Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Help!!!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 31.10.2004, 11:42   #1
TOPACES
 
Help!!! - Ausrufezeichen

Help!!!



Hilfe!! Ich hate schon vor einem Jahr erste Hijacker auf meinem System und konnte mir mit hilfe eurer Forumeinträge und HijackThis auch immer ganz gut helfen, bis ich einen Hijacker vor einiger Zeit nicht mehr entfernen konnte und formatieren musste. Denke das war in der Situation das effizienteste, aber wie auch immer: Jetzt, etwa ezwei Wochen nach der Neuinstallation habe ich wieder einen Hijacker, den ich nicht loswerde und auch nicht benennen kann. Die Adresse der Startseite wird nämlich als "about:blank" angegeben, was mir ein absolutes Rätsel ist. Schon beängstigend, welche Tricks die sich einfallen lassen. Auf jeden Fall bitte ich Euch, mir zu helfen.

Hier mein HijackThis-Log:

Logfile of HijackThis v1.98.2
Scan saved at 12:23:41, on 31.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
D:\PROGRA~1\ZONELA~1\ZoneAlarm\zapro.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
D:\Programme\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\T-Eumex\ISDN Guard\agfguard.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\TOPACES\LOKALE~1\Temp\Rar$EX01.109\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FE6E4E3F-6F94-4CB8-9192-315748F00210} - C:\WINDOWS\System32\ciejga.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [YAW starten] "D:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ICQ 4.1.lnk = C:\Programme\ICQLite\ICQLite.exe
O4 - Global Startup: ISDN Guard.lnk = C:\Programme\T-Eumex\ISDN Guard\agfguard.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/dia125/online.chm::/on-line.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv128/x.chm::/load.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{08FFD902-00D0-464E-B7F3-CAE841A536DC}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{08FFD902-00D0-464E-B7F3-CAE841A536DC}: NameServer = 62.104.191.241 62.104.196.134
O18 - Filter: text/html - {1448208A-E035-4560-8D67-247D84ECBCBD} - C:\WINDOWS\System32\ciejga.dll
O18 - Filter: text/plain - {1448208A-E035-4560-8D67-247D84ECBCBD} - C:\WINDOWS\System32\ciejga.dll

Alt 31.10.2004, 11:48   #2
eva
 
Help!!! - Standard

Help!!!



wenn dein neu-aufsetzen eh erst 2 wochen her ist, dann würd ich das am besten nochmals machen (da kann ja noch nicht sehr viel seither verloren gehen), diesmal aber vorm ersten besuch im internet schon mal windows patchen (vielleicht vorher auf einem sauberen system alle updates und evtl. firewall und antivirenprog. brennen), und dann erst ins internet, von einer vorherigen datensicherung nur soviel mitnehmen, was absolut sauber und wichtig ist.
danach surfverhalten überdenken, anderen browser als IE benützen, .....etc., etc.
__________________


Alt 31.10.2004, 11:54   #3
cacatoa
 
Help!!! - Standard

Help!!!



Die folgenden im abgesicherten Modus fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Anschließend folgende Datei löschen:
C:\WINDOWS\web\related.htm

Wenn dir nicht bekannt, dann diese ebenfalls fixen und die Dateien in C:\ ebenfalls löschen.
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/dia125/online.chm::/on-line .exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv128/x.chm::/load. exe

In jedem Fall einen eScan durchführen.
Anschließend Ergebnis und neues HJT Logfile posten.
cacatoa
__________________
__________________

Antwort

Themen zu Help!!!
adobe, antivirus, bho, dateien, dll, entfernen, excel, explorer, formatieren, help, hijackthis, hilfe, hilfe!!, internet, internet explorer, meinem, microsoft, nvcpl.dll, programme, rundll, security, security center, software, starten, symantec, system, tcpip, temp, träge, windows, windows xp



Zum Thema Help!!! - Hilfe!! Ich hate schon vor einem Jahr erste Hijacker auf meinem System und konnte mir mit hilfe eurer Forumeinträge und HijackThis auch immer ganz gut helfen, bis ich einen Hijacker - Help!!!...
Archiv
Du betrachtest: Help!!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.