Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Schaut euch bitte mal meine Log an!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.06.2004, 19:24   #1
shoppy
 
Schaut euch bitte mal meine Log an! - Beitrag

Schaut euch bitte mal meine Log an!



HI,

mich hats nun auch mit dem Hijack erwischt und ich bekomme es nicht los.

habe schon alle dirvesen programme benutz ob abgesicherter oder nicht abgesicherter modes, es geht einfach nicht. und andauert wird meine host datei unter c:\windows verändert.

hier ist mal meine log file:

Logfile of HijackThis v1.97.7
Scan saved at 20:19:01, on 06.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\System32\vmnat.exe
C:\WINDOWS\System32\vmnetdhcp.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\OttBe\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

wenn ich dir R-Einträge lösche, sind sich gleich beim nächsten scan wieder da!

hat jmd noch einen tipp für mich?

Alt 06.06.2004, 20:40   #2
rock
 
Schaut euch bitte mal meine Log an! - Beitrag

Schaut euch bitte mal meine Log an!



das is aber etwas wenig? wo ist der rest vom log oder ist das alles????

irgendwie klingts nebenbei auch nach Backdoor Spybot/Sdbot...

Systemwiederherstellung deaktivieren!
XP interne firewall aktivieren!
diese einträge fixen!

C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php

anschliesend mit kaspersky (eventuell im abgesicherten modus) fullscan machen.

gruss
rock

edit: xp firewall aktivieren
__________________


Alt 06.06.2004, 20:44   #3
raman
 
Schaut euch bitte mal meine Log an! - Beitrag

Schaut euch bitte mal meine Log an!



Das Log kann durchaus so vollstaendig sein. Das was mich wundert ist, das ein aktuelles KAV die CWS DLL, die fuer die "R" Eintraege verantwortlich ist, finden sollte.

BTW Rock, warum soll er seinen Internetexplorer "fixen"? Obwohl so schleht waere es auch nicht.
__________________
__________________

Alt 06.06.2004, 20:47   #4
rock
 
Schaut euch bitte mal meine Log an! - Beitrag

Schaut euch bitte mal meine Log an!



hehe,
mir kams auch komisch vor, aber ich hab dann bei mir gescannt, ich hab so einen eintrag nicht. nur Explorer exe und keine zwei mal iexplore.exe.

deshalb hab ich auf einen backdoor gedacht...

gruss
rock

edit: stimmt, sorry wenn ich mich geirrt habe...
bei einem anderen log soeben gesehen...

alles andere erwähnte fixen!

[ 06. Juni 2004, 21:52: Beitrag editiert von: rock' ]

Alt 06.06.2004, 20:55   #5
shoppy
 
Schaut euch bitte mal meine Log an! - Beitrag

Schaut euch bitte mal meine Log an!



der ie war so oft offen, weil ich zwei fenster offen hatte.

wenn ich die R fixe bringt es nix, die sind gleich beim nächsten scan wieder drinne ...


Alt 06.06.2004, 21:11   #6
raman
 
Schaut euch bitte mal meine Log an! - Beitrag

Schaut euch bitte mal meine Log an!



Hast du Rocks Tipp mit dem Vollscan schon gemacht? Dein Kaspersky ist doch mit aktuellen Signaturen "bestueckt"?
Die Tipps von hier hast du auch scon durch?
http://www.rokop-security.de/main/article.php?sid=703

eine System32dll befindet sich zufaellig nicht in deinem System32 Ordner?
__________________
--> Schaut euch bitte mal meine Log an!

Alt 06.06.2004, 21:20   #7
shoppy
 
Schaut euch bitte mal meine Log an! - Beitrag

Schaut euch bitte mal meine Log an!



eine system32.dll hab ich nicht!

den scan hab ich neulich schon ohne erfolg durchgeführt, aber ich starte es gerade nochmal!

Alt 06.06.2004, 21:20   #8
shoppy
 
Schaut euch bitte mal meine Log an! - Beitrag

Schaut euch bitte mal meine Log an!



doch, ich hab die datei

c:\windows\system32\system32.dll

soll ich die löschen?

Alt 07.06.2004, 06:43   #9
shoppy
 
Schaut euch bitte mal meine Log an! - Beitrag

Schaut euch bitte mal meine Log an!



hi,

also ich werde gleich heute abend, wenn ich zuhause bin die dll löschen.
die hosts habe ich zwei mal, einmal unter

c:\windwos
und einmal unter dem pfad den du geschrieben hast.

aber darin sind ganz viele umleitungen meier eigenen ip (localhost)

z.B.

