Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hilfe bei Hijacking

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 09.11.2004, 13:20   #1
tobis72
 
Hilfe bei Hijacking - Standard

Hilfe bei Hijacking



Hallo erstmal

Habe Probleme mit einem gejacktem Rechner. Hab die Logdatei schon automatisch auswerten lassen, bekomme aber einige unbekannte Einträge. Vielleicht könnt ihr was damit anfangen. Ich poste mal die Log und hoffe ihr könnt was damit anfangen. Ich habe die unbekannten Einträge mit drei Fragezeichen versehen (???). Vielen Dank im Vorraus!!!


Logfile of HijackThis v1.98.2
Scan saved at 09:47:02, on 09.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\d3zl32.exe <--- ???
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\McAfee\McAfee VirusScan\VsStat.exe
C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
C:\Programme\McAfee\McAfee VirusScan\Webscanx.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINNT\system32\ntsj.exe <---???
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programme\STB\PowerArchiver\POWERARC.EXE <---???
C:\DOKUME~1\LOCALS~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://npchj.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://npchj.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://npchj.dll/index.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.etlnet.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von ETL
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.63.152.1:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.63.152.1;<local>
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {5AEAA1A1-E1A4-6D25-2CDA-9CC2EFBD74E1} - C:\WINNT\system32\javazd32.dll <--- ???
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Alogserv] C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ntsj.exe] C:\WINNT\system32\ntsj.exe <---???
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O14 - IERESET.INF: START_PAGE_URL=http://www.etlnet.de
O15 - Trusted Zone: *.etl.de
O15 - Trusted Zone: *.etlnet.de
O15 - Trusted Zone: *.eurodata.de
O15 - Trusted Zone: *.office-online.redmark.de



Die Einträge unten fixe ich (da bin ich mir sicher) aber bei denen mit <--- weiß ich net ganz genau:


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://npchj.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://npchj.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://npchj.dll/index.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\npchj.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.etlnet.de

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.63.152.1;<local> muss ich noch überprüfen die IP-Adresse

veilleicht könnt ihr mit dem Rest was anfangen???

Alt 09.11.2004, 16:20   #2
tobis72
 
Hilfe bei Hijacking - Standard

Hilfe bei Hijacking



???? ?????
__________________


Alt 09.11.2004, 20:33   #3
tobis72
 
Hilfe bei Hijacking - Standard

Hilfe bei Hijacking



Keiner ne Ahnung, ob diese beiden Prozesse böse sind?



C:\WINNT\d3zl32.exe
C:\WINNT\system32\ntsj.exe
__________________

Alt 09.11.2004, 20:37   #4
chaosman
 
Hilfe bei Hijacking - Standard

Hilfe bei Hijacking



@tobis72
lasse diese online überprüfen
C:\WINNT\d3zl32.exe
C:\WINNT\system32\ntsj.exe
C:\WINNT\system32\javazd32.dll
und zwar hier
http://virusscan.jotti.org/de

poste bitte das ergebnis
chaosman
__________________
Bonus vir semper tiro

Alt 09.11.2004, 20:38   #5
cacatoa
 
Hilfe bei Hijacking - Standard

Hilfe bei Hijacking



Hast du irgendein Spiel drauf?
Die C:\WINNT\system32\ntsj.exe
könnte dazu gehören, bin mir aber nicht sicher.
Deshalb: folge chaosman

__________________
Der Mensch sollte eine Hundeseele haben

Geändert von cacatoa (09.11.2004 um 20:39 Uhr) Grund: chaosman zu spät gesehen

Alt 09.11.2004, 20:41   #6
tobis72
 
Hilfe bei Hijacking - Standard

Hilfe bei Hijacking



Hm leider ist der Rechner nicht von mir und ich versuche das Problem per Telefondiagnose zu lösen, aber ich versuche trotzdem die dateien scannen zu lassen.

Aber so aus dem Stehgreif kommt sie euch auch nicht bekannt vor, oder?

Alt 09.11.2004, 20:43   #7
tobis72
 
Hilfe bei Hijacking - Standard

Hilfe bei Hijacking



...und noch ne Frage, muß ich zum fixen in den abgesicherten Modus ?

