Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hijacking auf www.sodhell.com - HILFE!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 03.09.2004, 18:32   #1
ASD1974
 
Hijacking auf www.sodhell.com - HILFE! - Standard

Hijacking auf www.sodhell.com - HILFE!



Hallo!

Ich habe gestern abend XP neu aufgesetzt und prompt einen Wurm gehabt und anscheinend auch noch anderes Viehzeug. Ich war nur onlinge gegangen, um Updates für XP und Norton-AV zu holen.

Ich werde nun unregelmäßig auf www.sodhell.com/tool2.html entführt. Mit Spybot und Adaware habe ich einiges gefunden und entfernt, bisher ist das Browser-Napping auch nicht wieder aufgetaucht.

Kann mir einer von Euch bitte sagen, ob er was Auffälliges im LogFile sieht? Und was kann ich dagegen tun?

Noch was seltsames: Ich wollte die Toolbar von MSN runterladen (wegen Popup-Blocker), aber wenn ich auf Download klicke, passiert nichts.

Vielen Dank für Eure Hilfe schon mal im voraus!
ASD



Logfile of HijackThis v1.98.2
Scan saved at 19:22:26, on 03.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\gsicon.exe
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\System32\msm32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Dokumente und Einstellungen\MAD\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\AAR 6.0.1\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy 1.3\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [GSICONEXE] gsicon.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [Microsoft Protection Subsystems] msm32.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [Microsoft Protection Subsystems] msm32.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094215715109

Alt 03.09.2004, 18:46   #2
ASD1974
 
Hijacking auf www.sodhell.com - HILFE! - Standard

Hijacking auf www.sodhell.com - HILFE!



Laut der automatischen Auswertung von HijackThis ist das Teil msm32.exe verdächtig.

Das habe ich auch im Auge, weil ich es nicht zuordnen kann. Außerdem hatte es wehement versucht, online zu gehen ... wurde von Kerio Firewall davon abgehalten.
__________________


Alt 03.09.2004, 18:51   #3
Shadowdance
 
Hijacking auf www.sodhell.com - HILFE! - Standard

Hijacking auf www.sodhell.com - HILFE!



Hallo ASD1974,

führe bitte einen eScan auf Deinem Rechner durch, entsprechend der Anleitung in diesem Thread: http://www.trojaner-board.de/showthread.php?t=6083

Teile uns bitte das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt.

Poste dananch bitte ein neues Logfile mit Hijack This.

SD
__________________

Alt 03.09.2004, 19:10   #4
ASD1974
 
Hijacking auf www.sodhell.com - HILFE! - Standard

Hijacking auf www.sodhell.com - HILFE!



Ich habe das eScan runtergeladen, aber kann es nicht in C:ßbases entpacken, weil es eScan gleich startet, wenn ich auf die Zip klicke. Die packt sich selbst aus, aber ich kann nicht wählen wohin.

Alt 03.09.2004, 19:55   #5
Lutz
 

Hijacking auf www.sodhell.com - HILFE! - Standard

Hijacking auf www.sodhell.com - HILFE!



Zitat:
Zitat von ASD1974
Ich habe das eScan runtergeladen, aber kann es nicht in C:ßbases entpacken, weil es eScan gleich startet, wenn ich auf die Zip klicke. Die packt sich selbst aus, aber ich kann nicht wählen wohin.
Moin,
du musst mit WinZip (oder vergleichbar) die Datei mit der rechten Maustaste anklicken und dann im Menü 'extrahieren nach' *1 auswählen und dort den Pfad C:\bases angeben.

*1 Je nach Zip-Tool kann der Befehl im Kontextmenü namentlich leicht abweichen. Aber wichtig ist, die Datei mit der rechten Maustaste anzuklicken...

__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 03.09.2004, 20:04   #6
ASD1974
 
Hijacking auf www.sodhell.com - HILFE! - Standard

Hijacking auf www.sodhell.com - HILFE!



Ja, sorry, habe noch kaum was installiert. War mir dann auch eingefallen, daß ich erst mal ein Packproggi brauche.

Ergebnis eScan:
83 Viren gefunden, nichts gelöscht, nur alle 83 umbenannt.
Einer war dies: C:\WINDOWS\system32\msm32.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
Alle anderen 82 waren: C:\Programme\Norton AntiVirus\Quarantine\... .exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.

Das ... da steht für viele Zahlenkombinationen, immer 8 Zahlen oder Buchstaben, meist mit 7 beginnend.

Komisch, Norton hat nichts gemeldet.

Mache nun nochmal Hijack.

