Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Browser-Hijacker

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 05.11.2004, 02:18   #1
Ronald
 
Browser-Hijacker - Standard

Browser-Hijacker



ich habe leider seit drei Tagen erhebliche Schwierigkeiten mit einem Browser-Hijacker der übelsten Sorte. Er läßt sich überhaupt nicht mehr löschen. Wenn man im Browser über Internetoptionen leere Seite eingibt und auf übernehmen geht, schließt und neu öffnet, ist er auch schon wieder da. Ich hatte ja bisher schon einige Viren, Trojaner und Hijacker auf meinen Rechner, aber der schlägt bisher alle mir bekannten. Habe bereits folgende Programme dagegen eingesetzt: Trojanchek 6, Spybot 1.3, McAfee Virenscanner, Hijack this, CWShredder, Spywareblaster, Ad-Aware und A2 StartCenter. Bisher leider alle ohne großen Erfolg. Also falls noch jemand eine gute Idee oder ein anderes Programm hat wäre ich für einen Tip sehr dankbar, bevor ich auf "format c" zurückgreifen muß. Es kommt immer wieder "h..p://a-search.biz/?wmid=1010"

Geändert von Ronald (05.11.2004 um 12:50 Uhr)

Alt 05.11.2004, 02:20   #2
Haui45
 
Browser-Hijacker - Standard

Browser-Hijacker



Poste doch bitte mal ein HijackThis Logfile
__________________


Alt 05.11.2004, 02:26   #3
Shadowdance
 
Browser-Hijacker - Standard

Browser-Hijacker



@ Ronald

nimm bitte die URL aus Deinem Posting.

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

Erstelle dann ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es mittels copy&paste.

SD
__________________

Alt 05.11.2004, 13:41   #4
Ronald
 
Browser-Hijacker - Standard

Browser-Hijacker



Vielen Dank erstmal vorab für die Hilfe. Hier sind die Scan-Ergebnisse von eScan:

File C:\WINNT\SYSTEM32\DRIVERS\MGMTCTSA.SYS infected by "Trojan.Win32.Zapchast" Virus. Action Taken: No Action Taken.

File C:\svchost.exe infected by "Trojan.Win32.StartPage.js" Virus. Action Taken: No Action Taken.

File C:\WINNT\SYSTEM32\DRIVERS\MGMTCTSA.SYS infected by "Trojan.Win32.Zapchast" Virus. Action Taken: No Action Taken.

File C:\WINNT\winrar.exe infected by "TrojanSpy.Win32.Conspy.e" Virus. Action Taken: No Action Taken.

File C:\WINNT\Web\win.def infected by "TrojanClicker.Win32.Qhost.a" Virus. Action Taken: No Action Taken.

File C:\WINNT\Web\tips.ini infected by "Trojan.JS.Zapchast.a" Virus. Action Taken: No Action Taken.

File C:\WINNT\waol.exe infected by "TrojanSpy.Win32.Conspy.e" Virus. Action Taken: No Action Taken.

File C:\WINNT\system32\xplugin.dll infected by "TrojanDownloader.Win32.Esepor.l" Virus. Action Taken: No Action Taken.

File C:\WINNT\system32\tmksrvu.exe infected by "TrojanDownloader.Win32.Esepor.l" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\u070104.exe infected by "TrojanDownloader.Win32.Small.fv" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\mscdne.dll infected by "TrojanClicker.Win32.Small.f" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\winlink\winlink.dll infected by "TrojanDownloader.Win32.WinShow.l" Virus. Action Taken: No Action Taken.

Bin mehr als erschrocken über dieses Scan-Ergebnis. Bekomme ich das überhaupt alles ohne Formatierung wieder raus ??

Alt 05.11.2004, 14:40   #5
Ronald
 
Browser-Hijacker - Standard

Browser-Hijacker



beim Scan über Ad-Aware SE bekomme ich immer wieder auch folgende Meldung:

POSSIBLE BROWSER HIJACK ATTEMPT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\aifind.info
obj[1]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\aifind.info "*"

ist nach dem löschen beim neuen Scan auch immer wieder zurück


Alt 05.11.2004, 16:22   #6
Shadowdance
 
Browser-Hijacker - Standard

Browser-Hijacker



@ Ronald,

Information zu diesen Trojanern bzw. den Familien zu denen sie gehören: Troj/Winshow-AL, TrojanDownloader.Win32.Esepor.i, TrojanSpy.Win32.Conspy.e, Troj/Qhosts-, Troj/Zapchas-.

