Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hijacker , Directwebsearch

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 28.06.2004, 21:48   #1
BigMitt
 
Hijacker , Directwebsearch - Beitrag

Hijacker , Directwebsearch



Hab mir laut Antivir 2 Trojaner eingefangen

TR/DLDR.i.will.o

TR/DLDR.ISTBAR.

Kann leider keine Hijack This logs posten

Hab aber diverse Eintraege die wie folgt lauten

R1-HKCU\Software\Microsoft\InternetExplorer
\SearchUrl=http\\weba.directwebsearch.net\search.html


Hab versucht diese Eintraege zu loeschen mit Hijack This, sind aber leider nach jedem Neustart wieder vorhanden. Leider spinnt auch seitdem meine Tastatur. Diverse Umlaute hier oder verkehrte Slashzeichen sind nicht gewollt.

Hab Ad Aware, CWS Schredder, Antivir alles schon probiert, leider ohne dauerhaften Erfolg.

Danke schon mal im Voraus fuer Eure Hilfe

Alt 28.06.2004, 21:55   #2
*Christian*
Gast
 
Hijacker , Directwebsearch - Beitrag

Hijacker , Directwebsearch



Ohne Hijack-Log wird's wohl schwer werden.

Könntest du ein Log liefern, können wir dir genau sagen, was du fixen sollst.
__________________


Alt 28.06.2004, 22:00   #3
BigMitt
 
Hijacker , Directwebsearch - Beitrag

Hijacker , Directwebsearch



Hi Christian

Bin leider kein PC Profi. kann die Logs leider nicht Kopieren und pasten . Brauch wohl noch nen spezielles Programm dazu. Spaetestens morgen hoffe ich das Logfile posten zu koennen.

Danke
__________________

Alt 28.06.2004, 22:02   #4
*Christian*
Gast
 
Hijacker , Directwebsearch - Beitrag

Hijacker , Directwebsearch



Nein, Log einfach abspeichern "Save log".
Danach Log öffnen und den Text hier reinkopieren.

Alt 28.06.2004, 22:06   #5
Radja
 
Hijacker , Directwebsearch - Beitrag

Hijacker , Directwebsearch



hmmm das ist eigentlich gar nicht so schwer...

wenn du die log datei (textfile) mit dem editor öffnest (sollte automatisch funktionieren wenn nicht öffnen mit...editor oder wordpad) dann den gesamten text markieren und anschließend Strg+C drücken (damit kopierst du den Text in die Zwischenablage) in dem post-fenster im Forum drückst du dann Strg+V (damit fügst du den Text aus der Zwischenablage ein) und der Text sollte erscheinen

ja... christian war schneller...


Alt 28.06.2004, 22:16   #6
BigMitt
 
Hijacker , Directwebsearch - Beitrag

Hijacker , Directwebsearch



Super, also, hier das Logfile

Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Anwendungen\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://weba.directwebsearch.net/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://weba.directwebsearch.net/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://weba.directwebsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://weba.directwebsearch.net/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://weba.directwebsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://weba.directwebsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://weba.directwebsearch.net/search.html
O1 - Hosts: 69.31.79.101 auto.search.msn.com
O1 - Hosts: 69.31.79.101 auto.search.msn.com
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [winupd] C:\WINNT\system32\winupd.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Rctw] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\paat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.101/winsearchie32.ch...searchie32.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...166.3068981481
O17 - HKLM\System\CCS\Services\Tcpip\..\{8606B805-A1AA-4CCA-B415-19ADEDFF31BC}: NameServer = 217.237.150.33 194.25.2.129

Alt 29.06.2004, 09:36   #7
BigMitt
 
Hijacker , Directwebsearch - Beitrag

Hijacker , Directwebsearch



Moin Moin,

Wie deaktiviere ich denn die SYtemwiederherstellung bei Windows 2000.

Hab versucht das wie unter dem link angegeben, doch bei Sytemwiederherstellung hab ich keine Eintraege gefunden die Ich deaktivieren koennte.

Alt 29.06.2004, 09:45   #8
Lutz
 

Hijacker , Directwebsearch - Beitrag

Hijacker , Directwebsearch



Win2000 'kennt' keine Systemwiederherstellung!
Übergehe bitte diesen Punkt.

Fixe dafür mit HijackThis auch noch folgendes:
</font><blockquote>Zitat:</font><hr />
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.101/winsearchie32.ch...searchie32.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - ht*p://www.mt-download.com/MediaTicketsInstaller.cab
</font>[/QUOTE]
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 29.06.2004, 10:22   #9
Radja
 
Hijacker , Directwebsearch - Beitrag

Hijacker , Directwebsearch



opps richtig habe gar nicht nach dem betriebssystem geschaut!!

hat der rest den funktioniert??