Alt 03.09.2004, 20:08   #7
ASD1974
 
Hijacking auf www.sodhell.com - HILFE! - Standard

Hijacking auf www.sodhell.com - HILFE!



Hijack sagt nun dies:

Logfile of HijackThis v1.98.2
Scan saved at 21:05:14, on 03.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\gsicon.exe
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\DOKUME~1\MAD\LOKALE~1\Temp\~AceTemp\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\AAR 6.0.1\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy 1.3\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [GSICONEXE] gsicon.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094215715109



Bei der automatischen Auswertung war nun alles grün und okay.

Ist der Kram nun weg oder dümpelt das Zeug immer noch auf'm PC? Wie kriege ich es ganz weg, wenn's noch da ist?

Alt 03.09.2004, 20:09   #8
Lutz
 

Hijacking auf www.sodhell.com - HILFE! - Standard

Hijacking auf www.sodhell.com - HILFE!



Zitat:
Ergebnis eScan:
83 Viren gefunden, nichts gelöscht, nur alle 83 umbenannt.
Einer war dies: C:\WINDOWS\system32\msm32.exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
Hast Du eScan denn im abgesicherten Modus des Betriebssystem laufen lassen? Auf jeden Fall musst Du noch die umbenannte Datei löschen, auch wenn sie so aktuell keinen Schaden mehr anrichten kann.

Zitat:
Alle anderen 82 waren: C:\Programme\Norton AntiVirus\Quarantine\... .exe infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed.
Wenn alle anderen 82 Dateien in diesem Verzeichnis waren, dann hat Norton diese immerhin entdeckt gehabt. Das ist nämlich das Quarantäne-Verzeichnis des Virenscanners. Diesen Ordner kannst (solltest) Du leeren, nicht löschen.

Nach dem neuen Log von HijackThis sehen wir weiter...
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 03.09.2004, 20:12   #9
Lutz
 

Hijacking auf www.sodhell.com - HILFE! - Standard

Hijacking auf www.sodhell.com - HILFE!



Da ist es ja schon - das Log.
Ich sehe nichts auffälliges mehr.

Du solltest Dich aber langsam an den Gedanken gewöhnen, das Service-Pack 2 für XP zu installieren. Gibt es im Moment auf fast jeder Computer-Heft-CD...

Außerdem lege ich Dir einen anderen Browser ans Herz. Näheres dazu und noch viel mehr findest Du im ersten Link in meiner Signatur
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 03.09.2004, 20:14   #10
ASD1974
 
Hijacking auf www.sodhell.com - HILFE! - Standard

Hijacking auf www.sodhell.com - HILFE!



Ja, habe es im abgesicherten Modus gemacht.

Wo finde ich die umbenannten Dateien, damit ich sie löschen kann.

Was meinst Du mit leeren? Norton öffenen, in Quarantäne gehen und da was leeren?

Ich meinte: Norton hatte keine Meldung gemacht, daß was gefunden worden ist.

Alt 03.09.2004, 20:16   #11
ASD1974
 
Hijacking auf www.sodhell.com - HILFE! - Standard

Hijacking auf www.sodhell.com - HILFE!



Das SP2 war ja der Grudn für mein Übel ... ich hab's drauf gemacht, danach lief nichts mehr wirklich rund. Da wollte ich den PC frisch und neu machen, aber kaum daß ich online ging, um XP-Updates und Norton-Updates zu machen, da kamen die Virenviecher ... erst W32.Spybot.Worm und nun dieser Kram.

Hast Du eine Idee, wie ich den PC neu machen und updaten kann, ohne gleich verseucht zu werden?

Alt 03.09.2004, 20:19   #12
Lutz
 

Hijacking auf www.sodhell.com - HILFE! - Standard

Hijacking auf www.sodhell.com - HILFE!



Zitat:
Zitat von ASD1974
Ja, habe es im abgesicherten Modus gemacht.
OK, ich wunderte mich nur, dass die Datei nicht entfernt wurde.

Zitat:
Zitat von ASD1974
Wo finde ich die umbenannten Dateien, damit ich sie löschen kann.
Die Datei befindet sich noch an gleicher Stelle, also C:\WINDOWS\system32\ und heißt jetzt msm32.exe.mwt (oder ähnlich).

Zitat:
Zitat von ASD1974
Was meinst Du mit leeren? Norton öffenen, in Quarantäne gehen und da was leeren?
Am einfachsten ist es, wenn Du mit dem Windows Explorer in das Verzeichnis C:\Programme\Norton AntiVirus\Quarantine\ gehst und dort alle Dateien löscht.

