Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hijacker-help! ich werd sonst noch verrückt!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 01.08.2004, 23:59   #1
CJM
 
Hijacker-help! ich werd sonst noch verrückt! - Standard

Hijacker-help! ich werd sonst noch verrückt!



Hallo leute! brauche mal dringend eure hilfe bei folgendem hijacker der das searchportal-info installiert hat...

weder ad aware noch spybot noch der aktuellste shredder (1.59.1) noch andere gängige antivirenprogramme schlagen an oder bzw. geben mir aufschluss darüber was ich noch fixen muss damit ich endlich wieder dauerhaft meine startseite kriege.

ein ganz herzliches dankeschön schonmal vorab an alle helfer!


hier das log von hijack-this: Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\System32\gddjbpx.exe
C:\WINDOWS\inetsrv\services.exe
C:\WINDOWS\simple1.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\WebWasher\wwasher.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\Temporäres Verzeichnis 8 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchportal.info/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [akaxotptoigfg] C:\WINDOWS\System32\gddjbpx.exe
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [ist service uninstall x] C:\WINDOWS\simple1.exe /u
O4 - HKLM\..\RunOnce: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" "+b1"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: www.mt-download.com
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = local
O17 - HKLM\Software\..\Telephony: DomainName = local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = local

Alt 02.08.2004, 00:28   #2
CJM
 
Hijacker-help! ich werd sonst noch verrückt! - Standard

Hijacker-help! ich werd sonst noch verrückt!



Update! nach einigem fixen sieht das log jetzt so aus:

Logfile of HijackThis v1.98.0
Scan saved at 1:25:27 AM, on 8/2/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\System32\gddjbpx.exe
C:\WINDOWS\inetsrv\services.exe
C:\WINDOWS\simple1.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\WebWasher\wwasher.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\Temporäres Verzeichnis 9 für hijackthis.zip\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ICQLite\ICQLite.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchportal.info/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
O4 - HKLM\..\RunOnce: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" "+b1"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = local
O17 - HKLM\Software\..\Telephony: DomainName = local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = local



Folgende prozesse halte ich auf jeden fall für böse, werde sie aber nicht los obwohl ich sie mehrfach von hand gelöscht habe;

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
R 0 ist klar...
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe


was übersehe ich und wieso funktioniert es nicht??????
__________________


Alt 02.08.2004, 17:13   #3
*Christian*
Gast
 
Hijacker-help! ich werd sonst noch verrückt! - Standard

Hijacker-help! ich werd sonst noch verrückt!



Hast du schonmal mit eScan gescannt?
http://www.trojaner-board.de/showthread.php?t=6083

Poste bitte nach dem Scan ein neues Log von HijackThis.
__________________

Alt 02.08.2004, 17:52   #4
mmk
 
Hijacker-help! ich werd sonst noch verrückt! - Standard

Hijacker-help! ich werd sonst noch verrückt!



Ich fürchte, dein Problem ist größer als ein Hijacker:

C:\WINDOWS\System32\gddjbpx.exe
C:\WINDOWS\inetsrv\services.exe
C:\WINDOWS\simple1.exe

Prüf diese Dateien bitte hier:
http://www.kaspersky.com/de/scanforvirus

Ergebnis?
__________________
Grüße, Markus

Alt 02.08.2004, 22:30   #5
paff
 
Hijacker-help! ich werd sonst noch verrückt! - Standard

Hijacker-help! ich werd sonst noch verrückt!



@CJM

Vorallem Cool beleiben , das ist ein popliger HiJacker

Also EScan wie von Christian gesagt runterladen
http://www.rokop-security.de/board/i...showtopic=3867
Installieren und updaten wie angegeben

Dann deinen Symantec updaten

Geh bitte in den Abgesicherten Modus von XP
http://www.bsi.de/av/texte/winsave.htm

Fixe bitte folgendes in HiJackThis (ankreuzen FixChecked drücken)

AB JETZT NICHT MEHR DEN INTERNET EXPLORER STARTEN

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchportal.info/
Sowie alles mir R0&R1 was vielleicht hier noch auftaucht
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
ACHTUNG 2*Mal da
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

Dann mit EScan scannen wie oben angegeben

Dann mit deinem Virenscanner scannen

Dann normal neustarten und nochmal logfile posten

Gruß paff


Alt 03.08.2004, 01:26   #6
CJM
 
Hijacker-help! ich werd sonst noch verrückt! - Standard

Hijacker-help! ich werd sonst noch verrückt!



