Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hijacker loswerden durch Systemwiederherstellung?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 20.06.2004, 18:19   #1
sluglicker
 
Hijacker loswerden durch Systemwiederherstellung? - Beitrag

Hijacker loswerden durch Systemwiederherstellung?



Hallo!
Mein System ist WinXP SP1 und ich mein Browser IE 6.0 SP1.
Mein Browser wurde "gehijackt"(meine Startseite war "about:blanc" trotzdem Wurde automatisch eine Seite angezeigt die ich nicht ändern konnte). Nachdem ich mit AdAware und Spybot Search&Destroy zwar etwas gefunden habe aber nichts gegen den Hijacker ausrichten konnte habe ich mit HijackThis einen Scan gemacht, konnte aber das Logfile nicht öffnen.
Irgendwann bin ich auf die Idee gekommen einfach mit der Systemwiederherstellung einen Tag zurück zu gehen....
Womöglich hat das auch funktioniert...meine Startseite ändert sich nicht mehr...
Jetzt frage ich mich aber ob das nicht Trick 17 mit Selbstüberlistung war. Nachdem ich nun die Logs von HijackThis wieder öffnen kann, würde ich Euch bitten das mal anzuschauen ob da etwas verdächtig ist...

Logfile of HijackThis v1.97.7
Scan saved at 18:43:36, on 20.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Creative\SBAudigy\TaskBar\CTLTray.exe
C:\Programme\Creative\SBAudigy\TaskBar\CTLTask.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Tatti&Sami\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blanc
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [TaskTray] C:\Programme\Creative\SBAudigy\TaskBar\CTLTray.exe
O4 - HKCU\..\Run: [TaskBar] C:\Programme\Creative\SBAudigy\TaskBar\CTLTask.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/game...s/y/dot4_x.cab
O16 - DPF: Yahoo! Gin - http://download.games.yahoo.com/game...ts/y/nt1_x.cab
O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/game...s/y/grt5_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/game...ts/y/tt1_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/game...s/y/ywt0_x.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} - http://x.secureloader.com/download/dialer/cax.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/11d524f7...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} - http://content.netvenda.com/sites/ga.../de/games5.cab
O16 - DPF: {9D0A9D98-5221-430A-A02D-76F0827C82D1} (ADialer Class) - http://www.dialer-shop.com/im2/hardissimo.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...016.5659953704
O16 - DPF: {A031D222-B496-11D2-9CC8-00105A10AAF6} (WONWebLauncher Class) - http://hoyle.vugames.com/cab/WONWebLauncherControl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF7D9F06-E091-4A61-A0AA-CCE72D62F527}: NameServer = 217.237.151.97 194.25.2.129

Vielen Dank schon mal.
S.

Alt 20.06.2004, 19:02   #2
Lutz
 

Hijacker loswerden durch Systemwiederherstellung? - Beitrag

Hijacker loswerden durch Systemwiederherstellung?



Hallo slucklicker und Willkommen an Board,

</font><blockquote>Zitat:</font><hr />Jetzt frage ich mich aber ob das nicht Trick 17 mit Selbstüberlistung war</font>[/QUOTE]Ich würde 'Jein' sagen!
Ja, weil die akute Störung durch den Hijacker wohl im Moment beseitigt ist, aber ein klares Nein, weil Du durch eine Systemwiederherstellung im Zweifel infizierte Dateien nicht wirklich löscht, sondern allenfalls deren Aufruf verhinderst.

</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [Acronis True Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe</font>[/QUOTE]Anders sieht es aus, wenn Du mit True Image ein zeitnahes Image Deines Rechners erstellt hast und dieses nun zurücklädst. Dann hast Du wirklich den Stand des Images auf den Rechner zurückgeholt. Ob dieses Image natürlich 'sauber' ist, kannst nur Du selbst entscheiden.

Bezüglich Hijacker scheint Dein Log sauber zu sein. Aber 100%ig kann man das nicht sagen!
Allerdings tummelt sich dort mindestens 1 Dialereintrag:
</font><blockquote>Zitat:</font><hr />O16 - DPF: {9D0A9D98-5221-430A-A02D-76F0827C82D1} (ADialer Class) - h**p://www.dialer-shop.com/im2/hardissimo.cab </font>[/QUOTE]Wenn Du kein zeitnahes Image hast, solltest Du als erstes einen kompletten Scan mit AntiVir (natürlich mit aktualisierten Virendefinitionen) machen. Oder Du nimmst alternativ eScan - siehe meine Signatur.
__________________

__________________

Alt 21.06.2004, 07:02   #3
sluglicker
 
Hijacker loswerden durch Systemwiederherstellung? - Beitrag

Hijacker loswerden durch Systemwiederherstellung?



