Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Google-hijack (https://www.trojaner-board.de/36989-google-hijack.html)

Berferd 13.03.2007 20:22
Hallo,

da du die Datei bereits sichtbar gemacht hast, kannst du sie über den Explorer einfach löschen.

Weiterhin mußt du aber noch deine DNS-Server unter den Netzwerkeinstellungen TCP/IP korrigieren.

Mache nun einen Neustart.

Lass Hijackthis nochmal laufen und fixe, sofern vorhanden die 85. ...-Einträge
Suche jetzt in der Registry nach den Adresseinträgen und lösche dort den Wert (evtl. mehrfach unter DHCP vorhanden).
Suche auch nach dkhx in der Registry, und lösche ebnefalls den Wert.

Aber irrlicht hat mit seiner Aussage nicht unrecht, wenn du 100% sicher gehen willst.

Gruß
Oskar

Max24 13.03.2007 22:18
Hab auch die posts von megarien gelesen, da wir anscheinend das selbe problem zu haben scheinen und versuche ebenso vorzugehen da ich zuerst alles vorgeschlagene versuchen möchte, bevor ich neue aufsetze.

Die schon gelöschte kdkhx.exe war zwar immer noch in der registry aber da hab ich sie jetzt auch an 2 verschiedene Stellen gelöscht ( den Wert des jeweiligen Eintrags glöscht). Die DNS-Server finde ich allerdings in der Reg. nicht.....Was tun. Blacklight zeigt nichts mehr an.

Max24 14.03.2007 17:30
Zusätzlich noch eine kleine Frage bezüglich PWs ausspionieren: Auf meinem Rechner sind keinerlei vertrauenswürde Daten, PWs oder der gleichen abgespeichert. Würde das bedeuten PWs werden abgefangen wenn ich sie im Internet eingebe? Was ist mit der verschlüsselten Übertragung (ssl etc...)?

Bitte auch noch um kurzen Rat bezüglich der Servereinträge!
Vielen Dank

Berferd 14.03.2007 18:57
Hallo,

genau, deine Passwörter können z.B. durch einen Keylogger oder eine gefälschte Seite abgefangen werden.
Dies kann z.B. durch Manipulation der hosts-Datei, Verwendung von nicht vertrauenswürdigen DNS-Servern, gefälschten Emails mit manipulierten Links, usw. erreicht werden.

SSL ist auch nicht absolut sicher!
Sofern die Verbindung besteht, ist es schwierig abzuhören.
Wird jedoch der Schlüssel bzw. das Zertifikat abgefangen, nützt auch die Verschlüsselung nichts mehr.
Das kann z.B. durch lokales logging oder die Manipulation der CAs erreicht werden.

Was meinst mit den Server?
Wenn die 85er Adressen in der Registry, sowohl als DNS als auch DHCP, nicht mehr vorhanden sind ist es in Ordnung.


Gruß
Oskar

Max24 14.03.2007 19:44
Danke. Die Server scheinen aber immer noch im Hijack-log auf...

Berferd 14.03.2007 21:16
Hallo,

du hast die Einträge aber mit hijackthis bereits gefixt, und auch die Registry nochmal durchsucht, oder?
Zitat:
Lass Hijackthis nochmal laufen und fixe, sofern vorhanden die 85. ...-Einträge
Suche jetzt in der Registry nach den Adresseinträgen und lösche dort den Wert (evtl. mehrfach unter DHCP vorhanden).
Wenn die Einträge dann nocmal auftauchen sollten, poste bitte noch mal ein hijackthis und auch ein blacklight-log.

Poste auch ein ipconfig -all

Ich hoffe du surfst mitlerweile ohne Adminrechte :rolleyes:

Gruß
Oskar

Max24 14.03.2007 23:18
Also: nachdem ich die Server doch noch in der Reg. gefunden und gelöscht habe, hab ich nach einem Neustart Hijackthis und Blacklight nochmal laufen lassen; scheint so weit alles wieder in Ordnung zu sein...