Sie sind nicht so schlimm, dass Du unbedingt formatieren musst, es wäre aber besser. Du solltest die Malware zunächst vom System entfernen: von Hand löschen: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre].

Folgendes ist dabei vielleicht wichtig: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren.

Dies wäre zu überlegen: ein umfassender Rat - Cidre.

Erstelle bitte noch ein Hijack Thisl Logfile und poste es.

SD

Alt 05.11.2004, 16:49   #7
Shadowdance
 
Browser-Hijacker - Standard

Browser-Hijacker



@ Ronald,

bitte noch folgendes beachten: die infizierten Dateien müssen je nach Betriebssystem im abgesicherten Modus (VGA-Modus) und bei deaktivierter Systemwiederherstellung (Windows XP und ME) gelöscht werden.

SD

Alt 05.11.2004, 19:06   #8
Ronald
 
Browser-Hijacker - Standard

Browser-Hijacker



bis auf einen konnte ich die Einträge erfolgreich löschen. Es geht um den File C:\svchost.exe infected by "Trojan.Win32.StartPage.js" Virus. Action Taken: No Action Taken. Hängt leider nach dem ersten Löschversuch immer noch im C:\WINNT\system32. Dieser läßt sich auch im abgesicherten Modus nicht löschen weil Zugriff verweigert, Quelldatei möglicherweise geöffnet. Das scheint auch der Übeltäter zu sein, da ich nach wie vor im Browser den Link habe. Bei mir ist Win 2000 Prof. installiert.

Alt 05.11.2004, 20:41   #9
chaosman
 
Browser-Hijacker - Standard

Browser-Hijacker



@Ronald

bei hartneckige programme hilft amok delay
http://www.amok.am/
schau aber vorher nach ob es auch bei win 2000 geht.
chaosman
__________________
Bonus vir semper tiro

Alt 06.11.2004, 13:24   #10
Ronald
 
Browser-Hijacker - Standard

Browser-Hijacker



Habe das Programm installiert, traue mich aber nicht die Datei zu löschen da er anzeigt, das die Systemstabilität beeinträchtigt werden könnte wenn ich die Datei scchost.exe löschen würde.
Hier noch mein letztes Protokol von hijackthis:

F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\tv\EXPLBAR.DLL (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{26988C52-6F95-4511-8EEF-E283FFD91A1C}: NameServer = 192.168.100.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{26988C52-6F95-4511-8EEF-E283FFD91A1C}: NameServer = 192.168.100.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{26988C52-6F95-4511-8EEF-E283FFD91A1C}: NameServer = 192.168.100.100

Vor allem die erste Meldung kommt immer wieder (F2 - REG:system.ini: UserInit=Userinit.exe,) Da scheint das Problem mit drin zu sein.

Alt 06.11.2004, 17:39   #11
Shadowdance
 
Browser-Hijacker - Standard

Browser-Hijacker



@ Ronald

erstelle bitte ein komplettes Hijack This Logfile und poste es.

Überprüfe Deinen Rechner mit einem Online-Scan, lass bestehende Probleme beheben und teile uns das Ergebnis mit.

SD

Alt 08.11.2004, 16:26   #12
Ronald
 
Browser-Hijacker - Standard

Browser-Hijacker



Logfile of HijackThis v1.98.2
Scan saved at 17:22:40, on 08.11.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\WINNT\System32\CTSvcCDA.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\WINNT\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\PROGRA~1\GEMEIN~1\Nullsoft\ActiveX\AOLMed~1.exe
C:\Programme\SpeedCommander VII\SpeedCommander.exe
C:\unzipped\hijackthis\HijackThis.exe

F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{26988C52-6F95-4511-8EEF-E283FFD91A1C}: NameServer = 192.168.100.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDE3747E-A8ED-4F0F-B10A-0AA34E299B89}: NameServer = 205.188.146.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{26988C52-6F95-4511-8EEF-E283FFD91A1C}: NameServer = 192.168.100.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{26988C52-6F95-4511-8EEF-E283FFD91A1C}: NameServer = 192.168.100.100

hier ist das komplette Logfile.Der Online Scan hat nichts neues gebracht bzw nichts angezeigt.