Hallo!
Vielen Dank!
Das Image ist sauber aber leider so alt...
Einen kompletten Scan habe ich jetzt auch gemacht. (Seltsam: natürlich habe ich bevor ich mit HijackThis gescant habe schon mal einen kompletten Scan mit aktualisiertem AntiVir gemacht) Jetzt wurde aber auch noch einiges gefunden.

Durch meine Systemwiederherstellung verhindere ich aber nicht, daß der Virenscanner den Schädling "übersieht" ?

Wie ist es eigentlich mit den verschiedenen Scannern. Ich lese oft, daß Spybot SD, AdAware und AntiVir sich nicht gegenseitig behindern - bei mir hat sich aber SpyBot SD schon beschwert... wie lasse ich diese Programme so laufen, daß nicht einer die Virendefinition vom anderen für gefährlich hält?
Viele Grüße,
S.

[ 21. Juni 2004, 08:07: Beitrag editiert von: sluglicker ]
__________________

Antwort

Themen zu Hijacker loswerden durch Systemwiederherstellung?
adobe, bho, browser, dateien, drivers, einstellungen, ellung, explorer, frage, hijackthis, internet, internet explorer, logfile, messenger, microsoft, object, programme, scan, shockwave, software, system, system32, systemwiederherstellung, tcpip, temp, trick, windows, windows xp, windows\system32\drivers, winxp, yahoo, ändern



Ähnliche Themen: Hijacker loswerden durch Systemwiederherstellung?


  1. Nach Systemwiederherstellung durch Systemwiederherstellungspunkt Word, Windows Start und Datei Probleme
    Alles rund um Windows - 08.09.2015 (17)
  2. Hijacker, Virus durch kostenlosen Download eingefangen!
    Plagegeister aller Art und deren Bekämpfung - 03.04.2015 (11)
  3. TR/Dropper.Gen durch vorhandenen Systemwiederherstellungspunkt loswerden?
    Plagegeister aller Art und deren Bekämpfung - 29.06.2014 (11)
  4. Win7 64Bit - Email Account wurde kompromittiert, vermutlich durch Virus, Trojaner, Malware oder Hijacker. Nach Scan mit ESET Online Scanner
    Log-Analyse und Auswertung - 17.04.2014 (9)
  5. TR/BProtector.gen2 durch Quarantäne und Systemwiederherstellung entfernt? [Windows 7]
    Log-Analyse und Auswertung - 10.04.2014 (7)
  6. Systemwiederherstellung, von CD starten und Aufrufen des boot menues funktionieren nach Befall durch "P0lizeitrojaner"nicht mehr
    Log-Analyse und Auswertung - 26.03.2013 (6)
  7. Variation von Bundestrojaner gefunden - Durch Systemwiederherstellung gelöscht?
    Log-Analyse und Auswertung - 15.02.2013 (21)
  8. System auf Überreste einer durch Systemwiederherstellung entfernten Scareware überprüfen
    Log-Analyse und Auswertung - 18.11.2012 (2)
  9. Bundestrojaner durch Systemwiederherstellung entfernt ?
    Plagegeister aller Art und deren Bekämpfung - 07.09.2012 (20)
  10. Bundespolizei Virus / Trojaner vom 11.8. wirklich durch Systemwiederherstellung entfernt?
    Log-Analyse und Auswertung - 22.08.2012 (19)
  11. BKA-Trojaner-Problem durch Systemwiederherstellung gelöst, ist mein PC jetzt sauber?
    Log-Analyse und Auswertung - 26.03.2012 (12)
  12. Keine Systemwiederherstellung/Internet durch Virus
    Plagegeister aller Art und deren Bekämpfung - 10.10.2010 (7)
  13. Trojaner Crypt.XPAC.Gen2 loswerden durch Wechsel zu Windows 7?
    Plagegeister aller Art und deren Bekämpfung - 01.10.2010 (5)
  14. Hijacker deaktivier Taskmanager und Registry-Editor - Hijacker nicht entfernbar
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (2)
  15. Antimalware Doctor durch Systemwiederherstellung entfernt?
    Plagegeister aller Art und deren Bekämpfung - 26.07.2010 (14)
  16. Nur noch Fehlermeldungen durch Hijacker?
    Plagegeister aller Art und deren Bekämpfung - 14.12.2009 (15)
  17. Hijacker entfernen durch Browserwechsel?
    Log-Analyse und Auswertung - 16.03.2007 (5)

Zum Thema Hijacker loswerden durch Systemwiederherstellung? - Hallo! Mein System ist WinXP SP1 und ich mein Browser IE 6.0 SP1. Mein Browser wurde "gehijackt"(meine Startseite war "about :blanc" trotzdem Wurde automatisch eine Seite angezeigt die ich nicht - Hijacker loswerden durch Systemwiederherstellung?...
Archiv
Du betrachtest: Hijacker loswerden durch Systemwiederherstellung? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.