Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Neuen Highjacker eingefangen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 04.08.2004, 16:09   #1
luzs
 
Neuen Highjacker eingefangen - Standard

Neuen Highjacker eingefangen



Hallo liebe Forumsteilnehmer,
habe mir einen Highjacker eingefangen und poste hier mal das HighjackThis log File.
Es sieht so aus als ob dieser Trojaner mit Stichwörtern arbeitet und nicht nur bestimmte Seiten wie Windows Update nicht zulässt, er blockiert seit eben auch Spybot...

Logfile of HijackThis v1.98.1
Scan saved at 16:45:53, on 04.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\NavNT\vptray.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\Digital Image\Monitor.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\PROGRA~1\TOBITI~1\DVREMIND.EXE
C:\Toolz\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://66.230.227.44/search.html?
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://66.230.227.44/search.html?
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2D51CD7F-D084-4BF3-9F08-17E70FE2CD1F} - C:\WINNT\system32\hhgi.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC SE\routcnf.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Digital Image Monitor.lnk = C:\Programme\Digital Image\Monitor.exe
O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Verknüpfung mit logon.bat.lnk = ?
O13 - WWW. Prefix: http://ehttp.cc/?
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = etf.dom
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = etf.dom
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = etf.dom
O18 - Filter: text/html - {71E7B9AE-E647-456E-A79F-9ADB1B7C72CC} - C:\WINNT\system32\hhgi.dll
O18 - Filter: text/plain - {71E7B9AE-E647-456E-A79F-9ADB1B7C72CC} - C:\WINNT\system32\hhgi.dll

Ich bin dankbar für jeden Tip.

Danke luzs

Alt 04.08.2004, 16:49   #2
*Christian*
Gast
 
Neuen Highjacker eingefangen - Standard

Neuen Highjacker eingefangen



Das das Problem von Spybot an dem Hijacker liegt halte ich für ein Gerücht.
Aber schick mal bitte die Datei C:\WINNT\system32\hhgi.dll zu partytime-germany.ice@web.de

Anschließend bitte folgendes fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://66.230.227.44/search.html?
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://66.230.227.44/search.html?
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {2D51CD7F-D084-4BF3-9F08-17E70FE2CD1F} - C:\WINNT\system32\hhgi.dll
O4 - Global Startup: Verknüpfung mit logon.bat.lnk = ?
O13 - WWW. Prefix: http://ehttp.cc/?
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = etf.dom
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = etf.dom
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = etf.dom
O18 - Filter: text/html - {71E7B9AE-E647-456E-A79F-9ADB1B7C72CC} - C:\WINNT\system32\hhgi.dll
O18 - Filter: text/plain - {71E7B9AE-E647-456E-A79F-9ADB1B7C72CC} - C:\WINNT\system32\hhgi.dll

Danach die Datei C:\WINNT\system32\hhgi.dll manuell löschen.
Bitte vergesse nicht die Datei vorher an die obige Adresse zu schicken.

Um dich zukünftig vor Hijacker zu schützen, solltest du einen anderen Browser verwenden: www.firefox-browser.de ist schnell, sicher und kostenlos.
__________________


Alt 04.08.2004, 16:51   #3
Rene-gad
 
Neuen Highjacker eingefangen - Standard

Neuen Highjacker eingefangen



Hallo luzs
Zitat:
C:\WINNT\System32\mspmspsv.exe
Info: http://www.2-files.com/filename/mspmspsv-exe
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = h**p://66.230.227.44/search.html?
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = h**p://66.230.227.44/search.html?
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
.....
O2 - BHO: (no name) - {2D51CD7F-D084-4BF3-9F08-17E70FE2CD1F} - C:\WINNT\system32\hhgi.dll
....
O4 - Global Startup: Verknüpfung mit logon.bat.lnk = ?
O13 - WWW. Prefix: h**p://ehttp.cc/?
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = etf.dom
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = etf.dom
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = etf.dom
O18 - Filter: text/html - {71E7B9AE-E647-456E-A79F-9ADB1B7C72CC} - C:\WINNT\system32\hhgi.dll
O18 - Filter: text/plain - {71E7B9AE-E647-456E-A79F-9ADB1B7C72CC} - C:\WINNT\system32\hhgi.dll
Alles Zitiertes bitte fixen. Falls hilft nicht - PC neu aufsetzen.
PS: *Christian* war schneller .
__________________

