Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Nameserver - Umleitung? (https://www.trojaner-board.de/1350-nameserver-umleitung.html)

blinky 15.04.2004 18:09
Hallo,

habe folgende Frage: Nach dem ich auf der Suche nach einem WorkAround zur Master Search start.chm Problematik einmal Hijack This angeworfen habe bin ich über Einträge gestolpert die mich stutzig gemacht haben. Freue mich über jede Art von Hilfe.

Vielen Dank im Voraus!

PS: Ich nutze den Avant Browser Aufsatz für den IE!

</font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;">Logfile of HijackThis v1.97.7
Scan saved at 18:42:44, on 15.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Volumenzaehler\BoVolume.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cherry\CDI\CDI.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\AVANT BROWSER\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Johannes\LOKALE~1\Temp\Rar$EX00.719\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/service/redir/tosw5_webtour.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &amp;Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &amp;Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [VolumeCounter] &quot;C:\Programme\Volumenzaehler\BoVolume.exe&quot;
O4 - HKLM\..\Run: [CherryKeyman] &quot;C:\Programme\Cherry\KeyMan\KeyMan.exe&quot;
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [Spamihilator] &quot;C:\Programme\Spamihilator\spamihilator.exe&quot;
O8 - Extra context menu item: &amp;Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\PROGRAMME\AVANT BROWSER\AddAllToADBlackList.htm
O8 - Extra context menu item: Backward &amp;Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&amp;hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Hervorheben - C:\PROGRAMME\AVANT BROWSER\Highlight.htm
O8 - Extra context menu item: Nach Microsoft &amp;Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\keyman\IEMenuExtKeyman.html
O8 - Extra context menu item: Si&amp;milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Suchen - C:\PROGRAMME\AVANT BROWSER\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\PROGRAMME\AVANT BROWSER\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\PROGRAMME\AVANT BROWSER\OpenAllLinks.htm
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: concept/design's onlineTV (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...086.2493981481
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0F2CCB3-1F7F-43C0-B1A9-61DB02E407D0}: NameServer = 217.237.149.161 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{A0F2CCB3-1F7F-43C0-B1A9-61DB02E407D0}: NameServer = 217.237.149.161 194.25.2.129</pre>[/QUOTE]Was bedeuten also die letzten beiden Einträge ("O17")? Und wofür stehen die ("09").

Tschüß,
blinky

Who Cares 15.04.2004 18:37
Hi,

1) http://www.trojaner-board.de/51130-a...ijackthis.html

2) was sagt denn dein aktueller Virenscanner sowie
- SPYBOT
- Ad-Aware
- CWSHREDDER dazu ?

Links per Forensuche ;)

R0 kann raus, ggfs auch die GoogleToolbar-Einträge
;)

[ 15. April 2004, 19:43: Beitrag editiert von: Who Cares ]

Shadow 15.04.2004 18:40
Setze mal schnell die Links per Signatur rein.
Und werfe jetzt einen kurzen Blick ins Log

O17 sind die DNS-Server der Telekom, da Du T-Online nutzt ist das okay

Lutz 15.04.2004 18:43
Hallo Blinky und willkommen im Board,

hast Du schon die aktuellen Updates (von gestern) von Microsoft installiert?

Lt. US-CERT soll damit die Lücke geschlossen werden können, wenn mich mein Englisch jetzt nicht vollkommen verlassen hat. (Widersprüche ausdrücklich erwünscht! ;) )

Zusätzlich diesen Eintrag 'fix'en:

</font><blockquote>Zitat:</font><hr /> R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html </font>[/QUOTE]und die Dateien start.chm und start.html löschen.

</font><blockquote>Zitat:</font><hr />Was bedeuten also die letzten beiden Einträge ("O17")? Und wofür stehen die ("09")</font>[/QUOTE]Bitte einmal hier schauen: http://www.trojaner-board.de/51130-a...ijackthis.html

Gruß,
Lutz

blinky 18.04.2004 13:32
Vielen Dank!

Habe das Probleme dank Eurer Hilfe gelöst.

blinky


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:44 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131