|
Trojaner mit Startseite So das neue Logfile von HiJackthis Logfile of HijackThis v1.99.1 Scan saved at 16:39:32, on 21.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Intel\ASF Agent\ASFAgent.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Dell\OpenManage\Client\Iap.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\RealVNC\VNC4\WinVNC4.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\hkcmd.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\system32\userinit.exe C:\progs\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchforfree.info/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchforfree.info/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchforfree.info/browser/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchforfree.info/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://searchforfree.info/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchforfree.info/browser/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchforfree.info/browser/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchforfree.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchforfree.info/browser/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchforfree.info/browser/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://searchforfree.info/browser/ F3 - REG:win.ini: run=C:\WINDOWS\htmlsync.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [isystem] C:\WINDOWS\System32\isystem.exe O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ldriver] C:\WINDOWS\System32\ldriver.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {140B5386-059C-11D3-8998-002074156B00} (CalX Control) - http://www.asianacargo.co.kr/Korean/CalCtrl.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = freeborn.local O17 - HKLM\Software\..\Telephony: DomainName = freeborn.local O17 - HKLM\System\CCS\Services\Tcpip\..\{6DBEAEFB-F428-49CB-865A-32ACB556FA87}: NameServer = 192.168.1.33 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = freeborn.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = freeborn.local O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O21 - SSODL: NHQHjA - {D064891B-7ACE-23B1-C45C-AE26B1C8475F} - C:\WINDOWS\System32\gojal.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: ASF Agent (ASFAgent) - Intel Corporation - C:\Programme\Intel\ASF Agent\ASFAgent.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Iap - Dell Computer Corporation - C:\Programme\Dell\OpenManage\Client\Iap.exe O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing) |
Dein Logfile zeigt "lediglich" an, dass in der Sytemwiederherstellung die Signatur Backdoorprogrammes BDS/Dumador.AZ.2 gefunden wurde. Das ein Scanner Dateien in der Systemwiederherstellung löschen kann, ist mir allerdings neu... Wenn du die Systemwiederherstellung deaktivierst, ist der Drck auf jeden Fall weg. Allerdings sagt das noch nichts darüber aus, ob das Ding aktiv war/ist. Dein Startseitenproblem ist auch nicht erkennbar. Dazu müsstest du mal ein Logfile von Hijackthis posten. http://www.trojaner-board.de/51130-a...ijackthis.html |
So ich hab das HiJackthis ausgeführt und auch gleich die einträge der Startseite gelöscht, nach einem Neustart sind aber die selben einträge wieder da. Da ist irrgentwo ein eintrag der immer wieder alles neu erstellt weiss leider nicht wo bitte um Hilfe. mfg KingZeus |
Generell bietet es sich an, das System nochmal mit escan zu scannen, je nachdem was du da für Schädlinge hast, kannst du dir das Reparieren sparen: http://www.trojaner-board.de/42731-escan-anleitung.html HIer noch Infos zum Umgang mit escan: http://www.trojaner-board.de/showpos...69&postcount=1 Die Punkte [1] und [2] bitte ausführen. [Edit] Erklärung siehe auch hier: http://www.trojaner-board.de/showpos...99&postcount=2 Wichtig ist der große Absatz im Mittelteil.[/Edit] Zitat:
Zitat:
Zitat:
Zitat:
http://board.protecus.de/showtopic.php?threadid=16564 http://www.trojaner-board.de/showthread.php?t=16365 Zitat:
Zitat:
Zitat:
|
Danke für eine Hilfe MFG KingZeus |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:44 Uhr. |
Copyright ©2000-2025, Trojaner-Board