Alt 09.11.2004, 20:46   #8
chaosman
 
Hilfe bei Hijacking - Standard

Hilfe bei Hijacking



@tobis72
normal findest du viel über dateien in google, über diese dateien ist jedoch nichts zu finden. deswegen online überprüfen lassen, um sicher zu gehen.

Aber so aus dem Stehgreif kommt sie euch auch nicht bekannt vor, oder?
nee

chaosman
__________________
Bonus vir semper tiro

Alt 09.11.2004, 21:08   #9
Cidre
Administrator, a.D.
 
Hilfe bei Hijacking - Standard

Hilfe bei Hijacking



@ tobis72

Zitat:
muß ich zum fixen in den abgesicherten Modus ?
Wäre sinnvoller.

Zitat:
C:\WINNT\d3zl32.exe
C:\WINNT\system32\ntsj.exe
C:\WINNT\system32\javazd32.dll
sowie C:\WINNT\system32\npchj.dll sind zufällig generierte Dateinamen von TROJ_WINSHOW.AB und anderen.
Quelle: http://www.trendmicro.com/vinfo/viru...HOW.AB&VSect=T

Letztendlich wird nur die Überprüfung dieser Dateien uns Gewissheit darüber verschaffen.
__________________
Gruß, Cidre


Antwort

Themen zu Hilfe bei Hijacking
.inf, auswerten, automatisch, bho, dateien, explorer, hijack, hijackthis, hilfe, internet, internet explorer, ip-adresse, logdatei, logitech, mcafee, microsoft, office, probleme, programme, software, start, system, system32, temp, update, urlsearchhook, vielen dank, virusscan, windows



Ähnliche Themen: Hilfe bei Hijacking


  1. hijacking
    Log-Analyse und Auswertung - 23.04.2006 (1)
  2. Browser Hijacking
    Log-Analyse und Auswertung - 01.01.2006 (1)
  3. Bizarres Hijacking! Hilfe!!!!!
    Log-Analyse und Auswertung - 21.08.2005 (11)
  4. Browser Hijacking - Hilfe benötigt +LogFile
    Log-Analyse und Auswertung - 19.04.2005 (8)
  5. Hijacking
    Log-Analyse und Auswertung - 11.01.2005 (3)
  6. Browser-Hijacking
    Log-Analyse und Auswertung - 03.01.2005 (1)
  7. Browser Hijacking?
    Plagegeister aller Art und deren Bekämpfung - 18.09.2004 (4)
  8. browser hijacking
    Log-Analyse und Auswertung - 07.09.2004 (1)
  9. Hijacking auf www.sodhell.com - HILFE!
    Log-Analyse und Auswertung - 03.09.2004 (24)
  10. Browser Hijacking
    Log-Analyse und Auswertung - 18.08.2004 (1)
  11. Common Hijacking
    Log-Analyse und Auswertung - 13.08.2004 (1)
  12. Hilfe gesucht! Bring ein Hijacking-Programm nicht los
    Log-Analyse und Auswertung - 13.08.2004 (3)
  13. Hilfe !!! Startseite Hijacking
    Log-Analyse und Auswertung - 26.06.2004 (2)
  14. HILFE!!!! TROJANER, STARTSEITE, HIJACKING
    Log-Analyse und Auswertung - 26.06.2004 (10)
  15. Browser Hijacking
    Plagegeister aller Art und deren Bekämpfung - 07.06.2004 (21)
  16. IE6 hijacking
    Plagegeister aller Art und deren Bekämpfung - 05.05.2004 (17)
  17. Browser Hijacking
    Plagegeister aller Art und deren Bekämpfung - 21.03.2004 (1)

Zum Thema Hilfe bei Hijacking - Hallo erstmal Habe Probleme mit einem gejacktem Rechner. Hab die Logdatei schon automatisch auswerten lassen, bekomme aber einige unbekannte Einträge. Vielleicht könnt ihr was damit anfangen. Ich poste mal die - Hilfe bei Hijacking...
Archiv
Du betrachtest: Hilfe bei Hijacking auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.