|
Hijacker eingefangen! was nun? Hilfe!!! hab mir vermutlich nen hijacker eingefangen. bin auf dem gebiet total unerfahren,wer kann mir helfen? Logfile of HijackThis v1.98.2 Scan saved at 22:14:16, on 16.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\WINDOWS\System32\GEARSec.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\NMAIN.EXE C:\PROGRA~1\NORTON~1\NORTON~1\navw32.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\Explorer.EXE C:\Programme\PowerArchiver\POWERARC.EXE C:\DOKUME~1\Marten\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=191 O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\TO4GBR~1.DLL O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O20 - AppInit_DLLs: 2lnxhijvlf1nf.dll hatte aus dieser liste bereits schon einige mir verdächtige dinge gelöscht.wie soll ich weiter vorgehen??? |
@martenm gebe HJT bitte einen eigenen ordner, wechsle in den abgesicherten modus und fixe wenn du diesen eintrag nicht kennst R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=191 fixe O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\TO4GBR~1.DLL O20 - AppInit_DLLs: 2lnxhijvlf1nf.dll lösche anschließend manuell C:\WINDOWS\System32\TO4GBR~1.DLL neu starten es wäre besser wenn du nächstes mal das ganze log gepostet würdest. der automatische auswertung ist nicht 100% zuverlässig. unbedingt dein system + IE updaten chaosman |
Habe die beschriebenen Sachen durchgeführt.Die Datei im system32 ließ sich nicht löschen da es sie dort garnicht gab.Das problem besteht weiterhin!!! Hier nocheinmal das aktuelle gesamte log welches im normalen windows modus erstellt wurde. Logfile of HijackThis v1.98.2 Scan saved at 17:56:19, on 17.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\WINDOWS\System32\GEARSec.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\PowerArchiver\POWERARC.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\DOKUME~1\Marten\LOKALE~1\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/sp.htm?id=9 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=9 O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\TO4GBR~1.DLL O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O20 - AppInit_DLLs: 2lnxhijvlf1nf.dll wie soll ich jetzt weiter vorgehen???? |
@martenm ordner anzeigen lassen Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK system + IE ist nicht auf dem neuesten stand. HJT hat kein eigenen ordner wechsle in den abgesicherten modus und fixe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/sp.htm?id=9 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=9 O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\TO4GBR~1.DLL danach lösche manuell C:\WINDOWS\System32\TO4GBR~1.DLL neu starten. chaosman |
Habe nun wieder alles gemacht.die datei ebenfalls gelöscht.nach neustart war aber alles wieder wie vorher, browser springt auf die seite und die datei ist wieder da. wie meinst du das mit eigener ordner für hjt und muss ich nen windows update unbedingt vorher machen,wenn ja wo bekomm ich das. hier nochmal der aktuelle log, die startseite im browser kommt immer wieder! was soll ich tun? Logfile of HijackThis v1.98.2 Scan saved at 19:29:29, on 17.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\PowerArchiver\POWERARC.EXE C:\DOKUME~1\Marten\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9 O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\TO4GBR~1.DLL O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100714974687 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O20 - AppInit_DLLs: 2lnxhijvlf1nf.dll |
Hallo martenm Zitat:
Platform: Windows XP (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 (6.00.2600.0000) - Dein System und Dein IE sind nicht auf dem aktuellen Stand: www.windowsupdate.com Bitte überprüfe mit virusscan.jotti.dhs.org: C:\Programme\PowerArchiver\POWERARC.EXE C:\WINDOWS\System32\TO4GBR~1.DLL Teile uns das Ergebnis mit und sende bitte diese Dateien, wenn sie infiziert sind, passwortgeschützt an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread - zu Forschungszwecken - und warte das Ergebnis ab. Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This, wenn Du folgende Einträge nicht kennst/brauchst: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://win-eto.com/hp.htm?id=9 O20 - AppInit_DLLs: 2lnxhijvlf1nf.dll boote in den normalen Modus. Aktiviere die Systemwiederherstellung, Denk bitte dran, dass Du bei Windows XP alle Entfernungs- und Löscharbeiten im abgesicherten Modus und bei deaktivierter Systenmwiederherstellung machen musst, da sich sonst die Einträge bei einem Neustart wieder herstellen. Erstelle ein neues Hijack This Logfile und poste es. SD |
so bin genauso vorgegangen wie du gesagt hast.habe eine datei per email versendet. hier die neue logfile, allerdings scheint es immer noch nicht in ordnung zu sein.beim ie steht unter optionen immer noch http://win-eto.com/hp.htm?id=9 als startseite. irgendetwas muss da nich stimmen?! bitte um weitere hilfe Logfile of HijackThis v1.98.2 Scan saved at 20:36:45, on 17.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\WINDOWS\System32\GEARSec.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\wbem\wmiprvse.exe C:\WINDOWS\System32\wuauclt.exe C:\HiJack_This\HijackThis.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100714974687 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O20 - AppInit_DLLs: 2lnxhijvlf1nf.dll |
@ martenm fixe bitte noch mit Hijack This im abgesicherten Modus und bei deaktivierter Systemwiederherstellung: O20 - AppInit_DLLs: 2lnxhijvlf1nf.dll boote in den normalen Modus. Aktiviere die Systemwiederherstellung. Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ca 1 Stunde dauert und ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." Erstelle ein neues Hijack This Logfile und poste es. SD |
Fakt ist, dass dein System nicht dementsprechend von dir abgesichert wurde. Solange dieser missliche Umstand nicht schnellstmöglich beseitigt wird, wirst du immer wieder Probleme dieser Art oder noch schlimmer haben. Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. http://www.mwti.net/antivirus/free_utilities.asp Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken): O20 - AppInit_DLLs: 2lnxhijvlf1nf.dll Lösche diese Dateien: 2lnxhijvlf1nf.dll - mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html - neue Startseite vergeben - Neustart - dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org - neues Log-File von HiJackThis und die Virus Log Information von eScan posten EDIT: SD war schneller. ;) |
so scheint alles geklappt zu haben.hier die aktuelle logdatei. DANKE!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Logfile of HijackThis v1.98.2 Scan saved at 00:08:04, on 18.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\WINDOWS\System32\GEARSec.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\wuauclt.exe C:\HiJack_This\HijackThis.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100714974687 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab |
... dafür war Cidre' s Beratung gründlicher ;-) Das einzige unschöne an Deinem Logfile @ martenm ist nun noch: Platform: Windows XP (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 (6.00.2600.0000) - lade Dir bitte das aktuelle Service Pack runter und update Deinen IE: www.windowsupdate.com. Was hat denn der eScan ergeben? SD |
es ergab 115 infizierte dateien,hab die alle manuell gelöscht. das update auf der microsoft page geht nicht,muss mal die fehler beschreibung lesen. hab aber schon firefox,bekomme aber keine internet verbindung.weißt du wie man das fürn netgear wgt624 router konfigurieren muss??? |
Zitat:
SD |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:51 Uhr. |
Copyright ©2000-2024, Trojaner-Board