Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Irgendwas lädt immer wieder nach / HiJack-Log

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 19.09.2004, 00:57   #1
TomRohwer
 
Irgendwas lädt immer wieder nach / HiJack-Log - Standard

Irgendwas lädt immer wieder nach / HiJack-Log



Ich dachte schon, ich hätte alle Schädlinge gekillt, die vorgestern den Norton AV überrollt haben, aber irgendwas lädt doch immer noch wieder nach.

Mag mal jemand, der mehr davon versteht, einen Blick auf das HiJack-Log werfen:

Logfile of HijackThis v1.98.2
Scan saved at 00:44:59, on 19.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\Ati2evxx.exe
D:\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\carpserv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
D:\FritzDSL\Awatch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\AVPersonal\AVGNT.EXE
C:\Programme\frnDSL\frnDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\winzip\winzip32.exe
C:\DOKUME~1\TOMROH~1\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINNT\localNRD.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\AdobeReader6\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AWatch] d:\FritzDSL\Awatch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [rumfbczdn] C:\WINNT\system32\jfuyqa.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [Caut] C:\Dokumente und Einstellungen\TomRohwer\Anwendungsdaten\o?gqn.exe
O4 - HKCU\..\Run: [sysinit] C:\WINNT\system32\golumm\services.exe
O8 - Extra context menu item: &NeoTrace It! - D:\NEOTRA~1\NTXcontext.htm
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{16F77821-1F30-437E-9242-36476B5E770C}: NameServer = 194.97.173.124 194.97.173.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{723067AC-7524-42AF-BA0D-4F884980042D}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{16F77821-1F30-437E-9242-36476B5E770C}: NameServer = 194.97.173.124 194.97.173.125
O18 - Filter: text/html - {6A1232EA-F97F-4585-B258-42E96FAF0BBA} - C:\WINNT\system32\bhjc.dll
O18 - Filter: text/plain - {6A1232EA-F97F-4585-B258-42E96FAF0BBA} - C:\WINNT\system32\bhjc.dll

Alt 19.09.2004, 01:06   #2
*Christian*
Gast
 
Irgendwas lädt immer wieder nach / HiJack-Log - Standard

Irgendwas lädt immer wieder nach / HiJack-Log



Fixe mit HijackThis dies:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINNT\localNRD.dll
O4 - HKLM\..\Run: [rumfbczdn] C:\WINNT\system32\jfuyqa.exe
- HKCU\..\Run: [sysinit] C:\WINNT\system32\golumm\services.exe
O4 - HKCU\..\Run: [Caut] C:\Dokumente und Einstellungen\TomRohwer\Anwendungsdaten\o?gqn.exe
O18 - Filter: text/html - {6A1232EA-F97F-4585-B258-42E96FAF0BBA} - C:\WINNT\system32\bhjc.dll
O18 - Filter: text/plain - {6A1232EA-F97F-4585-B258-42E96FAF0BBA} - C:\WINNT\system32\bhjc.dll

Anschließend lösche diese Dateien - sofern vorhanden - im abg. Modus:
C:\WINNT\localNRD.dll
C:\WINNT\system32\jfuyqa.exe
C:\WINNT\system32\golumm\services.exe
Dokumente und Einstellungen\TomRohwer\Anwendungsdaten\o?gqn.exe
C:\WINNT\system32\bhjc.dll
__________________


Alt 19.09.2004, 01:15   #3
TomRohwer
 
Irgendwas lädt immer wieder nach / HiJack-Log - Standard

Irgendwas lädt immer wieder nach / HiJack-Log



Besten Dank für die schnelle nächtliche Reaktion!

C:\WINNT\system32\jfuyqa.exe
C:\WINNT\system32\golumm\services.exe
Dokumente und Einstellungen\TomRohwer\Anwendungsdaten\o?gqn.exe

hatte ich schon gelöscht, weil von Anti-Virus (oder AdAware) gefunden. Aber die beiden DLLs sind durchgerutscht.

Noch eine Frage neugierhalber:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

Mir ist vor längerem schon aufgefallen, daß AdAware es als "Browser Hijack" interpretiert, wenn man im I.E. eine leere Startseite einstellt... Diese Schlüssel verweisen doch eigentlich nur auf die leere Startseite, oder?
__________________

Alt 19.09.2004, 01:38   #4
*Christian*
Gast
 
Irgendwas lädt immer wieder nach / HiJack-Log - Standard

Irgendwas lädt immer wieder nach / HiJack-Log



Richtig!
Es gibt aber auch about:blank-Hijacker.

Alt 19.09.2004, 01:51   #5
TomRohwer
 
Irgendwas lädt immer wieder nach / HiJack-Log - Standard

Irgendwas lädt immer wieder nach / HiJack-Log



Da war eScan jetzt ohnehin schneller als ich... Bin mal gespannt, ob es das jetzt war. AntiVir hat gestern noch einen Bootsektor gefunden, den es nicht kannte. (Ist an H+BEDV weitergereicht, mal sehen, ob die da was drin finden...)


Alt 20.09.2004, 10:06   #6
TomRohwer
 
Irgendwas lädt immer wieder nach / HiJack-Log - Standard

Irgendwas lädt immer wieder nach / HiJack-Log



Jetzt schlägt's echt dreizehn...

