Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: unlösbarer Hijacker

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 30.08.2004, 08:01   #1
Helmi
 
unlösbarer Hijacker - Standard

unlösbarer Hijacker



Ich habe folgendes Prob. Beim Scan mit Adaware wird immer folgender Hijacker gefunden und entfernt. Nach dem Entfernen kann ich sofort neu Scannen und er ist wieder da.


Vendor:Possible Browser Hijack attempt
Categoryata Miner
Object Type:RegData
Size:12 Bytes
Location:...\Software\Microsoft\Internet Explorer\Main "Start Page" ("about:blank")
Last Activity:29.08.2004
Risk Level:Moderate
TAC index:3
Comment:Possible Browser Hijack attempt
Description:Possible attempt to control/redirect the browser. This object referrs to a "blacklisted" site. If the site listed is the site intended (in other words, it is set to the setting you wish it to be set to), add this listing to your ignorelist. If not, then selecting this item will reset your browser to the default setting for this item.



Spybot findet gar nix. Esafe und Anitvir finden auch nix. Auch im abgesicherten Modus. Ich hab mal mit HijackThis ein Logfile analysieren lassen. Meiner Meinung is da auch nix dabei. Hier das Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 17:34:20, on 29.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Cherry\KeyMan\KeyMan.exe
C:\TV Movie\TV Movie ClickFinder\tvtip.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
C:\FRITZ!\FriFax32.exe
D:\ShortCut\ShortCut.exe
C:\Programme\TechniSat DVB\bin\Server4PC.exe
C:\ISDNMoni\isdnmo32.exe
D:\OnlineCounter 2004\OnlineCounter.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\Programme\ASTRA-NET Proxy\proxy.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Cherry\CDI\CDI.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\ASTRA-NET Proxy\proxy.exe
C:\WINDOWS\System32\svchost.exe
C:\MOZILLA\MOZILLA.EXE
H:\Downloads\Spywarechecker\HIJackThis\hijackthis1982\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = h**p://127.0.0.1:2517/www/proxy.pac
R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINDOWS\system32\pidd.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CherryKeyman] "C:\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TVTip] C:\TV Movie\TV Movie ClickFinder\tvtip.EXE /m
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\MOZILLA\MOZILLA.EXE" -turbo
O4 - Startup: OnlineCounter 2004-Autostart.lnk = D:\OnlineCounter 2004\OnlineCounter-Autostart.exe
O4 - Startup: ISDNMoni.lnk = C:\ISDNMoni\isdnmo32.exe
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: FRITZ!fax.lnk = C:\FRITZ!\FriFax32.exe
O4 - Global Startup: ShortCut.lnk = D:\ShortCut\ShortCut.exe
O4 - Global Startup: Server4PC.lnk = C:\Programme\TechniSat DVB\bin\Server4PC.exe
O4 - Global Startup: ASTRA-NET Proxy.lnk = C:\Programme\ASTRA-NET Proxy\Start_Proxy.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\keyman\IEMenuExtKeyman.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pidlsp.dll
O15 - Trusted Zone:
O15 - Trusted Zone: O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5co...b?1093511575031
O17 - HKLM\System\CCS\Services\Tcpip\..\{16FCB9D6-5E8B-4841-85F3-23171F2CA2FC}: NameServer = 212.168.40.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{9749A235-B6BE-4955-AA9F-46F106E7D578}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{C40D5FC0-E0D9-4EDA-85B5-29899BBFA2E2}: NameServer = 145.253.2.81 145.253.2.203
O17 - HKLM\System\CS1\Services\Tcpip\..\{16FCB9D6-5E8B-4841-85F3-23171F2CA2FC}: NameServer = 212.168.40.5
O17 - HKLM\System\CS2\Services\Tcpip\..\{16FCB9D6-5E8B-4841-85F3-23171F2CA2FC}: NameServer = 212.168.40.5
O17 - HKLM\System\CS3\Services\Tcpip\..\{16FCB9D6-5E8B-4841-85F3-23171F2CA2FC}: NameServer = 212.168.40.5


wer kann helfen? Danke

Tom

Alt 30.08.2004, 20:23   #2
*Christian*
Gast
 
unlösbarer Hijacker - Standard

unlösbarer Hijacker



Scanne mal mit eScan im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

Was wurde alles gefunden?

Danach poste neues Logfile von HijackThis.
__________________


Alt 30.08.2004, 20:51   #3
FancyAndy
 
unlösbarer Hijacker - Standard

unlösbarer Hijacker



Fragt sich wo mein Posting geblieben ist, hatte auch schon mal drauf geantwortet :



Also Amigo,

ich bitte Dich mir mal bitte diese ShortCut.exe via zipfile an meine eMail Addy zu senden
welche wäre guide-alby(at)gmx.de. (Versieh die bitte mit einem PW deiner wahl und vergiß nicht das PW mitzusenden) - Danke

Diese Datei ist nämlich mir nicht ganz geheuer....
__________________
__________________

Alt 30.08.2004, 21:22   #4
*Christian*
Gast
 
unlösbarer Hijacker - Standard

unlösbarer Hijacker



@FancyAndy
Die Datei sollte ok sein.
Schau mal bei google.

