Trojaner-Board - Problem mit Hijacker

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Problem mit Hijacker (https://www.trojaner-board.de/13294-problem-hijacker.html)

Problem mit Hijacker

Hi , Hijackthis gibt bei mir das aus :
also Spybot findet immer nur Lesezeichen und schlechtes Bookmark und stürtz beim Behebn ab und behebt das Problem nicht

Hijackthis :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\addzj.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\netim32.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\wincmd\WINCMD32.EXE
c:\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\kqqhw.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kqqhw.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\kqqhw.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\kqqhw.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kqqhw.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\kqqhw.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\kqqhw.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3A0FEB9A-F9A6-BE0C-538C-747C0E518EDF} - C:\WINDOWS\system32\sdkgt32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Eigene Dateien\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [netim32.exe] C:\WINDOWS\netim32.exe
O4 - HKLM\..\RunOnce: [addzj.exe] C:\WINDOWS\addzj.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Eigene Dateien\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Eigene Dateien\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Eigene Dateien\ICQLite\ICQLite.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Intel NCS NetService - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: RoamMgr - Intel Corporation - C:\WINDOWS\System32\RoamMgr.exe
O23 - Service: Spectrum24 Event Monitor - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Network Security Service - Unknown - C:\WINDOWS\system32\msnn.exe (file missing)

weiß einer wie ich das Problem beheben kann ?

hi
dein log ist nicht ganz vollständig (erste 4 zeilenfehlen) trotzdem kannst du die einträge im abgesicherten modus fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\kqqhw.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kqqhw.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\kqqhw.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\kqqhw.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kqqhw.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\kqqhw.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\kqqhw.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {3A0FEB9A-F9A6-BE0C-538C-747C0E518EDF} - C:\WINDOWS\system32\sdkgt32.dll
O4 - HKLM\..\Run: [netim32.exe] C:\WINDOWS\netim32.exe
O4 - HKLM\..\RunOnce: [addzj.exe] C:\WINDOWS\addzj.exe
O23 - Service: RoamMgr - Intel Corporation - C:\WINDOWS\System32\RoamMgr.exe
dann lade dir escan runter und gehe nach der anweisung hier:http://www.trojaner-board.de/42731-escan-anleitung.html vor
download: http://www.mwti.net/antivirus/free_utilities.asp
Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
sunshine

@Carphunter
Dein Log ist nicht vollständig - es feheln die Angaben zum Betriebssystem.
Benutze bitte die Board-Suche: http://www.trojaner-board.com/search...earchid=186403

@Carphunter
und dieser brauchst du nicht fixen
O23 - Service: RoamMgr - Intel Corporation - C:\WINDOWS\System32\RoamMgr.exe

chaosman

Logfile of HijackThis v1.99.0
Scan saved at 18:28:09, on 06.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\addzj.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\netim32.exe
C:\WINDOWS\System32\1XConfig.exe
C:\EIGENE~1\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\wincmd\WINCMD32.EXE
c:\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ltrjo.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ltrjo.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ltrjo.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ltrjo.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ltrjo.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ltrjo.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ltrjo.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {9D99EF1B-BA68-5875-41C6-4CA3C3742635} - C:\WINDOWS\netnq32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [netim32.exe] C:\WINDOWS\netim32.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Eigene Dateien\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\EIGENE~1\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Eigene Dateien\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Eigene Dateien\ICQLite\ICQLite.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Intel NCS NetService - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: RoamMgr - Intel Corporation - C:\WINDOWS\System32\RoamMgr.exe
O23 - Service: Spectrum24 Event Monitor - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Network Security Service (NSS) - Unknown - C:\WINDOWS\addzj.exe

hier nochmal das komplette Logfile von Hijackthis , escan kommt noch , hatte da bisher keine Zeit .

Zudem zeigt er das nun bei jedem neuem geöffneten Fenster beim IE an .

C:\WINDOWS\SYSTEM32\MLRLB.DLL

Ist das Trojanische Pferd TR/Lefeat.DLL1

@Carphunter
lade dir escan
download
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
scan dauert mindestens 1 stunde
chaosman

Fri Feb 04 20:30:10 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\0DIB81Y7\stay[1].htm infected by "Trojan.JS.NoClose.a" Virus. Action Taken: No Action Taken.

Fri Feb 04 21:18:21 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\G9E38TQB\lovexx[1].chm infected by "Trojan.Win32.Dialer.bh" Virus. Action Taken: No Action Taken.

