Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hijacked

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 20.09.2009, 03:29   #1
chris68
 
Hijacked - Standard

Hijacked



Hallo,

die Internetverlinkungen funktionieren nicht mehr, ich werde immer auch zwei spezielle Seiten geleitet. Ich benutzte Windows XP und Firefox. Vielen Dank vorab. Hier mein Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:19:28, on 20.09.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\windows\System32\nvsvc32.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Ask & Record Toolbar\FLVSrvc.exe
C:\windows\System32\rundll32.exe
C:\windows\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
F:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
F:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
F:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Ask and Record FLV Service] "C:\Programme\Ask & Record Toolbar\FLVSrvc.exe" /run
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\windows\system32\autochk.dll,_IWMPEvents@0
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "F:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [autochk] rundll32.exe C:\DOKUME~1\eier\protect.dll,_IWMPEvents@0
O4 - HKCU\..\Run: [SUPERAntiSpyware] F:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Corel Network monitor worker - {B4CACDBA-BC13-4CF5-B500-8A180A3151AC} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {B4CACDBA-BC13-4CF5-B500-8A180A3151AC} - (no file) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1024_EN_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7AAD658-18D2-4606-B2C4-337F377DF60B}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll (file missing)
O20 - Winlogon Notify: !SASWinLogon - F:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASKUpgrade - Unknown owner - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\windows\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\System32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7042 bytes

Alt 20.09.2009, 12:35   #2
handball10
/// Helfer-Team
 
Hijacked - Standard

Hijacked



Hi chris68 und


Code:
ATTFilter
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
         
Dein System stammt aus der Urzeit.
Mittlerweile gibt es ServicePack 3 und IE 8.

Ein Teil der Schädlinge sitzt hier
Code:
ATTFilter
O4 - HKCU\..\Run: [autochk] rundll32.exe C:\DOKUME~1\eier\protect.dll,_IWMPEvents@0
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\windows\system32\autochk.dll,_IWMPEvents@0
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
         
Jedoch vermute ich hinter deinem PC noch viel mehr.

Für dich geht es mit einem derart gepatchen System hier weiter:
http://www.trojaner-board.de/51262-a...sicherung.html

Deshalb, weil in jedem Moment in einem solch ungesicherten system sich neue Schädlinge einnisten können.

Nur, um mal zu sehen, was denn dort alles drauf ist:
http://www.trojaner-board.de/51187-a...i-malware.html

Vollscan und anschließend Logfile posten.

Danach: Neuaufsetzen.

Viel Erfolg!

Gruß
Handball10
__________________

__________________

Alt 23.09.2009, 22:07   #3
chris68
 
Hijacked - Standard

Hijacked



Hy handball10,

ich benutze nicht I.E. sondern Firefox 3.5.3.

hier der Bericht von Malwarebytes:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2851
Windows 5.1.2600 Service Pack 1

23.09.2009 22:02:15
mbam-log-2009-09-23 (22-02-07).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 153289
Laufzeit: 46 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\autochk.dll (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Gemeinsame Dateien\TSUninstall (Rogue.TotalSecurity) -> No action taken.

Infizierte Dateien:
C:\Programme\TS\tsc.exe (Trojan.FraudPack) -> No action taken.
C:\Programme\Gemeinsame Dateien\TSUninstall\Uninstall.lnk (Rogue.TotalSecurity) -> No action taken.
C:\Dokumente und Einstellungen\eier\Startmenü\Programme\Autostart\ChkDisk.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\eier\Startmenü\Programme\Autostart\ChkDisk.lnk (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\autochk.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\nsrbgxod.bak (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\eier\protect.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\protect.dll (Trojan.Agent) -> No action taken.
__________________

Antwort

Themen zu Hijacked
adobe, antivir, antivir guard, ask toolbar, avira, computer, desktop, downloader, explorer, funktionieren nicht, google, hijack, hijackthis, hkus\s-1-5-18, internet explorer, logfile, malwarebytes anti-malware, malwarebytes' anti-malware, monitor, mozilla, mozilla thunderbird, nvidia, photoshop, pop-up-blocker, rundll, seiten, software, spyware, spyware terminator, superantispyware, system, verlinkungen, windows, windows xp



Ähnliche Themen: Hijacked


  1. Firefox Hijacked durch Sweet.Pages
    Plagegeister aller Art und deren Bekämpfung - 04.06.2014 (4)
  2. Browser hijacked by do-Search
    Log-Analyse und Auswertung - 22.12.2013 (28)
  3. search.b1.org Suchmaschine / Hijacked?
    Log-Analyse und Auswertung - 27.04.2013 (9)
  4. Browser ge-hijacked (Logfile Auswertung ist vorhanden)
    Log-Analyse und Auswertung - 23.10.2012 (2)
  5. Opera Hijacked|Google Suche wird umgeleitet
    Log-Analyse und Auswertung - 12.02.2009 (0)
  6. Browser hijacked und Explorer startet nicht
    Log-Analyse und Auswertung - 29.12.2008 (2)
  7. Browser Hijacked
    Log-Analyse und Auswertung - 07.09.2008 (0)
  8. Hijacked im WLAN, Cafe Spots
    Plagegeister aller Art und deren Bekämpfung - 07.09.2007 (2)
  9. Hijacked Internet Access - Helft mir, bitte!
    Log-Analyse und Auswertung - 22.05.2006 (2)
  10. Ich bin ge-hijacked - bin jetzt am Ende
    Log-Analyse und Auswertung - 24.08.2005 (8)
  11. First Homepage? Hijacked???
    Log-Analyse und Auswertung - 12.06.2005 (2)
  12. Browser hijacked
    Log-Analyse und Auswertung - 08.05.2005 (1)
  13. hijacked by Worm/Padodor.Am.2
    Log-Analyse und Auswertung - 31.01.2005 (1)
  14. O10 - Hijacked Internet access by New.Net
    Log-Analyse und Auswertung - 03.01.2005 (3)
  15. O10 - Hijacked Internet access by New.Net
    Plagegeister aller Art und deren Bekämpfung - 28.12.2004 (1)
  16. Probs aufm Rechner (hijacked???)
    Plagegeister aller Art und deren Bekämpfung - 15.10.2004 (4)
  17. hijacked? dialer? BITTE HELFEN!!
    Log-Analyse und Auswertung - 21.06.2004 (1)

Zum Thema Hijacked - Hallo, die Internetverlinkungen funktionieren nicht mehr, ich werde immer auch zwei spezielle Seiten geleitet. Ich benutzte Windows XP und Firefox. Vielen Dank vorab. Hier mein Logfile: Logfile of Trend Micro - Hijacked...
Archiv
Du betrachtest: Hijacked auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.