| |
| |||||||
Log-Analyse und Auswertung: Habe ein Problem mit einem sehr hartnäckigen Vertreter eines HijackersWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
28.07.2004, 19:41
| #1 |
| |  Habe ein Problem mit einem sehr hartnäckigen Vertreter eines Hijackers Hallo Leute, ich habe mir vor kurzem einen sehr hartnäckigen Vertreter eines Hijackers eingefangen. Zuerst habe ich es mit escan versucht. Ohne Erfolg. Dann habe ich HijackThis drüberlaufen lasssen und es anhand der Anleitung von trojaner-info gefixt. Ohne Erfolg. Vielleicht könnt Ihr mir helfen. Hier mein Log: Logfile of HijackThis v1.98.0 Scan saved at 22:03:46, on 26.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\monitor.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Apoint2K\Apoint.exe C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Apoint2K\Apntex.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Jonas Compensis\Desktop\Notbookclean\hijackthis_198\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.14/ie R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.14/ie R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = www.global-acer.com F2 - REG:system.ini: Shell=Explorer.exe monitor.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {DE3BEBDB-AEE7-4277-8B6E-4EEFFA9508AE} - C:\WINDOWS\System32\zoeawin.dll (disabled by BHODemon) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [monitor] monitor.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O13 - DefaultPrefix: http://195.225.176.14/pre.pl? O13 - WWW Prefix: http://195.225.176.14/pre.pl? O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe Vielen Dank! |
|
28.07.2004, 20:00
| #2 |
| Gast | Habe ein Problem mit einem sehr hartnäckigen Vertreter eines Hijackers Abgesicherter Modus und dies fixen:
__________________R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.14/ie R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.14/ie R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/ O2 - BHO: (no name) - {DE3BEBDB-AEE7-4277-8B6E-4EEFFA9508AE} - C:\WINDOWS\System32\zoeawin.dll (disa O13 - DefaultPrefix: http://195.225.176.14/pre.pl? O13 - WWW Prefix: http://195.225.176.14/pre.pl? O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe Danach diese Datei löschen: C:\WINDOWS\System32\zoeawin.dll Mit einem anderen Browser kannst du sowas künftig verhindern: www.firefox-browser.de ist schnell, sicher und kostenlos. |
|
28.07.2004, 20:03
| #3 | |
  | Habe ein Problem mit einem sehr hartnäckigen Vertreter eines Hijackers Hallo jonas und Willkommen an Board,
__________________hat eScan denn etwas Verdächtiges gefunden? Fixe bitte folgendes mit HijackThis: Zitat:
Zur Monitor.exe habe ich dieses gefunden. Solltest Du Dir mal durchlesen. Sorry, hier der Link: http://support.microsoft.com/?kbid=317445 nachgereicht Anschließend boote den Rechner neu und erstelle ein neues Log mit HijackThis. Edit: OK - Christian war schneller... 
__________________ |
|
28.07.2004, 20:10
| #4 |
 | Habe ein Problem mit einem sehr hartnäckigen Vertreter eines Hijackers da hat wohl jemand was ganz wichtiges vergessen: F2 - REG:system.ini: Shell=Explorer.exe monitor.exe unbedingt fixen!! und dies hier auch: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = www.global-acer.com neptune
__________________ follow me and do exactly what i say |
|
28.07.2004, 20:16
| #5 |
| | Habe ein Problem mit einem sehr hartnäckigen Vertreter eines Hijackers @neptune Warum? Weil die automatische Auswertung das so sagt? Monitor.exe ist keine Malware, zumindest nicht wenn es die Originaldatei ist. Schau mal in meinen Link. Und warum sollte global-acer bei einem Notebook (wahrscheinlich ACER!?!) unbedingt gefixt werden?
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
28.07.2004, 20:22
| #6 |
| | Habe ein Problem mit einem sehr hartnäckigen Vertreter eines Hijackers @lutz die seite global-acer.com gibt es nicht und der monitor.exe eintrag ist wenn nicht böse dann überflüssig!
__________________ --> Habe ein Problem mit einem sehr hartnäckigen Vertreter eines Hijackers |
|
28.07.2004, 20:29
| #7 |
| | Habe ein Problem mit einem sehr hartnäckigen Vertreter eines Hijackers Ok, die Seite gibt es nicht (mehr). Der Punkt geht an Dich. Aber das Monitor.exe überflüssig ist, würde ich so nicht sagen. Wenn diese 'sauber' ist und nicht die im Link beschriebenen Fehler verursacht, würde ich sie stehen lassen.
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
28.07.2004, 20:47
| #8 |
| | Habe ein Problem mit einem sehr hartnäckigen Vertreter eines Hijackers ok, aber ich würd die exe loeschen.. normal taucht sie in logs ja nicht auf..
__________________ follow me and do exactly what i say |
|
| Themen zu Habe ein Problem mit einem sehr hartnäckigen Vertreter eines Hijackers |
| acrobat, adobe, bho, desktop, einstellungen, escan, excel, explorer, hijacker, hijackthis, internet, internet explorer, launch, log, logfile, mein log, messenger, microsoft, problem, programme, software, spybot, start, system, system32, vielen dank, windows, windows xp |
Linear-Darstellung
