Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hijacker lässt sich nicht löschen-trotz HijackThis! (https://www.trojaner-board.de/6451-hijacker-laesst-loeschen-trotz-hijackthis.html)

ElfeSandy 22.07.2004 21:08
Hijacker lässt sich nicht löschen-trotz HijackThis!
 
Hallo, ich brauche dringend Hilfe, habe schon mit Hijackthis versucht, den Hijacker zu löschen, aber bei jedem Neustart des Systems ist er wieder da. Bin kein Computerfreak und Englisch ist nur Schulenglisch, aber irgend wie muss es doch möglich sein:
Logfile of HijackThis v1.97.7
Scan saved at 22:09:47, on 22.7.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\javabf32.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\crnq.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\EzButton System V2.1\EzButton.exe
C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\Temporäres Verzeichnis 8 für hijackthis1977.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ywehz.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ywehz.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ywehz.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ywehz.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ywehz.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ywehz.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
O2 - BHO: (no name) - {39967C20-72C9-E21F-3C21-30C394038D59} - C:\WINDOWS\system32\winym.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\Personal Security Service\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\Personal Security Service\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [crnq.exe] C:\WINDOWS\crnq.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKLM\..\RunOnce: [javabf32.exe] C:\WINDOWS\system32\javabf32.exe
O4 - HKLM\..\RunOnce: [ntna32.exe] C:\WINDOWS\system32\ntna32.exe
O4 - HKLM\..\RunOnce: [crcy.exe] C:\WINDOWS\system32\crcy.exe
O4 - HKLM\..\RunOnce: [crzx.exe] C:\WINDOWS\crzx.exe
O4 - HKLM\..\RunOnce: [apidh32.exe] C:\WINDOWS\system32\apidh32.exe
O4 - HKLM\..\RunOnce: [ieqe32.exe] C:\WINDOWS\ieqe32.exe
O4 - HKLM\..\RunOnce: [ieel.exe] C:\WINDOWS\ieel.exe
O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: AIM (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de

Habe schon mit Sebstdiagnose gearbeitet-er ist immer wieder da!

Bin über jede Hilfe dankbar! :(

*Christian* 22.07.2004 23:06
Da ist eine Menge Zeug drauf.

Dies scheint Malware zu sein:
javabf32.exe
crnq.exe
winym.dll
ntna32.exe
crcy.exe
crzx.exe
apidh32.exe
ieqe32.exe
ieel.exe
EzButton.exe

Schick mir die Dateien bitte mal zu: partytime-germany.ice@web.de


DANACH lässt du bitte diesen Scanner im abges. Modus drüberlaufen: http://www.trojaner-board.de/showthread.php?t=6083
Aber dies erst nachdem du die Dateien versendet hast.

Nach dem Scan poste bitte nochmal ein neues HijackThis-Log.

ElfeSandy 23.07.2004 18:40
Hi Christaian,

nur vorab schon mal schnell eine Antwort: Werde so in 1 Std. mailen, dann scannen, dann HiJackThis laufen lassen, dann neue Log-Liste senden.

Vielen dank schon mal für Dein Hilfsangebot!

Übrigend EZbutton ist die das Touchfeld vom Laptop!

*Christian* 23.07.2004 19:21
Ok, die brauch ich dann nicht. ;)

ElfeSandy 23.07.2004 19:59
Hi Christian,

haben alles versucht, finden die Datein nicht!

Irgend was mach ich falsch, wie gesagt, bin kein Compifreak!
eScan läuft, hat bisher knapp 20.000 Files gescannt und 51 Number of Virus(es) gefunden.
Frage mich gerade, was mein Mann sich da alles auf seinen Laptop geholt hat :koch:

Naja, hier auf dem "großen" PC sind wir durch PSS von T-online geschützt. Sagt Dir das was?
Schon Erfahrungen gehört? :crazy:
Wir sind bisher zufrieden.

ElfeSandy 23.07.2004 20:50
Hi Christian,

HiJack This bringt mir nun folgende Logs:
Nach eScan -

Logfile of HijackThis v1.97.7
Scan saved at 21:51:24, on 23.7.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\EzButton System V2.1\EzButton.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\Temporäres Verzeichnis 10 für hijackthis1977.zip\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\aernq.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://aernq.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://aernq.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\aernq.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://aernq.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\aernq.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
O2 - BHO: (no name) - {39967C20-72C9-E21F-3C21-30C394038D59} - C:\WINDOWS\system32\winym.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\Personal Security Service\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: AIM (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de


Und nu? Vielleicht kannst Du mir NIcht-PC Freak auch noch verraten, wo ich die Dateien finden kann?! :headbang:

Lutz 23.07.2004 20:57
Zitat:
C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\Temporäres Verzeichnis 10 für hijackthis1977.zip\HijackThis.exe
Hallo,
verschiebe bitte als erstes HijackThis.exe in ein eigenes Verzeichnis, z.B.
C:\HijackThis

Starte das Programm von dort aus noch einmal und fixe (markieren und anschließend Fix checked klicken) die folgenden Einträge:
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\aernq.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://aernq.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://aernq.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\aernq.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://aernq.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\aernq.dll/sp.html#96676
O2 - BHO: (no name) - {39967C20-72C9-E21F-3C21-30C394038D59} - C:\WINDOWS\system32\winym.dll (file missing)
Schau dann noch nach, ob diese Datei C:\WINDOWS\system32\aernq.dll nach eScan noch vorhanden ist. Wenn ja, bitte löschen. Anschließend starte den Rechner einmal neu und erstelle ein neues Log.

