Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   brauche hilfe (https://www.trojaner-board.de/6176-brauche-hilfe.html)

Maverick2k3 03.07.2004 18:14
brauche hilfe
 
haben seit langem so einen scheiss hijacker und kriege ihn net weg, hab alles ausprobiert aber nichts funzt, wäre nett wenn mir jemand helfen könnte

Logfile of HijackThis v1.98.0
Scan saved at 19:10:02, on 03.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {CC56D6D3-536C-4936-85E9-7A69B5728EBF} - C:\WINDOWS\System32\ecl.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\MSERO.DLL
O18 - Filter: text/html - {D5563AF6-DDF4-4F9E-93E3-4F5EF3A97A2E} - C:\WINDOWS\System32\ecl.dll
O18 - Filter: text/plain - {D5563AF6-DDF4-4F9E-93E3-4F5EF3A97A2E} - C:\WINDOWS\System32\ecl.dll

*Christian* 03.07.2004 18:36
Bitte geh in den abgesicherten Modus und fixe dies:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {CC56D6D3-536C-4936-85E9-7A69B5728EBF} - C:\WINDOWS\System32\ecl.dll
O18 - Filter: text/html - {D5563AF6-DDF4-4F9E-93E3-4F5EF3A97A2E} - C:\WINDOWS\System32\ecl.dll
O18 - Filter: text/plain - {D5563AF6-DDF4-4F9E-93E3-4F5EF3A97A2E} - C:\WINDOWS\System32\ecl.dll

Um solche Hijacker zu vermeiden, wechsle deinen Browser.
www.firebird-browser.de ist dem IE auf jeden Fall vorzuziehen.

Lutz 03.07.2004 18:41
Hallo Maverick2k3 und Willkommen an Board,
  1. Ist das das komplette Log von HijackThis?
    Sieht ein bisserl kurz aus, könnte aber trotzdem passen...
  2. Hast Du den aktualisierten CWShredder schon genutzt?
  3. Lade Dir bitte eScan herunter, entpacke und aktualisiere es, wie im verlinkten Thread angegeben und scanne damit den kompletten Rechner im abgesicherten Modus.
  4. Starte dann (immer noch im abgesicherten Modus) HijackThis erneut, markiere die folgenden Einträge und klicke anschließend auf 'Fix checked':
    Zitat:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: (no name) - {CC56D6D3-536C-4936-85E9-7A69B5728EBF} - C:\WINDOWS\System32\ecl.dll
    O18 - Filter: text/html - {D5563AF6-DDF4-4F9E-93E3-4F5EF3A97A2E} - C:\WINDOWS\System32\ecl.dll
    O18 - Filter: text/plain - {D5563AF6-DDF4-4F9E-93E3-4F5EF3A97A2E} - C:\WINDOWS\System32\ecl.dll
  5. Leere (nicht löschen!) den Ordner:
    C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\
    Sollte ausgeschrieben so lauten:
    C:\Dokumente und Einstellungen\Administrator\Lokale Dateien\Temp\
  6. Lösche die Datei C:\WINDOWS\System32\ecl.dll, sofern nach eScan noch vorhanden.
  7. Starte im normalen Modus und erstelle zur Kontrolle ein neues Log von HijackThis.
  8. In Zukunft solltest Du nicht mit Administrator-Rechten surfen, sondern hierzu ein Konto mit eingeschränkten Benutzer-Rechten verwenden. Lies in einer 'ruhigen Minute' folgendes:
    Browser-Hijacker


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131