Zitat:
Zitat von ASD1974
Ich meinte: Norton hatte keine Meldung gemacht, daß was gefunden worden ist.
Schon komisch... Hat evtl. jemand anderes Zugang zum Rechner und könnte sich in deiner Abwesenheit 'infiziert' haben, so dass Du die Meldungen nicht gesehen hast?
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 03.09.2004, 20:23   #13
ASD1974
 
Hijacking auf www.sodhell.com - HILFE! - Standard

Hijacking auf www.sodhell.com - HILFE!



Okay, werde das mit dem Löschen gleich in Angriff nehmen.

Nein, da kann kein anderer dran gewesen sein. Ich war die ganze Zeit alleine. Hmm, ich war nicht permanent am PC, aber dennoch hätte ja, wenn ich zurück war, die Norton-Fehlermeldung da sein müssen.

Alt 03.09.2004, 20:24   #14
*Christian*
Gast
 
Hijacking auf www.sodhell.com - HILFE! - Standard

Hijacking auf www.sodhell.com - HILFE!



Ganz einfach:
Norton wird wieder mal einen Schädling nicht erkannt haben ...

Alt 03.09.2004, 20:25   #15
Lutz
 

Hijacking auf www.sodhell.com - HILFE! - Standard

Hijacking auf www.sodhell.com - HILFE!



Ich habe bisher noch keine schlechten Erfahrungen mit dem SP2 gemacht, allerdings habe ich bisher auch 'nur' 4 oder 5 Rechner damit beglückt.

Nach einer frischen Installation von XP solltest Du die integrierte Firewall zumindest vorrübergehend aktivieren und unnötige Dienste deaktiveren (s. zum Beispiel -> http://www.dingens.org/ bevor Du das erstemal online gehst...
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Antwort

Themen zu Hijacking auf www.sodhell.com - HILFE!
.html, antivirus, bho, download, einstellungen, explorer, firewall, hijack, hijackthis, hilfe, internet, internet explorer, logfile, microsoft, monitor, msn, neu, neu aufgesetzt, programme, software, symantec, system, temp, updates, windows, windows xp, wurm



Ähnliche Themen: Hijacking auf www.sodhell.com - HILFE!


  1. hijacking
    Log-Analyse und Auswertung - 23.04.2006 (1)
  2. Bizarres Hijacking! Hilfe!!!!!
    Log-Analyse und Auswertung - 21.08.2005 (11)
  3. Browser Hijacking - Hilfe benötigt +LogFile
    Log-Analyse und Auswertung - 19.04.2005 (8)
  4. Hijacking
    Log-Analyse und Auswertung - 11.01.2005 (3)
  5. Browser-Hijacking
    Log-Analyse und Auswertung - 03.01.2005 (1)
  6. Hilfe bei Hijacking
    Log-Analyse und Auswertung - 09.11.2004 (8)
  7. Browser Hijacking?
    Plagegeister aller Art und deren Bekämpfung - 18.09.2004 (4)
  8. Hijacking nach sodhell.com
    Log-Analyse und Auswertung - 14.09.2004 (1)
  9. browser hijacking
    Log-Analyse und Auswertung - 07.09.2004 (1)
  10. Browser Hijacking
    Log-Analyse und Auswertung - 18.08.2004 (1)
  11. Common Hijacking
    Log-Analyse und Auswertung - 13.08.2004 (1)
  12. Hilfe gesucht! Bring ein Hijacking-Programm nicht los
    Log-Analyse und Auswertung - 13.08.2004 (3)
  13. Hilfe !!! Startseite Hijacking
    Log-Analyse und Auswertung - 26.06.2004 (2)
  14. HILFE!!!! TROJANER, STARTSEITE, HIJACKING
    Log-Analyse und Auswertung - 26.06.2004 (10)
  15. Browser Hijacking
    Plagegeister aller Art und deren Bekämpfung - 07.06.2004 (21)
  16. IE6 hijacking
    Plagegeister aller Art und deren Bekämpfung - 05.05.2004 (17)
  17. Browser Hijacking
    Plagegeister aller Art und deren Bekämpfung - 21.03.2004 (1)

Zum Thema Hijacking auf www.sodhell.com - HILFE! - Hallo! Ich habe gestern abend XP neu aufgesetzt und prompt einen Wurm gehabt und anscheinend auch noch anderes Viehzeug. Ich war nur onlinge gegangen, um Updates für XP und Norton-AV - Hijacking auf www.sodhell.com - HILFE!...
Archiv
Du betrachtest: Hijacking auf www.sodhell.com - HILFE! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.