Alt 05.08.2004, 08:42   #4
luzs
 
Neuen Highjacker eingefangen - Standard

Neuen Highjacker eingefangen



Hallo Christian, hallo Rene-gad,
vielen Dank für die Tipps zu meinem Trojaner.
Habe entsprechend Liste alle Einträge außer

O4 - Global Startup: Verknüpfung mit logon.bat.lnk = ?
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = etf.dom
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = etf.dom
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = etf.dom

gelöscht. Bei den genannten Einträgen handelt es sich um notwendige Netzwerkeinträge.
Habe dann die Trojaner dll entsprechend gemailt.
PC ist dank euch wieder clean.

luzs

Alt 05.08.2004, 12:38   #5
*Christian*
Gast
 
Neuen Highjacker eingefangen - Standard

Neuen Highjacker eingefangen



Die Datei hhgi.dll war ein alter Hijacker.


Antwort

Themen zu Neuen Highjacker eingefangen
adobe, arbeitet, bestimmte seiten, bho, blockiert, boot, drivers, explorer, highjackthis, hijack, hijackthis, internet, internet explorer, log, microsoft, neue, programme, rundll, rundll32.exe, seiten, software, system, system32, tcpip, temp, trojaner, update, windows



Ähnliche Themen: Neuen Highjacker eingefangen


  1. Bing vc Highjacker
    Plagegeister aller Art und deren Bekämpfung - 03.09.2015 (15)
  2. Windows 7: Browser Highjacker eingefangen?
    Log-Analyse und Auswertung - 16.10.2014 (19)
  3. Browser von Highjacker (Certified Toolbar) befallen?
    Log-Analyse und Auswertung - 21.09.2013 (3)
  4. Browser Highjacker
    Plagegeister aller Art und deren Bekämpfung - 11.04.2013 (34)
  5. neuen GVU-trojaner mit web-cam eingefangen (bin laie)
    Log-Analyse und Auswertung - 03.09.2012 (35)
  6. den neuen Verschlüsselungs-Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 09.06.2012 (2)
  7. hatte mir gestern den neuen trojaner eingefangen
    Log-Analyse und Auswertung - 07.06.2012 (6)
  8. Highjacker auf dem Laptop..mit HiJackThis Log-File.
    Log-Analyse und Auswertung - 25.01.2009 (1)
  9. TR/Highjacker.AE läßt hier gefundene Gegenprogramme nicht zu
    Mülltonne - 14.11.2008 (0)
  10. Neuen TFT
    Netzwerk und Hardware - 17.12.2007 (1)
  11. Tip für neuen PC
    Netzwerk und Hardware - 24.07.2006 (1)
  12. Highjacker problem
    Log-Analyse und Auswertung - 12.06.2006 (4)
  13. Firefox Highjacker - finde keine Hilfe
    Plagegeister aller Art und deren Bekämpfung - 03.11.2005 (2)
  14. HighJacker Problem?
    Log-Analyse und Auswertung - 30.06.2005 (10)
  15. bekomme highjacker nicht gefixt!bitte hilfe
    Log-Analyse und Auswertung - 21.03.2005 (3)
  16. Probleme mit highjacker
    Log-Analyse und Auswertung - 16.10.2004 (2)
  17. ICQ auf neuen Rechner
    Alles rund um Windows - 02.03.2003 (2)

Zum Thema Neuen Highjacker eingefangen - Hallo liebe Forumsteilnehmer, habe mir einen Highjacker eingefangen und poste hier mal das HighjackThis log File. Es sieht so aus als ob dieser Trojaner mit Stichwörtern arbeitet und nicht nur - Neuen Highjacker eingefangen...
Archiv
Du betrachtest: Neuen Highjacker eingefangen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.