Lästige HiJacker, Überprüfung der Log-Datei |
Willkommen, Gast ( Anmelden | Registrierung )
Lästige HiJacker, Überprüfung der Log-Datei |
03.07.2004, 13:14
Beitrag
#1
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 5 Mitglied seit: 03.07.2004 Mitglieds-Nr.: 1.135 |
Hallo zusammen.
Möchte zunächst mitteilen, dass ich kein super-hardcore-pc-spezialist bin, daher bitte nicht sauer sein, wenn ich (für euch) selbst einfachste Dinge nicht verstehe. Obwohl, ganz so blöd bin ich dann doch wieder nicht. Aber jetzt zu meinem Problem. Ich habe mir einen Hi-jacker gefangen, der sich beim Start von Windows schon durch die Meldung im Windows Explorer anzeigt: der Pfad zu "windows exe" konnte nicht gefunden werden oder existiert nicht Dann erscheint bei Eingabe der url immer zunächst eine englischsprachige Suchmaschine ( A-search). Erst nach mehrmaliger erneuter Eingabe der eigentlich gewollten Seite erscheint diese dann auch. Ich habe die erforderlichen Schritte, die auf der rokop-security-seite angegeben sind, bereits durchgeführt. ( Activex-Steuerelemente deaktiviert, Ad-Aware installiert und ausgeführt, SpybotSD installiert und ausgeführt, sowie mit Hilfe von Hi-jack this nach verdächtigen Dateien gesucht) Hierbei wurden auch verdammt viele Dateien gefunden und bereits gefixt. Nach Neustart des Computers erscheint die Meldung aber dennoch. Das erste Problem, dass jetzt auftaucht ist jedoch, dass ich nicht weß, wie ich die gespeicherte Log- Datei in diesen Text einfügen kann. Ist eventuell hier schon Hilfe möglich? Sorry. Ich bedanke mich bereits im voraus bei allen, die mich bei meinem Problem als relativ unbedarfter user unterstützen mögen. Michael |
|
|
03.07.2004, 13:20
Beitrag
#2
|
|
Orakel-Profi Gruppe: Freunde Beiträge: 5.200 Mitglied seit: 07.12.2003 Wohnort: Weiden (Oberpfalz) Mitglieds-Nr.: 256 Betriebssystem: Linux Mint 17.1 |
Du öffnest die Logdatei mit notepad. Dann markierst Du den kompletten Text, kopierst ihn in die Zwischenablage (mit der Tastenkombination Strg-C) und fügst den Text dann hier mit der Tastenkombination Strg-V wieder ein.
-------------------- Grüße, Jörg
|
|
|
03.07.2004, 16:24
Beitrag
#3
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 5 Mitglied seit: 03.07.2004 Mitglieds-Nr.: 1.135 |
So, das werde ich dann mal versuchen.
Und siehe da, es hat sogar geklappt. Vielen Dank für die erste prompte Hilfe. Logfile of HijackThis v1.98.0 Scan saved at 13:22:19, on 03.07.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\ATI2EVXX.EXE C:\WINDOWS\SCARDS32.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATIPTAXX.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE C:\PROGRAMME\SCANSOFT\OMNIPAGESE\OPWARE32.EXE C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE C:\PROGRAMME\MICROSOFT OFFICE97\OFFICE\OSA.EXE C:\PROGRAMME\NIKON\NKVIEW6\NKVMON.EXE C:\PALM\HOTSYNC.EXE C:\PROGRAMME\FRITZ!\IWATCH.EXE C:\PROGRAMME\WINZIP\WZQKPICK.EXE C:\PROGRAMME\DT\DT 11MBPS WIRELESS USB DEVICE\INSTALLER\WINME\DTUSBMONITOR.EXE C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\REAL\REALDOWNLOAD\REALDOWNLOAD.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\MY DOWNLOAD FILES\HJT.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\RNATHCHK.EXE C:\WINDOWS\WUAUCLT.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: BrowserHelper Class - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\SYSTEM\NZDD.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE /min O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe O4 - HKLM\..\RunServices: [TwkSCardSrv] C:\WINDOWS\SCARDS32.exe search O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe" O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office97\Office\OSA.EXE O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe O4 - Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Startup: RealDownload.lnk = C:\Programme\Real\RealDownload\REALDOWNLOAD.EXE O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O4 - Startup: DT 11Mbps WLAN USB Station.lnk = C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINME\DTUSBMonitor.exe O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O13 - DefaultPrefix: O13 - WWW Prefix: O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O16 - DPF: {48C20DEE-B00A-11D4-9B2F-0060975D990E} (Hi2Lobby Class) - http://212.122.148.211/lobby/atlclient.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/cha...v43/yacscom.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/200211...meInstaller.exe O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EP...ol_v1-0-3-9.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.2.1 O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL |
|
|
03.07.2004, 16:34
Beitrag
#4
|
|
Orakel-Profi Gruppe: Freunde Beiträge: 5.200 Mitglied seit: 07.12.2003 Wohnort: Weiden (Oberpfalz) Mitglieds-Nr.: 256 Betriebssystem: Linux Mint 17.1 |
Bitte fixen ("fixen" bedeutet: vor den von mir bemängelten Einträgen einen Haken setzen und anschließend auf "Fix checked" klicken):
O2 - BHO: BrowserHelper Class - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\SYSTEM\NZDD.DLL O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe O16 - DPF: {48C20DEE-B00A-11D4-9B2F-0060975D990E} (Hi2Lobby Class) - http://212.122.148.211/lobby/atlclient.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB Schicke dann bitte die Dateien C:\WINDOWS\WUAUCLT.EXE und C:\WINDOWS\SYSTEM\AUHOOK.DLL an virus@rokop-security.de (wuauclt.exe könnte ein Trojaner sein!) Der Beitrag wurde von Joerg bearbeitet: 03.07.2004, 16:35 -------------------- Grüße, Jörg
|
|
|
03.07.2004, 17:02
Beitrag
#5
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 5 Mitglied seit: 03.07.2004 Mitglieds-Nr.: 1.135 |
Hallo Jörg.