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

myrtille 14.03.2007 23:42
Das "ipconfig -all" bedeutet wohl folgendes:

Gehe auf:
Start ->Ausführen -> "cmd" eingeben -> Fenster öffnet sich -> "ipconfig/all" eingeben -> Die erhaltene Infos hier posten :)

Max24 16.03.2007 19:48
Tut mir leid hab ich ganz vergessen das zu ändern. Hier nochmal der Log:

Logfile of HijackThis v1.99.1
Scan saved at 19:40:29, on 16.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE
C:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\MT\MT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
C:\dokumente und einstellungen\mäx\quicktime\PictureViewer.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Dokumente und Einstellungen\Mäx\ICQ\ICQ\Icq.exe
C:\Programme\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://search.msn.com/spbasic.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.orf.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://search.msn.com/spbasic.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Dokumente und Einstellungen\Mäx\GetRight\xx2gr.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\dokumente und einstellungen\mäx\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Meine Traffic] C:\PROGRA~1\MT\MT.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Norton GoBack.lnk = C:\Programme\Norton SystemWorks\Norton GoBack\GBTray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Dokumente und Einstellungen\Mäx\Eigene Dateien\Eigene Musik\Balkan Beat\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Dokumente und Einstellungen\Mäx\Eigene Dateien\Eigene Musik\Balkan Beat\GetRight\GRbrowse.htm
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\DOKUME~1\MX2FE9~1\ICQ\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\DOKUME~1\MX2FE9~1\ICQ\ICQ\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {36669D80-D50C-45FA-9675-2A46C5698A6E} - h**p://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - h**p://software-dl.real.com/13cd6eedc0d4fb734519/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136614600500
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: GoBack Polling Service (GBPoll) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton GoBack\GBPoll.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Norton UnErase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


Und Blacklight:

3/14/07 22:42:38 [Info]: BlackLight Engine 1.0.55 initialized
03/14/07 22:42:38 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/14/07 22:42:38 [Note]: 7019 4
03/14/07 22:42:38 [Note]: 7005 0
03/14/07 22:42:40 [Note]: 7006 0
03/14/07 22:42:40 [Note]: 7011 344
03/14/07 22:42:40 [Note]: 7026 0
03/14/07 22:42:40 [Note]: 7026 0
03/14/07 22:43:00 [Note]: FSRAW library version 1.7.1021
03/14/07 23:03:22 [Note]: 2000 1012
03/14/07 23:03:22 [Note]: 2000 1012
03/14/07 23:04:29 [Note]: 7007 0




Windows-IP-Konfiguration

Hostname. . . . . . . . . . . . . : Karl
Primäres DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Unbekannt
IP-Routing aktiviert. . . . . . . : Nein
WINS-Proxy aktiviert. . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : chello.at

Ethernetadapter LAN-Verbindung:

Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung
Beschreibung. . . . . . . . . . . : VIA VT6105 Rhine III Fast Ethernet Adapter
Physikalische Adresse . . . . . . : 00-0C-76-78-F6-06

Ethernetadapter LAN-Verbindung 3:

Verbindungsspezifisches DNS-Suffix: chello.at
Beschreibung. . . . . . . . . . . : 3Com 3C900B-TPO-Ethernetadapter (Standard) #2
Physikalische Adresse . . . . . . : 00-50-04-EE-FF-9C
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IP-Adresse. . . . . . . . . . . . : 62.178.117.161
Subnetzmaske. . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 62.178.117.1
DHCP-Server . . . . . . . . . . . : 195.34.134.198
DNS-Server. . . . . . . . . . . . : 195.34.133.21
195.34.133.22
Lease erhalten. . . . . . . . . . : Freitag, 16. März 2007 16:45:29
Lease läuft ab. . . . . . . . . . : Dienstag, 19. Jänner 2038 04:14:07

Ethernetadapter Drahtlose Netzwerkverbindung:

Medienstatus. . . . . . . . . . . : Es besteht keine Verbindung
Beschreibung. . . . . . . . . . . : PRISM 802.11g Wireless Adapter (3890)

Physikalische Adresse . . . . . . : 00-60-B3-94-C7-B2


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:52 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129