Hijack file-könnt ihr helfen?

Dieses Thema im Forum "Netzwerk, Telefon, Internet" wurde erstellt von allstar, 21. März 2007 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 21. März 2007
    so liebe leute, hab folgendes Prob, komischerweise disconnected mein Inet immer von slebst und connected wieder. Ich gehe stark davon aus, dass es sich hier um einen trojaner oder virus handelt. Ich hab Kaspersky scannen lassen und paar trojaner beseitigt, aber das prob ist immer noch da.

    Hab jetzt Hijack rüberlaufen lassen aber blicke nicht wirklich durch, wär super wenn ihr mir helfen könntet

    ------------------------------------------------

    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 19:33:50, on 21.03.2007
    Platform: Windows XP (WinNT 5.01.2600)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\Mixer.exe
    C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
    C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\ArcorOnline\Arcor.exe
    C:\Programme\ICQLite\ICQLite.exe
    C:\PROGRA~1\Mozilla Firefox\firefox.exe
    C:\Dokumente und Einstellungen\Sergej\Desktop\HiJackThis_v2.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ICQ.com Search
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Startseite - Arcor Magazin
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Startseite - Arcor Magazin
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Startseite - Arcor Magazin
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Startseite - Arcor Magazin
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Startseite - Arcor Magazin
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
    O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
    O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO.dll
    O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - (no file)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
    O2 - BHO: (no name) - {C47B9ECE-41D4-4ECD-BDDA-E17D068D99C2} - (no file)
    O2 - BHO: (no name) - {E03C740E-BB24-4d3c-B92A-6F84DE1DD99C} - (no file)
    O2 - BHO: (no name) - {E7A17608-D120-4906-AE7D-DF3B9D55053C} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
    O3 - Toolbar: (no name) - {74DD705D-6834-439C-A735-A6DBE2677452} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Does Keep] C:\DOKUME~1\Sergej\ANWEND~1\MANAGE~1\Cast grey.exe
    O4 - HKCU\..\RunServices: [Microsoft dll Host Service ] wkssr.exe
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunServices: [Microsoft dll Host Service ] wkssr.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunServices: [Microsoft dll Host Service ] wkssr.exe (User 'Default user')
    O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
    O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
    O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
    O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
    O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6FA6F6B7-9189-469D-A34D-BAAECC108E1C}: NameServer = 195.50.140.114 195.50.140.252
    O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
    O20 - Winlogon Notify: iiijj - C:\WINDOWS\System32\iiijj.dll (file missing)
    O20 - Winlogon Notify: vtussst - vtussst.dll (file missing)
    O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
    O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

    --
    End of file - 6809 bytes




    naja, hab da paar dateien gefunden die verdächtig sien könnten, aber könnten aber auch ganz normal sien


    mfg allstar
     
  3. 21. März 2007
    AW: Hijack file-könnt ihr helfen?

    Die fixxed du mal, dann wartest noch auf spotting. Der hat weiiit mehr Ahnung
     
  4. 21. März 2007
    AW: Hijack file-könnt ihr helfen?

    Alles wo (no file) oder (file missing) hintendransteht kannste auch fixxen. Falls du auf Nummer sicher gehen willst - hier die offizielle Homepage mit Supportforum, wo du dein Log-File auch noch posten kannst: HijackThis Logfileauswertung

    mfg,
    m00pd00p
     
  5. 21. März 2007
    AW: Hijack file-könnt ihr helfen?

    Hab nichts gesagt ^^°°°°°


    Mhhh hatte mal nen ähnliches Problem.
    Also bei mir was ne ersetzte svchost.exe .. damals... kannst ja mal auf das
    Erstellungsdatum der verwendeten exen schaun.
    bzw. nur bei den System-exen wenn das vom allgemeinen
    Datum abweicht was bei den anderen Dateien angezeigt wird, kannste
    davon ausgehen das da nen Problem liegt.

    Jedenfalls lag bei mir damals das Problem dort.


    Diese Datei würde mich beschäftigen.. Diese exe habe ich eben in mehreren Trojaner Boards gelesen.
     
  6. 21. März 2007
    AW: Hijack file-könnt ihr helfen?

    Du hast ein paar Trojaner gelöscht? Ich würde alles retten und dann plattmachen, sonst wirst du nie mehr sicher sein, ob das System kompromittiert oder nicht ist.
     
  7. 21. März 2007
    AW: Hijack file-könnt ihr helfen?



    wie genau soll ich diese dateien wegbekommen? wie sollte ich am betsen vorgehen`?

    bewertungen sind natürlich bis jetzt an alle raus



    mfg allstar
     
  8. 21. März 2007
    AW: Hijack file-könnt ihr helfen?

    Also am besten erstmal so versuchen

    Versuchen den Prozess im Taskmanager zu killen. Insofern die exe dort drinne steht. Dann-->

    1. Versuchen sie zu verschieben/ um zu benennen / zu löschen ganz normal.
    Vorraussetung ist das nichts mehr auf die exe drauf zugreift.
    2. Wenn das alles nicht geht das ganze nochmal im Abgesicherten Modus von Windows.

    Ansonsten später wenn das nichtsmehr bringt müsstest du nen live Windows oder Linux starten, aber spätestens ab da würde ich dir raten dein System neu zu machen.
     