Alt 29.06.2004, 11:06   #10
Radja
 
Hijacker , Directwebsearch - Beitrag

Hijacker , Directwebsearch



1.zunächst solltest du escan runterladen:
http://www.mwti.net/antivirus/free_utilities.asp
(entpacken in einen von dir erstellten ordner namens c:\bases

2. escan updaten (kavupd.exe ausführen)

3. systemwiderherstellung deaktivieren http://www.systemwiederherstellung-d...indows-xp.html

4. Windows im abgesicherten modus neu starten http://www.bsi.de/av/texte/winsave.htm#WindowsXP

5. Das Programm aus 1. ausführen (kvss.exe)

anschließend folgende einträge mit HijackThis fixen (fix checked)

alle einträge R0 und R1 und O1

anschließend neustart und neues hjt log file hier posten

mit dieser wuam.exe bin ich mir nicht sicher soll mal einer was zu sagen

Alt 29.06.2004, 11:30   #11
Radja
 
Hijacker , Directwebsearch - Beitrag

Hijacker , Directwebsearch



oha wichtig noch vergessen:

beim escan bitte alle häckchen setzen!!!

bild dazu im 3. beitrag von oben in diesem forum

Alt 29.06.2004, 15:47   #12
BigMitt
 
Hijacker , Directwebsearch - Beitrag

Hijacker , Directwebsearch



Radja

hab alles gemacht, nur leider kann ich irgendwie nicht in den Abgesichererten Modus. Wenn das so wie bei Win 98 Se ist dann beim Hochfahren F8 drücken, oder?

Nun da kommt leider nur die Frage von wo ich aus Booten will und bekom nur Floppy , Ide, USB und die beiden Laufwerke angeboten. von "Abgesichertem Modus " nichts zu sehen.

Irgendwelche Tips hierzu?

Gruss

BigMitt

Alt 29.06.2004, 15:51   #13
Nangie
 

Hijacker , Directwebsearch - Pfeil

Hijacker , Directwebsearch



Abgesicherter Modus
__________________
MfG Nangie

Es ist einzig und allein der Mensch, der aus der Welt ein Armenhaus gemacht hat.

Lilo Keller (*1934) nachdenkliche Hausfrau

Alt 29.06.2004, 15:56   #14
Radja
 
Hijacker , Directwebsearch - Beitrag

Hijacker , Directwebsearch



voregehen wie hier beschrieben http://www.bsi.de/av/texte/wiederher_95982000.htm

ähmm ja nangie hats auch schon gepostet

Alt 29.06.2004, 22:35   #15
BigMitt
 
Hijacker , Directwebsearch - Beitrag

Hijacker , Directwebsearch



Also, nun hat es so geklappt wie Ihr das vorgeschlagen habt.

Leider waren die Einträge wieder drauf.

Hier mein letztes logfile:

Logfile of HijackThis v1.97.7
Scan saved at 23:29:14, on 29.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\bases\mwav\mwavscan.com
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINNT\system32\internat.exe
C:\bases\mwav\kavss.exe
D:\Anwendungen\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://weba.directwebsearch.net/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://weba.directwebsearch.net/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://weba.directwebsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://weba.directwebsearch.net/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://weba.directwebsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://weba.directwebsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://weba.directwebsearch.net/search.html
O1 - Hosts: 69.31.79.101 auto.search.msn.com
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [winupd] C:\WINNT\system32\winupd.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [mwavscan] "C:\bases\mwav\mwavscan.com" /s
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.9\THGuard.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab


Bekomm den einfach nicht raus.

*langsam Panik bekomm*

Antwort

Themen zu Hijacker , Directwebsearch
ad aware, antivir, aware, diverse, hijack, hijack this, hilfe, inter, interne, loeschen, microsoft, neustart, poste, probiert, seitdem, software, spinn, spinnt, this, troja, trojaner, umlaute, verkehr, versuch, versucht



Ähnliche Themen: Hijacker , Directwebsearch


  1. Hijacker deaktivier Taskmanager und Registry-Editor - Hijacker nicht entfernbar
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (2)
  2. Tr/Hijacker.Gen
    Log-Analyse und Auswertung - 01.05.2009 (1)
  3. Hijacker
    Log-Analyse und Auswertung - 01.02.2009 (0)
  4. Hijacker Log
    Mülltonne - 30.06.2008 (0)
  5. IE Hijacker.. :(
    Mülltonne - 06.11.2007 (0)
  6. ATI isn Hijacker?
    Log-Analyse und Auswertung - 04.03.2005 (4)
  7. Hijacker auf PC
    Log-Analyse und Auswertung - 05.11.2004 (11)
  8. Hijacker?
    Log-Analyse und Auswertung - 30.10.2004 (10)
  9. Hijacker...
    Log-Analyse und Auswertung - 25.10.2004 (3)
  10. need help -Hijacker
    Log-Analyse und Auswertung - 13.09.2004 (11)
  11. http://weba.directwebsearch.net/search.html ...
    Log-Analyse und Auswertung - 17.07.2004 (1)
  12. Hijacker
    Log-Analyse und Auswertung - 02.07.2004 (5)
  13. Hijacker
    Log-Analyse und Auswertung - 30.06.2004 (1)
  14. Hijacker?
    Log-Analyse und Auswertung - 29.06.2004 (2)
  15. Hijacker
    Log-Analyse und Auswertung - 28.06.2004 (1)
  16. Hijacker
    Log-Analyse und Auswertung - 27.06.2004 (3)
  17. Hijacker????
    Log-Analyse und Auswertung - 21.06.2004 (2)

Zum Thema Hijacker , Directwebsearch - Hab mir laut Antivir 2 Trojaner eingefangen TR/DLDR.i.will.o TR/DLDR.ISTBAR. Kann leider keine Hijack This logs posten Hab aber diverse Eintraege die wie folgt lauten R1-HKCU\Software\Microsoft\InternetExplorer \SearchUrl=http\\weba.directwebsearch.net\search.html Hab versucht diese Eintraege - Hijacker , Directwebsearch...
Archiv
Du betrachtest: Hijacker , Directwebsearch auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.