Nachdem ich gestern noch dachte, das System bereinigt zu haben, tauchen heute zwei Dateien auf, die laut Sophos Trojaner bzw. Scam sind, aber weder von Escan noch von AntiVir noch von AdAware beanstandet werden...

gamma.exe -> laut Sophos Troj/Ataka-E, allerdings hat er weder den Registry-Schlüssel noch die bei Sophos angeführten Co-Dateien. Liegt allein unter ~Dokumente/Einstellungen/Username/gamma.exe bzw. ~.../ticket.exe

ticket.exe -> dazu verweist Sophos auf Scam. Liegt ebenfalls unter ~Dokumente/Einstellungen/Username/ticket.exe

Registry-Schlüssel finden sich für beide nicht (mit regedit),

Logfile of HijackThis v1.98.2
Scan saved at 10:06:14, on 20.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\Ati2evxx.exe
D:\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\carpserv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
D:\FritzDSL\Awatch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\AVPersonal\AVGNT.EXE
C:\Programme\frnDSL\frnDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\system32\ntvdm.exe
C:\BASES\MWAVSCAN.COM
C:\BASES\kavss.exe
C:\Dokumente und Einstellungen\TomRohwer\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\AdobeReader6\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AWatch] d:\FritzDSL\Awatch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\AVPersonal\AVGNT.EXE" /min
O8 - Extra context menu item: &NeoTrace It! - D:\NEOTRA~1\NTXcontext.htm
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{16F77821-1F30-437E-9242-36476B5E770C}: NameServer = 194.97.173.125 194.97.173.124
O17 - HKLM\System\CCS\Services\Tcpip\..\{723067AC-7524-42AF-BA0D-4F884980042D}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{16F77821-1F30-437E-9242-36476B5E770C}: NameServer = 194.97.173.125 194.97.173.124

Alt 20.09.2004, 18:07   #7
*Christian*
Gast
 
Irgendwas lädt immer wieder nach / HiJack-Log - Standard

Irgendwas lädt immer wieder nach / HiJack-Log



Im Log sehe ich nichts, aber du kannst die Dateien mal an partytime-germany.ice@web.de schicken.

Antwort

Themen zu Irgendwas lädt immer wieder nach / HiJack-Log
about, bho, bla, dateien, drivers, einstellungen, explorer, filter, hijackthis, home, ics, immer wieder, internet, internet explorer, lädt, microsoft, norton, programme, schädlinge, software, start, symantec, system, system32, tcpip, temp, update, urlsearchhook, windows



Ähnliche Themen: Irgendwas lädt immer wieder nach / HiJack-Log


  1. Proxy stellt sich immer auf 127.0.0.1:9880 nach hijack durch websearches
    Log-Analyse und Auswertung - 08.11.2014 (11)
  2. Windows 7 , PC stürzt immer wieder ab, nach säuberung mit Vipre immer noch viele verdächtig Datein im Autorun
    Log-Analyse und Auswertung - 15.01.2014 (12)
  3. Computer lädt dauerhaft irgendwas herunter!
    Plagegeister aller Art und deren Bekämpfung - 10.08.2013 (9)
  4. Plagegeist kommt nach PC neuaufsetzung immer wieder
    Plagegeister aller Art und deren Bekämpfung - 11.06.2013 (14)
  5. Hijack Protokoll Irgendwas stimmt nicht
    Log-Analyse und Auswertung - 13.03.2013 (3)
  6. Pc friert nach unterschiedlicher Zeit immer wieder ein
    Netzwerk und Hardware - 22.11.2012 (5)
  7. Windows Explorer stürzt bei pc start immer wieder ab und lädt sich neu
    Plagegeister aller Art und deren Bekämpfung - 12.04.2012 (1)
  8. Bitte um HiJack-Logfile Auswertung - AntiVir findet Trojaner der immer wieder kommt
    Log-Analyse und Auswertung - 23.07.2010 (1)
  9. Trojaner kommt nach PC strart immer wieder!
    Log-Analyse und Auswertung - 09.04.2009 (4)
  10. TR/Hijack.AE.2 -Meldung kommt immer wieder
    Log-Analyse und Auswertung - 29.01.2009 (0)
  11. PC zeigt immer wieder bluescreen und Fehlermeldungen -> Hijack
    Log-Analyse und Auswertung - 19.08.2008 (1)
  12. VIRUS kommt nach löschen immer wieder
    Plagegeister aller Art und deren Bekämpfung - 26.05.2008 (12)
  13. Wurm/Virus nach formatierung immer wieder da!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2007 (2)
  14. Immer noch Pop-Ups nach Hijack und Norton
    Log-Analyse und Auswertung - 23.03.2006 (8)
  15. Pc stützt immer wieder nach 5 min einfach ab!
    Log-Analyse und Auswertung - 04.12.2005 (2)
  16. Virus nach Formatieren immer wieder da!
    Log-Analyse und Auswertung - 09.11.2005 (3)
  17. Explorer.exe stürzt nach 5 sek immer wieder ab !
    Plagegeister aller Art und deren Bekämpfung - 10.07.2005 (5)

Zum Thema Irgendwas lädt immer wieder nach / HiJack-Log - Ich dachte schon, ich hätte alle Schädlinge gekillt, die vorgestern den Norton AV überrollt haben, aber irgendwas lädt doch immer noch wieder nach. Mag mal jemand, der mehr davon versteht, - Irgendwas lädt immer wieder nach / HiJack-Log...
Archiv
Du betrachtest: Irgendwas lädt immer wieder nach / HiJack-Log auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.