|
Neuen Highjacker eingefangen Hallo liebe Forumsteilnehmer, habe mir einen Highjacker eingefangen und poste hier mal das HighjackThis log File. Es sieht so aus als ob dieser Trojaner mit Stichwörtern arbeitet und nicht nur bestimmte Seiten wie Windows Update nicht zulässt, er blockiert seit eben auch Spybot... Logfile of HijackThis v1.98.1 Scan saved at 16:45:53, on 04.08.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\Programme\Sygate\SPF\smc.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\NavNT\defwatch.exe C:\WINNT\System32\svchost.exe C:\Programme\NavNT\rtvscan.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\NavNT\vptray.exe C:\Corel\Graphics8\Programs\MFIndexer.exe C:\Programme\Digital Image\Monitor.exe C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe C:\Programme\Microsoft Office\Office\1031\msoffice.exe C:\PROGRA~1\TOBITI~1\DVREMIND.EXE C:\Toolz\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://66.230.227.44/search.html? R1 - HKCU\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://66.230.227.44/search.html? R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {2D51CD7F-D084-4BF3-9F08-17E70FE2CD1F} - C:\WINNT\system32\hhgi.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC SE\routcnf.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: Digital Image Monitor.lnk = C:\Programme\Digital Image\Monitor.exe O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Verknüpfung mit logon.bat.lnk = ? O13 - WWW. Prefix: http://ehttp.cc/? O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = etf.dom O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = etf.dom O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = etf.dom O18 - Filter: text/html - {71E7B9AE-E647-456E-A79F-9ADB1B7C72CC} - C:\WINNT\system32\hhgi.dll O18 - Filter: text/plain - {71E7B9AE-E647-456E-A79F-9ADB1B7C72CC} - C:\WINNT\system32\hhgi.dll Ich bin dankbar für jeden Tip. Danke luzs |
Das das Problem von Spybot an dem Hijacker liegt halte ich für ein Gerücht. Aber schick mal bitte die Datei C:\WINNT\system32\hhgi.dll zu partytime-germany.ice@web.de Anschließend bitte folgendes fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://66.230.227.44/search.html? R1 - HKCU\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://66.230.227.44/search.html? R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\WS3\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {2D51CD7F-D084-4BF3-9F08-17E70FE2CD1F} - C:\WINNT\system32\hhgi.dll O4 - Global Startup: Verknüpfung mit logon.bat.lnk = ? O13 - WWW. Prefix: http://ehttp.cc/? O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = etf.dom O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = etf.dom O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = etf.dom O18 - Filter: text/html - {71E7B9AE-E647-456E-A79F-9ADB1B7C72CC} - C:\WINNT\system32\hhgi.dll O18 - Filter: text/plain - {71E7B9AE-E647-456E-A79F-9ADB1B7C72CC} - C:\WINNT\system32\hhgi.dll Danach die Datei C:\WINNT\system32\hhgi.dll manuell löschen. Bitte vergesse nicht die Datei vorher an die obige Adresse zu schicken. Um dich zukünftig vor Hijacker zu schützen, solltest du einen anderen Browser verwenden: www.firefox-browser.de ist schnell, sicher und kostenlos. ;) |
Hallo luzs Zitat:
Zitat:
PS: *Christian* war schneller ;). |
Hallo Christian, hallo Rene-gad, vielen Dank für die Tipps zu meinem Trojaner. Habe entsprechend Liste alle Einträge außer O4 - Global Startup: Verknüpfung mit logon.bat.lnk = ? O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = etf.dom O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = etf.dom O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = etf.dom gelöscht. Bei den genannten Einträgen handelt es sich um notwendige Netzwerkeinträge. Habe dann die Trojaner dll entsprechend gemailt. PC ist dank euch wieder clean. :crazy: luzs |
Die Datei hhgi.dll war ein alter Hijacker. ;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:18 Uhr. |
Copyright ©2000-2025, Trojaner-Board