ElfeSandy 24.07.2004 12:59
Hi Lutz,

Danke, das Du hilfst,
lass gerade eScan drüberlaufen, poste Dir dann hier ins Forum den neuen HiJack This Log
Elfesandy

ElfeSandy 24.07.2004 13:12
so, nun das neueste HiJack Log:

Logfile of HijackThis v1.97.7
Scan saved at 14:15:03, on 24.7.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\EzButton System V2.1\EzButton.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: AIM (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de


Wie sieht´s jetzt aus?

MountainKing 24.07.2004 14:27
Sieht gut aus, würde ich sagen, auch der automatische Scan bei www.hijackthis.de meckert nur über EzButton, wenn du da tatsächlich 100%ig weisst, dass es nichts Schädliches ist, könntest du es dort vielleicht melden, damit sie es entsprechend einarbeiten.

Grundsätzlich für die Zukunft: empfehlenswert wäre ein Browserwechsel weg vom IE (evtl.auch von Outlook), zu Firefox oder Opera (gibt es jetzt mit IE-Setup, daher leichterer Umstieg), Deaktivierung von Active-X (falls du den IE unbedingt behalten willst) sowie Java-Script, außer für definitiv vertrauenswürdige Seiten. Vertrauenswürdig ist das nächste Stichwort, immer kritisch bleiben und NIE etwas von zweifelhaften Seiten herunterladen, entsprechendes gilt für mails mit Anhängen, die du nicht erwartest >> sofort und ohne Überlegen löschen.

ElfeSandy 24.07.2004 14:41
Hallo und einen ganz herzlichen Dank für Eure Hilfe! :bussi:

Habe nun den IE6 runtergeschmissen und endlich auch wieder T-online installieren können.Ich hoffe, meinem Mann passiert es nun nicht mehr so schnell, wenn er wieder mal weltweit nach U-Bootseiten surft!, das er sich was einfängt!
Meinen Frage hier: beim Weltweiten Surfen ist Opera besser? Nicht so anfällig?

Nochmals vielen Dank! Und genießt nu mal die Sonne! :knuddel:

Elfesandy

*Christian* 24.07.2004 15:31
Wie den IE runtergeschmissen? Du kannst den IE unter WIN XP nicht deinstallieren. Das ging zuletzt bei WIN98.
Hast du jetzt den T-Online-Browser? Dieser wird sicherheitstechnisch nicht viel bringen, da er auf den IE basiert.

Es ist so: Dass der IE viele Sicherheitslücken und Löcher hat, ist ja schon lange kein Geheimnis mehr. Viele dieser Sicherheitslücken werden erst Monate später oder gar nicht gestopft. Ständig werden neue Löcher in dem Browser entdeckt.

Ich würde dir empfehlen, Opera oder auch Firefox ( www.firefox-browser.de ) für das Surfen zu nutzen. Den IE nur bei www.windowsupate.com benutzen.

Firefox z. B. ist sauschnell, sicher und kostenlos.
Und falls du mal Probleme mit dem Browser hast oder irgendwelche Fragen, dann gibts auf der Website auch noch ein Forum.

MountainKing 24.07.2004 15:39
Keine Sonne zu sehen hier im Moment. :)

Der IE ist leider für seine Anfälligkeiten und Sicherheitslücken bekannt, die teilweise auch erst sehr spät gefixed werden. Er ist zwar einerseits das beliebteste Angriffsziel wegen seiner Verbreitung, aber weil er so eng mit dem Betriebssystem verschränkt ist, hat seine Manipulation schlimmere Folgen. Außerdem sind die meisten Alternativbrowser nicht nur schneller sondern auch besser, einfacher konfigurierbar und bieten Features, an die man sich schnell gewöhnt, Ich nutze Opera schon sehr lange und werde immer wahnsinnig, wenn ich irgendwo am IE sitze und verzweifelt Mouse Gestures anwenden will oder Tabbed Browsing.

Hier eine kurze Übersicht:

http://www.opera-fansite.de/tiki-ind...a%3F&refresh=1

und das IE-Setup:

http://www.opera-fansite.de/tiki-ind...a%3F&refresh=1

Wie gesagt, ich nutze nur Opera, Firefos und Mozilla sind prinzipiell ebenso empfehlenswert, aber dazu kann ich nicht soviel sagen. :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:53 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131