Fri Feb 04 21:18:21 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\G9E38TQB\lovexx[2].chm infected by "Trojan.Win32.Dialer.bh" Virus. Action Taken: No Action Taken.

Fri Feb 04 21:18:22 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\G9E38TQB\lovexx[3].chm infected by "Trojan.Win32.Dialer.bh" Virus. Action Taken: No Action Taken.

Fri Feb 04 21:18:22 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\G9E38TQB\lovexx[4].chm infected by "Trojan.Win32.Dialer.bh" Virus. Action Taken: No Action Taken

Fri Feb 04 21:18:22 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\G9E38TQB\lovexx[5].chm infected by "Trojan.Win32.Dialer.bh" Virus. Action Taken: No Action Taken.

Fri Feb 04 21:18:43 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\G9E38TQB\on-line[1].exe infected by "Trojan.Win32.Dialer.bh" Virus. Action Taken: No Action Taken.

Fri Feb 04 21:18:43 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\G9E38TQB\on-line[2].exe infected by "Trojan.Win32.Dialer.bh" Virus. Action Taken: No Action Taken.

Fri Feb 04 21:19:22 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\G9E38TQB\shellscript[1].js infected by "Trojan-Downloader.VBS.Iwill.u" Virus. Action Taken: No Action Taken.

Fri Feb 04 21:19:22 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\G9E38TQB\shellscript[2].js infected by "Trojan-Downloader.VBS.Iwill.u" Virus. Action Taken: No Action Taken.

Fri Feb 04 21:23:33 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\HV3JT9OE\chm10[1].chm infected by "Trojan-Downloader.Win32.Small.rr" Virus. Action Taken: No Action Taken.

Fri Feb 04 21:23:33 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\HV3JT9OE\chm10[2].chm infected by "Trojan-Downloader.Win32.Small.rr" Virus. Action Taken: No Action Taken.

Fri Feb 04 21:23:33 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\HV3JT9OE\chm10[3].chm infected by "Trojan-Downloader.Win32.Small.rr" Virus. Action Taken: No Action Taken.

Fri Feb 04 21:44:06 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\NF5NVHCW\ger_nopop[1].exe infected by "Trojan.Win32.Dialer.dc" Virus. Action Taken: No Action Taken.

Fri Feb 04 21:46:25 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\NF5NVHCW\stoolbar[2].chm infected by "not-a-virus:AdWare.ToolBar.Stool" Virus. Action Taken: No Action Taken.

Fri Feb 04 21:55:51 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\Q170T03M\hdplugin_1018_bundle43v2d26[1].cab infected by "not-a-virus:AdWare.Gator.1018" Virus. Action Taken: No Action Taken.

Fri Feb 04 21:56:21 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\Q170T03M\lovexx[1].chm infected by "Trojan.Win32.Dialer.bh" Virus. Action Taken: No Action Taken.

Fri Feb 04 21:56:21 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\Q170T03M\lovexx[2].chm infected by "Trojan.Win32.Dialer.bh" Virus. Action Taken: No Action Taken.

Fri Feb 04 21:56:21 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\Q170T03M\lovexx[3].chm infected by "Trojan.Win32.Dialer.bh" Virus. Action Taken: No Action Taken.

Fri Feb 04 21:56:21 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\Q170T03M\lovexx[4].chm infected by "Trojan.Win32.Dialer.bh" Virus. Action Taken: No Action Taken.

Fri Feb 04 21:56:22 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\Q170T03M\lovexx[5].chm infected by "Trojan.Win32.Dialer.bh" Virus. Action Taken: No Action Taken.

Fri Feb 04 21:56:39 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\Q170T03M\on-line[1].exe infected by "Trojan.Win32.Dialer.bh" Virus. Action Taken: No Action Taken.

Fri Feb 04 21:56:39 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\Q170T03M\on-line[2].exe infected by "Trojan.Win32.Dialer.bh" Virus. Action Taken: No Action Taken.

Fri Feb 04 22:15:50 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\W5ERGTQZ\lovexx[1].chm infected by "Trojan.Win32.Dialer.bh" Virus. Action Taken: No Action Taken.

Fri Feb 04 22:15:50 2005 => File C:\DOKUME~1\Andreas\LOKALE~1\TEMPOR~1\Content.IE5\W5ERGTQZ\lovexx[2].chm infected by "Trojan.Win32.Dialer.bh" Virus. Action Taken: No Action Taken.

Zitat:

Zitat von Carphunter

Keiner da der mir sagen kann was ich nun machen soll ?

Leere einfach eine Temp.-Internet-Files und gut ist.