Zitat:
Zitat von paff
@CJM

Vorallem Cool beleiben , das ist ein popliger HiJacker

Also EScan wie von Christian gesagt runterladen
http://www.rokop-security.de/board/i...showtopic=3867
Installieren und updaten wie angegeben

Dann deinen Symantec updaten

Geh bitte in den Abgesicherten Modus von XP
http://www.bsi.de/av/texte/winsave.htm

Fixe bitte folgendes in HiJackThis (ankreuzen FixChecked drücken)

AB JETZT NICHT MEHR DEN INTERNET EXPLORER STARTEN

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchportal.info/
Sowie alles mir R0&R1 was vielleicht hier noch auftaucht
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
ACHTUNG 2*Mal da
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

Dann mit EScan scannen wie oben angegeben

Dann mit deinem Virenscanner scannen

Dann normal neustarten und nochmal logfile posten

Gruß paff

hallo!

erstmal danke für die hilfe...nur leider funktioniert es wieder nicht...habe von e-scan die aktuellste version sowohl im abgesicherten modus als auch bei relurärem rechnerbetrieb drüberlaufen lassen....hat auch einiges gefunden und behoben, seitdem läuft der rechner weit problemloser. Nur der startseite, searchportalinfo, komme ich nicht bei, völlig egal was ich mache... ich fixe die angegeben dateien, also R0, diese service-dateien, O2-no file und jedes Mal sind sie wieder da....ich weiß echt nimmer weiter....das ist das aktuellste logfile, die seite ist natürlich (wie könnte es auch anders sein?!=)wieder da sobald man den explorer öffent...

Logfile of HijackThis v1.98.0
Scan saved at 2:23:40 AM, on 8/3/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\inetsrv\services.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\The Cleaner\cleaner.exe
C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\Temporäres Verzeichnis 11 für hijackthis.zip\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchportal.info/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = local
O17 - HKLM\Software\..\Telephony: DomainName = local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = local

Alt 03.08.2004, 07:30   #7
mmk
 
Hijacker-help! ich werd sonst noch verrückt! - Standard

Hijacker-help! ich werd sonst noch verrückt!



C:\WINDOWS\inetsrv\services.exe

Diese Datei wird von einem aktuellen eScan nicht als Malware erkannt? Auch nicht bei einer manuellen Prüfung hier:

http://www.kaspersky.com/de/scanforvirus ?

Dann bitte mal diese Datei an die unten in meiner Signatur genannten Mailadressen einsenden - Danke!
__________________
Grüße, Markus

Alt 03.08.2004, 08:29   #8
paff
 
Hijacker-help! ich werd sonst noch verrückt! - Standard

Hijacker-help! ich werd sonst noch verrückt!



@CJM

Lade dir mal bitte diese Datei
http://tools.zerosrealm.com/VX2Finder.exe

Starten und Logfile posten

Gruß paff

Alt 03.08.2004, 10:24   #9
CJM
 
Hijacker-help! ich werd sonst noch verrückt! - Standard

Hijacker-help! ich werd sonst noch verrückt!



Zitat:
Zitat von mmk
C:\WINDOWS\inetsrv\services.exe

Diese Datei wird von einem aktuellen eScan nicht als Malware erkannt? Auch nicht bei einer manuellen Prüfung hier:

http://www.kaspersky.com/de/scanforvirus ?

Dann bitte mal diese Datei an die unten in meiner Signatur genannten Mailadressen einsenden - Danke!
Hallo erstmal!


also von e-scan verwende ich die Version 4.2.9. die müsste doch aktuell sein, oder? Und die erkennt diese service-datei nicht als virus...dieser scanner den du oben gepostet hast von kaspersky, der erkennt ihn...

Zu überprüfende Datei: services.exe

services.exe - packed with PE_Patch.PECompact
services.exe - packed with PecBundle
services.exe - packed with PECompact
services.exe Infiziert: Trojan.Win32.Small.ai


ist klar dass die datei infiziert ist....das problem ist: Ich krieg sie nicht weg! 4 dateien, nämlich 2x diese service, das 02 no file... und natürlich die startseite sind auch nach dem manuellen fixen wieder da...wir übersehen irgendeine vermutlich unsichtbare application die diese programme jedes mal wieder neu aufspielt oder ihre tatsächliche löschung verhindert...so muss es doch sein denk ich mal.....

