log - Immer wenn der Internet Explorer gestartet wird, ist die Startseite http:/// Fixen mit Hijacktis bisher leider ohne Erfolg. Muss dazu gestehen, daß ich mich damit nicht so genau auskenne. Mit - Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log...
Archiv
Du betrachtest: Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.