  9. 21. März 2007
    AW: Hijack file-könnt ihr helfen?

    Sicher sein kannst eigentlich nie... (naja du kannst dein win installen und den pc nie ans inet anschließen.. und am besten gleich keine laufwerke einbauen.. =) )

    Aber gleich plattmachen würd ich nich, mit HiJackThis und Nem guten Virenscanner lässt sich eigentlich alles böse entfernen.

    Kannst du sie mit HiJackThis nich Fixen? Dann versuch das mal im Abgesicherten Modus, ansonsten manuell, wie Smokers schon sagte.

    GreetZ, ~Br4inP4in~
     
  10. 21. März 2007
    AW: Hijack file-könnt ihr helfen?

    Na gut, da hast du recht, sicher ist nur der Tod. Jedoch ist das Risiko, dass das System nach einer Neuinstallation kompromittiert ist, signifikant geringer. Es ist auch immer eine Frage was man an dem PC arbeitet, wenn man nur spielt und bspw. kein Online-Banking macht, hat man natürlich auch ein anderes Sicherheitsbedürfniss.
    Aber wenn ich höre, dass "ein paar Trojaner" drauf waren und er das System so weiter benutzen will, dann bekomm ich Gänsehaut.
     
  11. 22. März 2007
    AW: Hijack file-könnt ihr helfen?

    also, solange du uns nicht sagen kannst, welche trojaner das waren, die kaspersky entfernen konnte, kann ich dir nur sagen, bleibt dir auf dauer nur ein formatieren sämtlicher daten.

    warum?

    1. backdoor.trojaner - ihre aufgabe ist es NICHT das system zu stören, sondern das system durch einen einmaligen eingriff dauerhaft zu schädigen, indem in windows eine sicherheitslücke geöffnet wird, die weder durch eine firewall, noch durch einen virenscanner ständig überwacht werden. machen sie diese aufgabe gut, ist dein system seit dem scan mit kaspersky inzwischen NEU infiziert worden.

    2. trojan.downloader - ihre aufgabe is es nicht das system zu stören, sondern weiter malware herunter zu laden. die letzten trojan.downloader, die ich gesehen hatte, haben ebenfalls "schläfer" angelegt. malware, die einfach ein paar tage wartet, bis sie mit ihren schadhaften aktionen loslegt.

    außerdem:

    ein grundsatz bei der virenbekämpfung

    du kannst dir NIEMALS über die abwesenheit von malware sicher sein, da nur die anwesenheit - die abwesenheit jedoch nicht - bewiesen werden kann.

    nun, je nachdem.
    C:\Programme\ICQToolbar\toolbaru.dll
    C:\WINDOWS\System32\CTFMON.EXE
    C:\Programme\Google\googletoolbar3.dll
    C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Programme\BitComet\tools\BitCometBHO.dll
    [Microsoft dll Host Service ] wkssr.exe (User 'SYSTEM')
    C:\DOKUME~1\Sergej\ANWEND~1\MANAGE~1\Cast grey.exe
    IERESET.INF
    NetPumper

    diese dateien bitte bei Jotti online malware scan oder virustotal online scan prüfen und die ergebnisse hier posten.

    außerdem,

    alle Einträge in hijackthis die NICHT mit "O4" oder "O23" anfangen können in hijackthis gefixxed werden.

    außerdem, finger weg vom netpumper. die finanzieren ihren dienst NICHT durch direkt werbung sondern durch malware. ... ... ...

    wie geht es weiter?

    wenn du das alles gelesen, die dateien oben bei jotti oder virustotal getestet hast, machst du einen neuen hijackthis scan, diesmal bitte mit der alten version 1.99 von hijackthis. die darstelung der 2er version verwirrt mich noch ein wenig

    und die testergebnisse, (jotti für die dateien, hijackthis für mich) postest du dann hier.


    mfg spotting
     
  12. 22. März 2007
    AW: Hijack file-könnt ihr helfen?

    also ich hab die dateien gescannt und bei diesen beiden dateien


    C:\Programme\Google\googletoolbar3.dll
    C:\DOKUME~1\Sergej\ANWEND~1\MANAGE~1\Cast grey.exe

    kommt eine eigenartige meldung

    "The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"


    wie fixxe ich die dateien denn mit hijack? hab so etwas noch nie gemacht

    ach ja spotting, an dich ist auhc eine bewertung raus

    mfg allstar
     
  13. 22. März 2007
    AW: Hijack file-könnt ihr helfen?

    schau auch mal zwischendurch ob gewisse prozesse ungewöhnlich viel Resourcen fressen im Taskmanager...vor allem wenn es Internetspezifische sind wie svchost.exe kannste dir sicher sein das sich da etwas festgesetzt hat und ich würde dir empfehlen die wichtigesten Dateien zu sichern und dann dein Sytem neu aufzusetzen.

    mfg wookie
     
  14. 26. März 2007
    AW: Hijack file-könnt ihr helfen?

    so, hab denke ich mal die meisten trojaner beseitigt aber leitung immer noch mies.
    Hab bei Arcor angerufen, derFehlr liegt bei denen und im laufe dieser Woche sollte er behoben werden, ist ein Kurzshcluss glaub ich.

    Danke für eure Hilfe, hab jetzt Immerhin meinen Rechner gereinigt^^



    mfg allstar



    bis dahin ---closed---
     
  15. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.