Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hijacker -> about: blank (https://www.trojaner-board.de/6027-hijacker-about-blank.html)

Old-Europe-AAO 27.06.2004 13:19
Moin Leute,
Habe mir alle Tipps durchgelesen, alles gespyt, geadwared, gelöscht, gesichter, gedreht und gestampft, aber den Hijacker werd ich nicht los!! "HILFE" !!javascript:void(0)
Böse!

1. Ja, ich hab aus meinem Fehler gelernt und bin auf Mozilla umgestiegen.

Hab folgendes bis jetzt probiert, um dem Hijacker loszuwerden:

Ad-aware 6.0 Update v. 27.06.04
Spybot
SpHifix
HijackThis

Hier mein Log:

Logfile of HijackThis v1.97.7
Scan saved at 14:11:47, on 27.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

R
Hab die Hijacker einträge gelöscht, - bringt aber nichts.
Sind beim Restart des I.E. wieder da !!

SORRY leute das ist mein erstes post in einem Forum – also bitte
„Gnade“
[img]graemlins/aplaus.gif[/img] :mad: [img]redface.gif[/img]

p.s. der I.E startet bei Systemstart immer mit, wie kann ich das abstellen ???

Danke für eure Tips !!

[ 27. Juni 2004, 19:04: Beitrag editiert von: Old-Europe-AAO ]

jim2005 27.06.2004 14:06
Hallo Old-Europe-AAO,

ich habe zwar auch Probleme und habe sie noch nicht lösen können. Aber durch extensives Studium dieses Boards habe ich mir einiges Wissen angeeignet, welches ausreichend ist, um Dein HijackThis-File zu beurteilen.

Lasse HijackThis nochmals laufen, markiere die unten genannten Einträge und clicke auf "Fixen":

----------

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Timmy\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Timmy\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Timmy\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Timmy\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Timmy\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Timmy\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

----------

Wenn die gefixten Einträge beim Neustart des Computers nochmals auftreten, dann gehst Du am besten zu Start > Programme > Zubehör > Systemprogramme > Systemwiederherstellung und wählst ein Datum aus, das vor dem Tag des Trojanerbefalls ist. Dann startest Du am besten nochmals und danach benutzt Du HijackThis nochmals und fixt die Probleme. Dann sind sie endgültig weg. War zumindest bei meinem Desktop-Computer der Fall.

Jim

Old-Europe-AAO 27.06.2004 14:20
Hi Jim,

danke für deine schnelle Antwort!

Die Einträge habe ich gefixt, tauchen aber nach einem Restart des I.E. wieder auf.
Die System Herstellung hilft mir leider nicht weiter, da es keinen Herstellungspunkt bei mir gibt.

Wird sich natürlich ab sofort ändern, wenn ich den Hijacker los bin !!

jim2005 27.06.2004 14:46
Kannst Du Deinen Computer neu formattieren?

Markus (der Moderator dieses Boards) schrieb, dass nur eine Neuformattierung ganz sicher die Maleware beseitigen würde.

Da heute Sonntag, also ein freier Tag, ist, bringe ich dies mal in Erwägung. Insbesondere wenn Du Online-Banking machst, musst Du Vorsicht walten lassen.

Lies mal den neuesten Artikel auf der Startseite von Spiegel.de. Da steht etwas über neue Viren, die über gehakte Websites übergreifen.

Jim

mmk 27.06.2004 15:14
</font><blockquote>Zitat:</font><hr />Original erstellt von jim2005:
Markus (der Moderator dieses Boards)</font>[/QUOTE]Da muss ein Missverständnis vorliegen! Die Modertoren sind in der Forenübersicht rechtsseitig gekennzeichnet!


</font><blockquote>Zitat:</font><hr />schrieb, dass nur eine Neuformattierung ganz sicher die Maleware beseitigen würde.</font>[/QUOTE]Stimmt, das schrieb ich.

</font><blockquote>Zitat:</font><hr />Da heute Sonntag, also ein freier Tag, ist, bringe ich dies mal in Erwägung. Insbesondere wenn Du Online-Banking machst, musst Du Vorsicht walten lassen.</font>[/QUOTE]Ja, denn:
http://oschad.info/wiki/index.php/Kompromittierung

Old-Europe-AAO 27.06.2004 15:24
Danke Jim u. mmk für die Antworten.

Vor der Alternative der Neuinstallation schrecke ich noch zurück.
Da die Neuinstallation heute nicht mehr zu schaffen wäre!

Gibt es nicht einen anderen weg den Hijacker loszuwerden !!!!

*Christian* 27.06.2004 16:23
Im abgesicherten Modus bitte folgendes fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Timmy\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Timmy\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Timmy\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Timmy\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Timmy\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Timmy\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {24581EA1-C44C-417F-86B5-4BB4CB58A071} - C:\WINDOWS\System32\mlkhob.dll

Problem sollte dann beseitigt sein.

Old-Europe-AAO 27.06.2004 18:05
Vielen Dank !

Der Tipp hat geholfen !!!
[img]graemlins/aplaus.gif[/img] [img]graemlins/aplaus.gif[/img] [img]graemlins/aplaus.gif[/img] [img]graemlins/aplaus.gif[/img] [img]graemlins/huepp.gif[/img]

*Christian* 27.06.2004 18:27
Freut mich.
Wenn du zukünftig von solchen Problemen befreit sein willst, dann wechsel deinen Browser.
Empfehlenswert:

www.firebird-browser.de
www.mozilla.kairo.at

AlexH 28.06.2004 17:18
Hallo,

nun plage ich mich schon seit geraumer Zeit mit der nicht veränderlichen Startseite about: blank herum und poste nun mein Ergebnis;) leider bin ich nur "Laie", vielleicht kann mir jdm. bei der Erläuterung helfen...

Vielen Dank im Voraus!!

Logfile of HijackThis v1.97.7
Scan saved at 18:02:00, on 28.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\System32\CePMTray.exe
C:\PROGRA~1\EzButton\CPATR10.EXE
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Winamp3\winampa.exe
C:\Programme\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Qurb\QSP-2.1.213.2\QOELoader.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Heftrich\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 cwaprops.cpl,CrystalControlWnd
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\WINDOWS\System32\CePMTray.exe
O4 - HKLM\..\Run: [CPATR10] C:\PROGRA~1\EzButton\CPATR10.EXE
O4 - HKLM\..\Run: [CeEKey.exe] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QOELOADER] C:\Programme\Qurb\QSP-2.1.213.2\QOELoader.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5940CEF0-98C0-4CE3-9250-795097EB16BD}: NameServer = 217.237.150.33 194.25.2.129

Lutz 29.06.2004 19:31
Hallo AlexH und Willkommen an Board,

einen offensichtlichen Hijacker sehe ich anhand des Logs nicht. Allerdings gibt es in der Sektion O4 einige Dateien, mit denen ich nichts anfangen kann.

Lade Dir bitte mal eScan herunter und scanne Deinen Rechner im abgesicherten Modus-
eSan findest Du über den 2. Link in meiner Signatur.


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:09 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129