Alt 31.08.2004, 09:36   #5
FancyAndy
 
unlösbarer Hijacker - Standard

unlösbarer Hijacker



Zitat:
Zitat von *Christian*
@FancyAndy
Die Datei sollte ok sein.
Schau mal bei google.
Vorsicht ist die Mutter der Porzellankiste möchte sie mir dennoch gern anschauen

__________________
Fragen, die die Welt nicht braucht (oder doch ?)

Wie setze ich mein System neu auf ?

Alt 31.08.2004, 21:31   #6
Helmi
 
unlösbarer Hijacker - Standard

unlösbarer Hijacker



Zitat:
Zitat von *Christian*
Scanne mal mit eScan im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

Was wurde alles gefunden?

Danach poste neues Logfile von HijackThis.

Hallo,

hab ich ja bereits geschrieben und negativ. Anscheinend handelt es sich hier um einen HIjack Versuch, der mehr oder weniger nur von Adaware gemeldet wird, weil die Startseite meines IE about.blank ist.

Die Datei pidd.dll ist von meinem Personal ID Stick. Soll ich sie Dir trotzdem schicken?

gruss

Helmut

Alt 31.08.2004, 21:38   #7
cacatoa
 
unlösbarer Hijacker - Standard

unlösbarer Hijacker



Hi, Helmi!
Ad-Aware findet immer die Startseite "about blank" im Internet Explorer als HiJackAttempt. Kannst ruhig stehen lassen; ist kein Hijacker.
Verschwindet, wenn Du Mozilla -übrigens auch mit Startseite "blank" -benutzt!
Grüße
Alex
__________________
Der Mensch sollte eine Hundeseele haben

Alt 31.08.2004, 21:42   #8
Helmi
 
unlösbarer Hijacker - Standard

unlösbarer Hijacker



Zitat:
Zitat von FancyAndy
Fragt sich wo mein Posting geblieben ist, hatte auch schon mal drauf geantwortet :



Also Amigo,

ich bitte Dich mir mal bitte diese ShortCut.exe via zipfile an meine eMail Addy zu senden
welche wäre guide-alby(at)gmx.de. (Versieh die bitte mit einem PW deiner wahl und vergiß nicht das PW mitzusenden) - Danke

Diese Datei ist nämlich mir nicht ganz geheuer....

Hi, die Datei kommt von den Program shortcut , siehe wwwtyper.de
Ich kann sie dir aber trotzdem schicken, wenn du möchtest.

Alt 31.08.2004, 21:58   #9
*Christian*
Gast
 
unlösbarer Hijacker - Standard

unlösbarer Hijacker



Nein, wenn du die Datei kennst, ist dies nicht nötig.

Achso, deine Startseite ist immer "about:blank".
Wenn du dies eingetragen hast, dann ist dies natürlich ok.

Ad-aware hat hier einen Bug - der schon im Build 181 vorhanden war.
Vielleicht wird ja dieser Bug mit einer der angekündigten nächsten Version behoben.

Antwort

Themen zu unlösbarer Hijacker
adobe, avg, bho, browser, cs3, entfernen, excel, explorer, fritz!, google, hijackthis, index, internet, internet explorer, launch, logfile, mozilla, neu, nvcpl.dll, officejet, programme, proxy, rundll, scan, server, shortcut, software, system, tcpip, temp, unknown file in winsock lsp, urlsearchhook, windows, windows xp



Ähnliche Themen: unlösbarer Hijacker


  1. Hijacker deaktivier Taskmanager und Registry-Editor - Hijacker nicht entfernbar
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (2)
  2. Tr/Hijacker.Gen
    Log-Analyse und Auswertung - 01.05.2009 (1)
  3. Hijacker
    Log-Analyse und Auswertung - 01.02.2009 (0)
  4. Hijacker Log
    Mülltonne - 30.06.2008 (0)
  5. IE Hijacker.. :(
    Mülltonne - 06.11.2007 (0)
  6. HJT-Log - wo ist der Hijacker?
    Log-Analyse und Auswertung - 24.08.2005 (16)
  7. ATI isn Hijacker?
    Log-Analyse und Auswertung - 04.03.2005 (4)
  8. Ist das ein Hijacker ?
    Log-Analyse und Auswertung - 02.12.2004 (1)
  9. Hijacker auf PC
    Log-Analyse und Auswertung - 05.11.2004 (11)
  10. Hijacker?
    Log-Analyse und Auswertung - 30.10.2004 (10)
  11. need help -Hijacker
    Log-Analyse und Auswertung - 13.09.2004 (11)
  12. Hijacker
    Log-Analyse und Auswertung - 02.07.2004 (5)
  13. Hijacker
    Log-Analyse und Auswertung - 30.06.2004 (1)
  14. Hijacker?
    Log-Analyse und Auswertung - 29.06.2004 (2)
  15. Hijacker
    Log-Analyse und Auswertung - 28.06.2004 (1)
  16. Hijacker
    Log-Analyse und Auswertung - 27.06.2004 (3)
  17. Hijacker????
    Log-Analyse und Auswertung - 21.06.2004 (2)

Zum Thema unlösbarer Hijacker - Ich habe folgendes Prob. Beim Scan mit Adaware wird immer folgender Hijacker gefunden und entfernt. Nach dem Entfernen kann ich sofort neu Scannen und er ist wieder da. Vendor:Possible Browser - unlösbarer Hijacker...
Archiv
Du betrachtest: unlösbarer Hijacker auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.