|
Hallo, ich habe seit gestern einen Trojaner, welcher meine Startseite verstellt. Ich habe schon alles mögliche ausprobiert um ihn zu löschen, aber der will nicht weg javascript:void(0) javascript:void(0). Vielleicht fällt euch ja noch was ein. Hier mein HijackThis-Logfile: Logfile of HijackThis v1.97.7 Scan saved at 16:20:25, on 26.05.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ctfmon.exe D:\EigeneDats\DOWNLOAD\Tools\mozilla\bin\mozilla.exe C:\Dokumente und Einstellungen\Neo\Desktop\hijackthis1977\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = *http://cashsearch.biz/redir1.php* R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = *http://cashsearch.biz/redir1.php* R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = *http://cashsearch.biz/redir1.php* R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = *http://cashsearch.biz/redir1.php* R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = *http://cashsearch.biz/redir1.php* R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = *http://cashsearch.biz/redir1.php* O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Brennen\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Zahlungserinnerung.lnk = D:\HCW\wzed.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5C1FC0B0-4129-4E9E-BEFB-702F58928A7F}: NameServer = 192.168.0.250 Vielen Dank Neo25 [img]graemlins/heulen.gif[/img] [ 26. Mai 2004, 16:40: Beitrag editiert von: Neo25 ] |
Versuch's wenn möglich mal bitte mit der neusten ewido security suite (http://www.ewido.net), die sollte das nun eigentlich erkennen und entfernen können, würde mich echt mal interessieren, ob's hinhaut, danke [img]smile.gif[/img] |
Ach ja wichtig... sollte was gefunden werden, danach mittels HJT folgende Einträge fixen: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = *http://cashsearch.biz/redir1.php* R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = *http://cashsearch.biz/redir1.php* R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = *http://cashsearch.biz/redir1.php* R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = *http://cashsearch.biz/redir1.php* R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = *http://cashsearch.biz/redir1.php* R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = *http://cashsearch.biz/redir1.php* |
Der Scan-Report sieht so aus: --------------------------------------------------------- ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 18:43:16, 26.05.2004 + Report-Checksumme: 909CECB7 + Datum der Signaturen: Keine Signaturen vorhanden! + Version der Scanengine: v1.1 + Suchdauer: 34 min + Untersuchte Dateien: 60477 + Geschwindigkeit: 29.56 Dateien/Sekunden + Infizierte Dateien: 0 + Entfernte Dateien: 0 + Unter Quarantäne gestellte Dateien: 0 + Dateien, die nicht geöffnet werden konnten: 25 + Dateien, die nicht gesäubert werden konnten: 0 + Endung ignorieren: Ja + Binder: Ja + Crypter: Ja + Speicher: Nein + Archive: Nein + Heuristik: Nein + Gescannt wurde: C:\ D:\ E:\ F:\ G:\ + Scanergebnis: C:\PAGEFILE.SYS -> Datei konnte nicht geöffnet werden C:\WINDOWS\system32\config\system.LOG -> Datei konnte nicht geöffnet werden C:\WINDOWS\system32\config\software.LOG -> Datei konnte nicht geöffnet werden C:\WINDOWS\system32\config\default.LOG -> Datei konnte nicht geöffnet werden C:\WINDOWS\system32\config\SECURITY -> Datei konnte nicht geöffnet werden C:\WINDOWS\system32\config\SAM -> Datei konnte nicht geöffnet werden C:\WINDOWS\system32\config\SAM.LOG -> Datei konnte nicht geöffnet werden C:\WINDOWS\system32\config\SECURITY.LOG -> Datei konnte nicht geöffnet werden C:\WINDOWS\system32\config\SYSTEM -> Datei konnte nicht geöffnet werden C:\WINDOWS\system32\config\DEFAULT -> Datei konnte nicht geöffnet werden C:\WINDOWS\system32\config\SOFTWARE -> Datei konnte nicht geöffnet werden C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT -> Datei konnte nicht geöffnet werden C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat -> Datei konnte nicht geöffnet werden C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG -> Datei konnte nicht geöffnet werden C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG -> Datei konnte nicht geöffnet werden C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT -> Datei konnte nicht geöffnet werden C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG -> Datei konnte nicht geöffnet werden C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat -> Datei konnte nicht geöffnet werden C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG -> Datei konnte nicht geöffnet werden C:\Dokumente und Einstellungen\Neo\NTUSER.DAT -> Datei konnte nicht geöffnet werden C:\Dokumente und Einstellungen\Neo\NTUSER.DAT.LOG -> Datei konnte nicht geöffnet werden C:\Dokumente und Einstellungen\Neo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat -> Datei konnte nicht geöffnet werden C:\Dokumente und Einstellungen\Neo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG -> Datei konnte nicht geöffnet werden C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BargainBuddy7.zip -> Datei konnte nicht geöffnet werden C:\hiberfil.sys -> Datei konnte nicht geöffnet werden ::Report Ende |
Sind die Dateien nicht lesbar, weil sie vom Virus befallen sind??? Wenn ja, was sollte ich dann am besten tun? |
Nein, aber du musst schon die Signaturen laden ;) </font><blockquote>Zitat:</font><hr />Datum der Signaturen: Keine Signaturen vorhanden!</font>[/QUOTE] |
</font><blockquote>Zitat:</font><hr />Original erstellt von Neo25: Sind die Dateien nicht lesbar, weil sie vom Virus befallen sind??? Wenn ja, was sollte ich dann am besten tun? </font>[/QUOTE]Nein, dass sind ganz "normale" System-Dateien (Benutzerdatenbank, Auslagerungsdatei, etc...) die glücklicherweise vom Betriebssystem geschützt werden. Warum allerdings die Software es nicht schafft im Gegensatz zu anderen Programmen darüber zu schweigen (zumindestens im DAU-Modus) und unerfahrene User schreckt, kapier ich nicht. |
Hallo Neo, such mal auf Deinem Rechner nach dieser Datei: C:\WINDOWS\system32\system32.dll und überprüfe diese online bei Kaspersky -> http://www.kaspersky.com/de/scanforvirus.html Fast würde ich wetten, dass es diese Datei auf dem Rechner gibt und diese als infiziert gemeldet wird... |
Ja diese Datei ist zu, 99,999% "infiziert" und würde auch mit Signaturen von ewido erkannt werden [img]smile.gif[/img] </font><blockquote>Zitat:</font><hr />Warum allerdings die Software es nicht schafft im Gegensatz zu anderen Programmen darüber zu schweigen (zumindestens im DAU-Modus) und unerfahrene User schreckt, kapier ich nicht.</font>[/QUOTE]Naja, weil es in Tests Punktabzug gibt [img]smile.gif[/img] Werden aber bald bestimmte Dateien, von denen man echt sicher sagen kann, sie sind Windows-Dateien, ausblenden... Bleiben trotzdem noch einige übrig, von daher... naja... kann man eigentlich gleich alle anzeigen [img]smile.gif[/img] |
Habe die Datei gefunden und geprüft. Sie war vom Virus befallen. Ist das überhaupt eine Systemdatei??? Wenn nicht, kann ich sie doch einfach löschen, oder? |
Ist keine Systemdatei - weg damit [img]smile.gif[/img] |
Juhu!!! Ich glaube ich bin ihn los. Ich habe die System32.dll im Abgesicherten Modus gelöscht, nach einem Neustart HJT nochmal ausgefürt und die "bösen Sachen" gefixt. Jetzt werde ich noch einen Neustart machen. Aber bis jetzt sieht's schon mal sehr gut aus!!!javascript:void(0) javascript:void(0) |
Scan lieber trotzdem nochmal drüber, das Teil hat auf meinem Testsystem einige andere Sachen noch nachgeladen und nicht nur ins Windows-Verzeichnis gepackt... |
Wird sofort gemacht! ...Und diesmal mit Signaturen javascript:void(0) javascript:void(0) |
Oh, der findet ja wirklich noch ein paar dateien! Sollte man wirklich Sicherheitskopien in der Quarantäne anlegen lassen??? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:11 Uhr. |
Copyright ©2000-2025, Trojaner-Board