Hijacker problem

  • #1
V

VincentValentine

Mitglied
Themenersteller
Dabei seit
14.02.2004
Beiträge
11
Reaktionspunkte
0
Logfile of HijackThis v1.97.7
Scan saved at 20:20:27, on 03.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\mnmsrvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Serv-U\ServUDaemon.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\sysupd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\ICQ\Icq.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Opera7\Opera.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Vincent\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:xx213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:xx213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http:xx213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:xx213.159.117.132/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http:xx213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http:xx213.159.117.132/index.php
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://213.159.117.150:80/iex/ofile.exe?url=http://213.159.117.150:80/dexDE10.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{947BA361-D65B-4E03-AFAE-2F732B3AAEA7}: NameServer = 217.237.151.97 194.25.2.129

DAs ist meine Logdatei vom HiJackThis Remover-Tool das ich von einem user hier bekommen hatte. Danach ging alles wieder wunderbar und nun hab ich wieder das selbe problem:
es wird immer diese IP angwählt - als startseite.

gibts irgend ne andere abhilfe - hab grad gesehn, dass ich die neuesten versionen von HiJackThis und CWShredder hab

hoffe jemand weis rat
PS: die Registry-Einträger per hand ändern funzt auch nicht

vu
Vinc

paar Links editiert, zur Vorsicht ;)
 
  • #2
Fang doch mal mit dem vordringlichsten Problem an: Windowsupdate und IE-Update............
 
  • #3
VincentValentine schrieb:
Logfile of HijackThis v1.97.7
Scan saved at 20:20:27, on 03.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Zum Vergrößern anklicken....
Windows Update machen. WICHTIG!!!

Running processes:
C:\Programme\Opera7\Opera.exe
C:\Programme\Internet Explorer\iexplore.exe
Zum Vergrößern anklicken....
Sämtliche Browserinstanzen sollen geschlossen sein beim Scan.
Steht hier im Forumsthread und im TippArchiv. ::)


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:xx213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:xx213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http:xx213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:xx213.159.117.132/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http:xx213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http:xx213.159.117.132/index.php
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
Zum Vergrößern anklicken....
fixen

O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://213.159.117.150:80/iex/ofile.exe?url=http://213.159.117.150:80/dexDE10.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
Zum Vergrößern anklicken....
Würde ich auch fixen, klingt beides nicht gesund.
 
  • #4
VincentValentine schrieb:
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Zum Vergrößern anklicken....
hat ja aninemo schon geschrieben ::)

Running processes:
C:\WINDOWS\sysupd.exe
Zum Vergrößern anklicken....
Dialer Inet-cash oder TSCash 3.0 Autoupdate
http://www.pestpatrol.com/pestinfo/t/tscash.asp
und auch die Datei im Windows Verzeichnis löschen.

Running processes:
C:\Programme\Opera7\Opera.exe
Zum Vergrößern anklicken....
es sollten alle Browser geschlossen sein ???

Running processes:
C:\Programme\Internet Explorer\iexplore.exe
Zum Vergrößern anklicken....
alle Browser....aber das hat ja aninemo schon geschrieben ::)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:xx213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:xx213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http:xx213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:xx213.159.117.132/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http:xx213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http:xx213.159.117.132/index.php
Zum Vergrößern anklicken....
CoolWebSearch Spyware

O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
Zum Vergrößern anklicken....
Dialer, siehe oben unter Running processes

O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://213.159.117.150:80/iex/ofile.exe?url=http:xx213.159.117.150:80/dexDE10.exe
Zum Vergrößern anklicken....
Trojaner TR/Small.Dld.FO
http://www.virus-aktuell.de/foren/messages/1/1114.html?1082390890

O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
Zum Vergrößern anklicken....
auch fixen


pan_fee
 
  • #5
zuersteinmal thx für die hilfe

OK die Browser lass ich natürlcih aus - nur als ich die log machte hatte ich die browser wieder an...

weil die einträge dort eh immer wieder kommen

genauso wie diese beiden datein:

sysupd.exe und cftmon.exe
Die cftmon.exe erscheint sofort nach dem löschen wieder
sysupd kann man nicht wirklich löschen weil die datei sofort neu startet sobald ich den task beendet habe - und selbst wenn ich es geschafft habe sie zu löschen ist sie 10 sec später wieder dort

windows und browser update gemacht wieder alles von vorn versucht zu bereinigen - der hijacker ist hartnäckig - ich hab keine lust schon wieder zu formatiern -__-

noch vorschläge?

cu
vinc
 
  • #6
VincentValentine schrieb:
sysupd.exe und cftmon.exe
Die cftmon.exe erscheint sofort nach dem löschen wieder
Zum Vergrößern anklicken....
gehört zu Microsoft Office
ctfmon.exe = Microsoft Office CTF Loader (Texteingabegeräte, Spracherkennung). Alles von Office deaktivieren (Start/Ausführen/msconfig/Systemstart) oder nimm das Tool Startup

sysupd kann man nicht wirklich löschen weil die datei sofort neu startet sobald ich den task beendet habe
Zum Vergrößern anklicken....

hast du dir die Link angesehen?
Dialer Inet-cash oder TSCash 3.0 Autoupdate
http://www.pestpatrol.com/pestinfo/t/tscash.asp
Zum Vergrößern anklicken....
lies unter Running Processes, AutoRun Reference, Unregister DLLs, Clean Registry und Remove Files.

pan_fee
 
  • #7
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:xx213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:xx213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http:xx213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:xx213.159.117.132/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http:xx213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http:xx213.159.117.132/index.php
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra->Tools' menuitem: Show &Related Links (HKLM)

so die einträge krieg ich immernoch nich raus
es wechselt immer zwischen den unteren 3en und dem ganzen text da oben
 
  • #8
Ähm was genau soll uns das jetzt sagen?
Kannst du nochmal ein komplettes Log posten, so kann ich damit gar nichts anfangen.
 
Thema:

Hijacker problem

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.836
Beiträge
707.957
Mitglieder
51.488
Neuestes Mitglied
elkhse
Oben