Trojaner-Board - Hijacker

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hijacker (https://www.trojaner-board.de/15680-hijacker.html)

Ich habe einen Hijacker im Browser, CWShredder findet ihn leider nicht.
Hier ist die Logfile von HijackThis, bitte sagt mir, was zu tun ist oder ob eine Neuaufsetzung notwendig ist:

Logfile of HijackThis v1.99.1
Scan saved at 20:43:11, on 21.03.2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.exe
C:\unzipped\hijackthis_1991\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Schmitt\LOKALE~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Schmitt\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O2 - BHO: (no name) - {BBF3A469-6E38-4A90-8FCB-7ECABAB350B3} - C:\WINNT\System32\djjn.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O18 - Filter: text/html - {7558BED2-65D9-4D05-9F44-42FA77936486} - C:\WINNT\System32\djjn.dll
O18 - Filter: text/plain - {7558BED2-65D9-4D05-9F44-42FA77936486} - C:\WINNT\System32\djjn.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

-> http://www.trojaner-info.de/anleitun...out_blank.html

-> Windowsupdate durchführen!

-> Neues Logfile posten.

Zitat:

Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Dein System ist nicht up to date!
Woran liegt's?
[ ] keinen Bock
[ ] vergessen
[ ] gecracktes XP
[ ] MS könnte mich ja ausspionieren
[ ] Wozu soll das gut sein?!

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Schmitt\LOKALE~1\Temp\se.dll/spage.html

Aufgrund deines Patchverhaltens wundert es mich nicht, dass du dir einen Browser HiJacker installiert hast.
http://www.trojaner-info.de/anleitun...out_blank.html

btw:
Das HJT Log-File sollte im normalen Modus erstellt und gepostet werden.

@Cidre: danke, werde mich bessern. :)

Hier ist das Log von SpSHsefix:

(21.3.05 21:12:57) SPSeHjFix started v1.09
(21.3.05 21:12:57) OS: Win2000 (5.0.2195)
(21.3.05 21:12:57) Language: deutsch
(21.3.05 21:12:59) Disinfect started
(21.3.05 21:12:59) Bad-Dll(IEP): (not found)
(21.3.05 21:12:59) Bad-Dll(IEP) in BHO: (not found)
(21.3.05 21:12:59) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINNT\System32\djjn.dll
(21.3.05 21:12:59) Searchassistant Uninstaller - Keys Deleted
(21.3.05 21:12:59) UBF: 6
(21.3.05 21:12:59) UBB: 1
(21.3.05 21:12:59) FilterKey: HKCR\text/html (deleted)
(21.3.05 21:12:59) FilterKey: HKLM\SOFTWARE\Classes\text/html (error while deleting)
(21.3.05 21:12:59) FilterKey: HKCR\CLSID\{527A53B1-D530-488E-B787-050E26A5CB6B} (deleted)
(21.3.05 21:12:59) FilterKey: HKCR\text/plain (deleted)
(21.3.05 21:12:59) FilterKey: HKLM\SOFTWARE\Classes\text/plain (error while deleting)
(21.3.05 21:12:59) FilterKey: HKCR\CLSID\{527A53B1-D530-488E-B787-050E26A5CB6B} (error while deleting)
(21.3.05 21:12:59) BHO-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BBF3A469-6E38-4A90-8FCB-7ECABAB350B3} (deleted)
(21.3.05 21:12:59) BHO-Key: HKCR\CLSID\{BBF3A469-6E38-4A90-8FCB-7ECABAB350B3} (deleted)
(21.3.05 21:12:59) UBR: 5
(21.3.05 21:12:59) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
(21.3.05 21:12:59) File added to delete: c:\winnt\system32\djjn.dll
(21.3.05 21:12:59) File added to delete: c:\winnt\system32\djjn.dll
(21.3.05 21:12:59) Reboot

hat alles geklappt? Oder soll ich nochmal die HijackThis-Log posten??

scheint doch noch drin zu sein, oder seh ich das falsch`? Wobei die Search-Startseite verschwunden ist.

Logfile of HijackThis v1.99.1
Scan saved at 21:22:17, on 21.03.2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\unzipped\hijackthis_1991\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Schmitt\LOKALE~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Schmitt\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {57E0D678-F881-486C-8564-F7BD2388B056} - C:\WINNT\System32\djjn.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O18 - Filter: text/html - {7BFD4808-AD16-46CC-9ADA-AD1E42AFBB75} - C:\WINNT\System32\djjn.dll
O18 - Filter: text/plain - {7BFD4808-AD16-46CC-9ADA-AD1E42AFBB75} - C:\WINNT\System32\djjn.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

Imho wäre es besser, wenn du dein System aktualisierst und dann erst die Bereinigung durchführst, denn sonst befinden wir uns wahrscheinlich in einer Endlosschleife.;)

Diese Einträge solltest du fixen:
Alle R0 und R1
O2 - BHO: (no name) - {57E0D678-F881-486C-8564-F7BD2388B056} - C:\WINNT\System32\djjn.dll (file missing)
O18 - Filter: text/html - {7BFD4808-AD16-46CC-9ADA-AD1E42AFBB75} - C:\WINNT\System32\djjn.dll
O18 - Filter: text/plain - {7BFD4808-AD16-46CC-9ADA-AD1E42AFBB75} - C:\WINNT\System32\djjn.dll

Zitat:

Zitat von Cidre

Gut, aber dann sagt doch bitte mal einem unerfahrenen Menschen wie man das genau macht. ;)

EDIT: schon gut, ich weiß.... ;)

So, gefixt, hier ist die neue Logfile... wie siehts aus, Leute? ;)

Logfile of HijackThis v1.99.1
Scan saved at 21:40:35, on 21.03.2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINNT\System32\internat.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\unzipped\hijackthis_1991\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\Schmitt\LOKALE~1\Temp\delus.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

Besser, ob es in der Zukunft so bleibt, liegt in deiner Hand.

Lese die nützlichen Links unter 'Lesenwerte Lektüre...' in meiner Signatur.

ok... ich lese es mir mal durch.... :) aber noch ne Kleinigkeit. Du sagtest, mein System ist nicht up to date... Kannst du mir sagen, wie ich es updaten kann? Soll ich bei microsoft.com irgendwelche Updates runterladen? Sorry für meiner Ahnungslosigkeit. ;)

www.windowsupdate.com mit dem Internetexplorer besuchen.

alles klar. Ich danke euch allen, dass ich jetzt wieder aufatmen kann... :)

ok, ich hab gestern mein Windowsupdate durchgeführt, das ist erledigt.

Trotzdem: Leider hab ich eben mit AntiVir einen neuen Trojaner gefunden (und gelöscht), das müsste aber noch von gestern sein, denke ich. Und dieses "Alexa", das im Ad-Aware angezeigt wird, von dem hab ich schon mal irgendwo gelesen, dass es nur eine harmlose Funktion vom IE ist, wahrscheinlich durch den neuen Service Pack hinzugekommen. Seh ich das richtig?