@paff ich mach mich jetzt mal an den Vx2-finder und berichte dann erneut...

Alt 03.08.2004, 10:29   #10
CJM
 
Hijacker-help! ich werd sonst noch verrückt! - Standard

Hijacker-help! ich werd sonst noch verrückt!



Muss leider berichten dass dieses tool gar nichts findet...

Log for VX2.BetterInternet File Finder

Files Found---


Guardian Key--- is called:

User Agent String---




ich versuch nochmal was... hat noch jemand irgendwelche gute ideen?

Alt 03.08.2004, 10:39   #11
mmk
 
Hijacker-help! ich werd sonst noch verrückt! - Standard

Hijacker-help! ich werd sonst noch verrückt!



1.) Systemwiederherstellung in XP abschalten.
2.) Taskmanager aufrufen, diesen Prozess markieren und beenden: C:\WINDOWS\inetsrv\services.exe
3.) Die Datei C:\WINDOWS\inetsrv\services.exe löschen.
4.) HijackThis aufrufen, Scan klicken, diesen Einträge markieren:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://searchportal.info/
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe

5.) Alle Internet Explorer und Windows Explorer Fenster schließen.
6.) Jetzt "Fix checked" klicken.
7.) System neu starten.
__________________
Grüße, Markus

Alt 03.08.2004, 10:59   #12
CJM
 
Hijacker-help! ich werd sonst noch verrückt! - Standard

Hijacker-help! ich werd sonst noch verrückt!



Zitat:
Zitat von mmk
1.) Systemwiederherstellung in XP abschalten.
2.) Taskmanager aufrufen, diesen Prozess markieren und beenden: C:\WINDOWS\inetsrv\services.exe
3.) Die Datei C:\WINDOWS\inetsrv\services.exe löschen.
4.) HijackThis aufrufen, Scan klicken, diesen Einträge markieren:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://searchportal.info/
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe

5.) Alle Internet Explorer und Windows Explorer Fenster schließen.
6.) Jetzt "Fix checked" klicken.
7.) System neu starten.
ok, das wäre noch ne neue variante...wo schalte ich diese systemwiederherstellung in XP aus? edit: ich weiß es, danke...

denn ich hab grad die komplette procedur nochmal gemacht und wieder nix erreicht... verlasse ich den abgesicherten modus sieht das hijackthis-log absolut sauber aus...sowohl e-scan als auch ad-aware finden gar nix mehr...kaum fahre ich den rechner wieder in normalem modus wieder hoch sind die angeblich gefixten 4 alten bekannten wieder da...völlig hoffnungslos so.

Alt 03.08.2004, 11:04   #13
mmk
 
Hijacker-help! ich werd sonst noch verrückt! - Standard

Hijacker-help! ich werd sonst noch verrückt!



http://www.systemwiederherstellung-d...indows-xp.html
__________________
Grüße, Markus

Alt 03.08.2004, 11:06   #14
CJM
 
Hijacker-help! ich werd sonst noch verrückt! - Standard

Hijacker-help! ich werd sonst noch verrückt!



Zitat:
Zitat von mmk
1.) Systemwiederherstellung in XP abschalten.
2.) Taskmanager aufrufen, diesen Prozess markieren und beenden: C:\WINDOWS\inetsrv\services.exe
3.) Die Datei C:\WINDOWS\inetsrv\services.exe löschen.
4.) HijackThis aufrufen, Scan klicken, diesen Einträge markieren:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://searchportal.info/
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inetsrv\services.exe

5.) Alle Internet Explorer und Windows Explorer Fenster schließen.
6.) Jetzt "Fix checked" klicken.
7.) System neu starten.
Systemwiederherstellung ist deaktiviert.
Task-manager weigert sich den prozess services zu beenden, er macht es einfach nicht....kann weder den den prozess, noch die prozesstruktur noch seine priorität ändern...dieser verdammte dreckshijacker....hat der eigentlich irgendwas ausgelassen???
was ist wenn ich einfach versuche über DOS diese services- datei zu löschen? wie lautet da nochmal der korrekte eingabebefehl? hab ewig nimmer damit gearbeitet...denn ich glaube kaum dass sich diese datei einfach bei aktiven windows löschen lässt... ich probiers jetzt mal, aber wetten das klappt nicht?

edit: Wer hätte es gedacht...geht natürlich nicht, den prozess einfach so zu löschen...