Alt 08.11.2004, 22:15   #13
*Christian*
Gast
 
Browser-Hijacker - Standard

Browser-Hijacker



Log ist sauber.

www.windowsupdate.com besuchen und alle Updates und Patches installieren!

Alt 11.11.2004, 13:43   #14
Ronald
 
Browser-Hijacker - Standard

Browser-Hijacker



Leider habe ich den Mist immer noch auf dem Computer. Ad.Aware findet auch zwei Einträge.

ArchiveData(Hijacker01.bckp)
Referencefile : SE1R18 08.11.2004
======================================================

POSSIBLE BROWSER HIJACK ATTEMPT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Regkey : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\aifind.info
obj[1]=RegValue : Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\aifind.info "*"


Nach der Quarantäne und dem löschen sind diese beiden Einträge leider wieder zurück. Weiß wirklich nicht mehr weiter wie ich das von meinem System wieder runterbekommen könnte.

Antwort

Themen zu Browser-Hijacker
ad-aware, anderes, cwshredder, folge, folgende, format, hijack this, immer wieder, kommt immer wieder, mcafee, neu, nicht mehr, programme, rechner, scan, scanner, schlägt, seite, spybot, this, trojaner, viren, virenscan, virenscanner, wmid, öffnet



Ähnliche Themen: Browser-Hijacker


  1. Browser Hijacker? googleadservices.com
    Plagegeister aller Art und deren Bekämpfung - 20.09.2015 (9)
  2. Browser Hijacker trovi.com u.a.
    Log-Analyse und Auswertung - 21.02.2015 (25)
  3. Windows 7: Browser Hijacker
    Log-Analyse und Auswertung - 01.01.2015 (2)
  4. Browser Hijacker?
    Plagegeister aller Art und deren Bekämpfung - 19.11.2013 (17)
  5. qvo6 Hijacker-Browser?
    Plagegeister aller Art und deren Bekämpfung - 29.07.2013 (11)
  6. Qvo6 Browser-Hijacker
    Log-Analyse und Auswertung - 16.05.2013 (1)
  7. Browser Hijacker ?
    Plagegeister aller Art und deren Bekämpfung - 17.06.2007 (10)
  8. browser hijacker
    Mülltonne - 09.04.2007 (1)
  9. Adlogix Browser Hijacker
    Log-Analyse und Auswertung - 18.12.2006 (1)
  10. cws.loadadv.400 Browser Hijacker
    Plagegeister aller Art und deren Bekämpfung - 21.08.2006 (1)
  11. Browser Hijacker 9991.com
    Log-Analyse und Auswertung - 29.04.2006 (7)
  12. cws.loadadv.400 Browser Hijacker
    Plagegeister aller Art und deren Bekämpfung - 11.04.2006 (2)
  13. Browser Hijacker
    Log-Analyse und Auswertung - 31.01.2005 (3)
  14. was ist das?? browser hijacker??
    Log-Analyse und Auswertung - 09.11.2004 (2)
  15. Browser Übergreifender Hijacker ??
    Log-Analyse und Auswertung - 22.08.2004 (2)
  16. Browser Hijacker
    Log-Analyse und Auswertung - 30.06.2004 (5)
  17. Browser Hijacker Winproc32
    Plagegeister aller Art und deren Bekämpfung - 02.04.2004 (14)

Zum Thema Browser-Hijacker - ich habe leider seit drei Tagen erhebliche Schwierigkeiten mit einem Browser-Hijacker der übelsten Sorte. Er läßt sich überhaupt nicht mehr löschen. Wenn man im Browser über Internetoptionen leere Seite eingibt - Browser-Hijacker...
Archiv
Du betrachtest: Browser-Hijacker auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.