127.0.0.1 www.xxx.de.ws

usw

wenn ich die lösche bringt aber nix, nach ein paar sekunden wird sie auch wieder erstellt.
ich hoffe durch die löschung der dll wird dies auch verhindert. ist die system32.dll auch noch im dllchache unter c:\windows\system32 ?

danke

greetz
shoppy

Alt 07.06.2004, 11:41   #10
mav1976
 
Schaut euch bitte mal meine Log an! - Beitrag

Schaut euch bitte mal meine Log an!



hi shoppy,

ja die mußt du sogar löschen, da sie dafür verantwortlich ist, daß die einträge immer wieder neu auftauchen.

auch kannst du gleichx deine "hosts" (genauso geschrieben, ohne endung) kontrollieren, was da drin steht.

sie sollte bei dir nur an einem ort auftauchen. und zwar:

c:\windows\system32\drivers\etc\hosts

sie sollte normalerweise 1kb groß sein, und es sollte sich nur ein eintrag dort drin befinden (nach der erklärung): 127.0.0.1 localhost
__________________
Gruß mav

Alt 07.06.2004, 17:29   #11
shoppy
 
Schaut euch bitte mal meine Log an! - Beitrag

Schaut euch bitte mal meine Log an!



hi,

so ich habe jetzt die system32.dll gelöscht und bei meinem ie ist wieder alles ok.
aber mein winpatrol meldet mir dauernt, dass die datei "hosts" verändert wurde.
wenn ich mir die datei dann anschaue, stehen ganz viele verknüfungen von localhost zu irgendwelchen seiten drinnen.

wie bekomme ich dies noch raus?

Alt 07.06.2004, 18:07   #12
Tiber
 
Schaut euch bitte mal meine Log an! - Beitrag

Schaut euch bitte mal meine Log an!



Die Datei "hosts" ist unter
c:\windows\system32\drivers\etc zu finden und kann mit einem einfachen Editor (notepad.exe) bearbeitet werden.

Gruß Tiber
__________________
sollte man gelesen haben:<a href="http://moon.hipjoint.de/tcpa-palladium-faq-de.html" target="_blank">TCPA/Palladium FAQ</a>

Alt 07.06.2004, 20:23   #13
shoppy
 
Schaut euch bitte mal meine Log an! - Beitrag

Schaut euch bitte mal meine Log an!



danke, aber das weiß ich schon.
aber wenn ich sie änderen geht es keine zwei minuten und irgend ein programm ändert mir die datei wieder ...

ich was nicht was ich machen soll

Alt 07.06.2004, 21:19   #14
paff
 
@shoppy

Poste mal bitte den Inhalt der hosts Datei

Ich glaube der Spybot ist derjenige welche der die Datei ändert.

Gruß paff
__________________
Reverse Engineering Malware

Alt 07.06.2004, 21:34   #15
shoppy
 
Schaut euch bitte mal meine Log an! - Beitrag

Schaut euch bitte mal meine Log an!



danke, hat sich erledigt.
scheint mit löschen der system32.dll behebt zu sein!

danke euch allen nochmal

Antwort

Themen zu Schaut euch bitte mal meine Log an!
bho, check, datei, desktop, einstellungen, explorer, file, hijack, hijackthis, internet, internet explorer, kaspersky, log, log file, microsoft, nicht, object, programme, rundll, rundll32.exe, shockwave, software, start, system, system32, träge, unter, windows, windows xp



Ähnliche Themen: Schaut euch bitte mal meine Log an!


  1. Schaut euch bitte mal meine eScan find.bat an! So viele Viren?
    Plagegeister aller Art und deren Bekämpfung - 11.03.2009 (18)
  2. Bitte schaut euch mal mein Log an
    Log-Analyse und Auswertung - 28.01.2009 (2)
  3. Bitte schaut es euch mal an..
    Log-Analyse und Auswertung - 15.09.2008 (2)
  4. Bitte schaut euch die Log an (Notebook)
    Log-Analyse und Auswertung - 23.04.2007 (2)
  5. Bitte um Hilfe - schaut euch mal das Log an
    Log-Analyse und Auswertung - 09.02.2007 (1)
  6. schaut euch das bitte mal an!
    Log-Analyse und Auswertung - 07.03.2006 (1)
  7. Bitte schaut euch meine Hijack log an.
    Log-Analyse und Auswertung - 30.01.2006 (4)
  8. Schaut euch diese mal bitte an
    Log-Analyse und Auswertung - 13.11.2005 (1)
  9. Bitte schaut euch das mal an !
    Log-Analyse und Auswertung - 07.08.2005 (6)
  10. Bitte schaut euch mal meinen HJT an
    Log-Analyse und Auswertung - 29.07.2005 (7)
  11. Bitte schaut euch meine Logfile mal an
    Log-Analyse und Auswertung - 27.04.2005 (10)
  12. schaut euch das bitte mal an
    Log-Analyse und Auswertung - 08.04.2005 (1)
  13. bitte schaut euch das mal an
    Log-Analyse und Auswertung - 13.03.2005 (16)
  14. schaut euch das mal bitte an
    Log-Analyse und Auswertung - 12.03.2005 (3)
  15. Bitte schaut euch das mal an...
    Log-Analyse und Auswertung - 15.02.2005 (6)
  16. Bitte schaut euch doch mal diese Log an
    Log-Analyse und Auswertung - 15.12.2004 (4)
  17. Schaut euch das bitte mal an
    Log-Analyse und Auswertung - 05.11.2004 (3)

Zum Thema Schaut euch bitte mal meine Log an! - HI, mich hats nun auch mit dem Hijack erwischt und ich bekomme es nicht los. habe schon alle dirvesen programme benutz ob abgesicherter oder nicht abgesicherter modes, es geht einfach - Schaut euch bitte mal meine Log an!...
Archiv
Du betrachtest: Schaut euch bitte mal meine Log an! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.