Alt 03.08.2004, 11:12   #15
mmk
 
Hijacker-help! ich werd sonst noch verrückt! - Standard

Hijacker-help! ich werd sonst noch verrückt!



Boote Win XP im abgesicherten Modus mit Eingabeaufforderung. Dann:

- Erst mit dieser Eingabe in den Ordner C:\WINDOWS\inetsrv wechseln:
cd C:\WINDOWS\inetsrv

Enter drücken.

- Anschließend eingeben:
calcs services.exe /P Administrator:F
(Erklärung: das P steht für den Benutzer und das F für den Vollzugriff - bitte so eingeben wie im Beispeil gezeigt.)

Enter drücken.

- Jetzt die Datei umbenennen:
ren services.exe services.qua

Enter drücken.

Diese Datei später von Hand löschen.
__________________
Grüße, Markus

Antwort

Themen zu Hijacker-help! ich werd sonst noch verrückt!
ad aware, ad-aware, antivirus, bho, boot, button, dateien, dringend, einstellungen, file, file missing, hijack-this, hilfe, icq, internet, internet explorer, log, messenger, microsoft, programme, seite, software, symantec, system, system32, tcpip, temp, userinit, userinit.exe, windows



Ähnliche Themen: Hijacker-help! ich werd sonst noch verrückt!


  1. Nur noch abgesicherter Modus möglich, sonst super langsam
    Log-Analyse und Auswertung - 14.03.2015 (15)
  2. Es besteht noch keine Internetverbindung...sonst nichts Windows XP
    Plagegeister aller Art und deren Bekämpfung - 14.02.2015 (27)
  3. ALLES voller Werbung (und wer weiß was sonst noch)
    Plagegeister aller Art und deren Bekämpfung - 06.01.2014 (11)
  4. Polizei Virus Einheit 5.2 Österreich - Windows funktioniert sonst noch
    Log-Analyse und Auswertung - 09.07.2012 (1)
  5. Umleitung auf falsche Internetseiten ...ich werd noch wahnsinnig
    Log-Analyse und Auswertung - 02.07.2012 (10)
  6. Nach MS Antispywareentfernung werd ich google-hijacker nicht mehr los
    Log-Analyse und Auswertung - 11.03.2009 (6)
  7. pc zu langsam! ich werd verrückt! bitte anschaun
    Log-Analyse und Auswertung - 10.04.2007 (1)
  8. wo finde ich sonst noch Hilfe
    Alles rund um Windows - 28.05.2006 (7)
  9. Trojan.Spywad.A ! Ich werd noch wahnsinnig -.-
    Plagegeister aller Art und deren Bekämpfung - 19.04.2006 (5)
  10. Ich werd noch bekloppt! => NewDotNet
    Log-Analyse und Auswertung - 15.11.2005 (7)
  11. Bitte log prüfen (werd noch verückt)
    Log-Analyse und Auswertung - 02.10.2005 (11)
  12. TR/Spy.Saismo.2, Popuper.exe, psguard..... ich werd verrückt..
    Plagegeister aller Art und deren Bekämpfung - 16.08.2005 (2)
  13. TR/StartPage.qr.DLL Ich werd noch wahnsinnig
    Log-Analyse und Auswertung - 15.03.2005 (13)
  14. Bitte anschauen! - sonst werd ich noch verrückt!
    Log-Analyse und Auswertung - 23.02.2005 (1)
  15. anti viren - firewall / was sonst noch alles
    Antiviren-, Firewall- und andere Schutzprogramme - 23.02.2005 (2)
  16. Anti VIrenprogramm und was man sonst noch braucht
    Antiviren-, Firewall- und andere Schutzprogramme - 15.02.2005 (4)
  17. sasser und sonst noch was?
    Plagegeister aller Art und deren Bekämpfung - 22.10.2004 (7)

Zum Thema Hijacker-help! ich werd sonst noch verrückt! - Hallo leute! brauche mal dringend eure hilfe bei folgendem hijacker der das searchportal-info installiert hat... weder ad aware noch spybot noch der aktuellste shredder (1.59.1) noch andere gängige antivirenprogramme schlagen - Hijacker-help! ich werd sonst noch verrückt!...
Archiv
Du betrachtest: Hijacker-help! ich werd sonst noch verrückt! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.