Den ersten Teil Deiner Anweisungen habe ich erledigt und die entsprechenden Dateien gefixt. Jetzt soll ich Dir noch die beiden Dateien mailen. Wie mache ich das denn? Einzeln markieren, ausschneiden oder kopieren und dann versenden? Ich möchte jedenfalls verhindern, dass ich mir diesen Sch.... ( Entschuldige bitte, kommt nicht wieder vor) irgendwo hin kopiere und mir den Rechner lahm lege oder sonst was auslöse. Ich möchte mich noch einmal für meine Unbedarftheit entschuldigen. Ich muss jetzt allerdings wieder weg und kann Deine weiteren Anweisungen erst wieder morgen früh befolgen. Einen schönen Abend noch. Michael |
|
|
03.07.2004, 17:13
Beitrag
#6
|
|
Orakel-Profi Gruppe: Freunde Beiträge: 5.200 Mitglied seit: 07.12.2003 Wohnort: Weiden (Oberpfalz) Mitglieds-Nr.: 256 Betriebssystem: Linux Mint 17.1 |
Es kommt darauf an, ob Du ein Mail-Programm benutzt oder Mails über eine Weboberfläche (z.B. bei GMX oder web.de) verschickst.
Bei einem Mailprogramm reicht es meist aus, im Explorer die betreffende Datei zu suchen, 1mal mit der Maus draufzuklicken und mit gedrückter Maustaste die Datei in das Mail-Programm (und dort in das Fenster, in der Du die Mail schreibst) zu ziehen; dort dann die Maustaste wieder loslassen (nennt sich "Drag and Drop"). QUOTE Ich möchte mich noch einmal für meine Unbedarftheit entschuldigen. Dafür gibts nichts zu entschuldigen, schließlich kann sich ja nicht jeder mit PCs gut auskennen und das Forum ist ja dazu da, Leuten zu helfen Dir auch einen schönen Abend, Grüße Jörg |
|
|
04.07.2004, 11:58
Beitrag
#7
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 5 Mitglied seit: 03.07.2004 Mitglieds-Nr.: 1.135 |
Hallo Jörg.
Ich habe die gewünschten Dateien gerade an die genannte email-Adresse gesandt und hoffe auf weitere Hilfe. Übrigens erschien nach nach dem Start des Rechners vorhin die Meldung aus dem Windows Explorer bzgl. des Pfads "windows exe" NICHT mehr. Auch werden die gewünschten websites so aufgerufen, wie tatsächlich gewünscht. Die ersten Schritte scheinen schon Wirkung gezeigt zu haben. Danke. |
|
|
04.07.2004, 12:02
Beitrag
#8
|
|
Orakel-Profi Gruppe: Freunde Beiträge: 5.200 Mitglied seit: 07.12.2003 Wohnort: Weiden (Oberpfalz) Mitglieds-Nr.: 256 Betriebssystem: Linux Mint 17.1 |
Wie ich Dir schon per Mail geschrieben hatte: Die beiden Dateien sind clean
Wenn Du keine weiteren Probleme mit Deinem Rechner mehr hast, so sehe ich derzeit keinen weiteren dringenden Handlungsbedarf. Du kannst Dich aber nach einem neuen Browser umsehen, der nicht so anfällig gegen Browser Hijacker ist wie der IE; Beispiele sind Mozilla, FireFox und Opera. -------------------- Grüße, Jörg
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 18.06.2024, 05:41 |