Logfile of HijackThis

Dieses Thema im Forum "Sicherheit" wurde erstellt von d_mac, 7. April 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. d_mac

    d_mac ROM

    Registriert seit:
    7. April 2004
    Beiträge:
    3
    Ich glaub, ich habe ein Trojan gestern bekommen. NAV hat es gefunden und gelöst aber IE und NAV funktionieren nicht so tüchtig wie früher. Eine Startseite auf IE kann ich nicht feststellen, und beim Emailscannen ist NAV kömisch, da es lauter Skriptfehler kommen.

    Hab alles versucht (NAV neu-Installation usw) aber bin nicht weiter gekommen. Wer leistet Hilfe?

    Unten ist das HijackThis logfile, und weiter NAV Fehlermeldungen:

    ________________________
    Logfile of HijackThis v1.97.7
    Scan saved at 11:44:57, on 07.04.2004
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\System32\cisvc.exe
    C:\Programme\Symantec\DeepSight Extractor\ExtractorService.exe
    C:\Programme\Norton AntiVirus\navapsvc.exe
    C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\regsvc.exe
    C:\WINDOWS\system32\MSTask.exe
    C:\WINDOWS\system32\stisvc.exe
    C:\Programme\STOPzilla!\szntsvc.exe
    C:\WINDOWS\System32\WBEM\WinMgmt.exe
    C:\WINDOWS\System32\mspmspsv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\EZButton\CP51NBtn.EXE
    C:\WINDOWS\System32\qttask.exe
    C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\WINDOWS\nMtsk.exe
    C:\Programme\Browser MOUSE\mouse32a.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
    C:\Programme\MSN Messenger\MsnMsgr.Exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    C:\PROGRA~1\EZButton\CPHKCnt.EXE
    C:\WINDOWS\System32\cidaemon.exe
    C:\Dokumente und Einstellungen\Administrator\Desktop\downloads\HijackThis.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com@www.e-finder.cc/hp/ (obfuscated)
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [CP51NBtn] C:\PROGRA~1\EZButton\CP51NBtn.EXE
    O4 - HKLM\..\Run: [DSS] SOFTWARE\Broderbund Software\DSS\AppList\FTO3844AE
    O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    O4 - HKLM\..\Run: [Microsoft Tray] C:\Programme\eDonkey2000\incoming\Norton.Antivirus.2003.keygen\NAkeygen2003.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [nMTaskBarService] nMtsk.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
    O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
    O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe -quiet
    O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
    O9 - Extra button: Preispiraten (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O9 - Extra button: Real.com (HKLM)
    O9 - Extra button: Yahoo! Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
    O13 - DefaultPrefix: http://ehttp.cc/?
    O13 - WWW Prefix: http://ehttp.cc/?
    O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
    O16 - DPF: {0FC6BF2B-E16A-11CF-AB2E-0080AD08A326} (LiveUpdate Crescendo) - http://activex.liveupdate.com/controls/cres.cab
    O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\ss.MHT!http://64.237.47.178//chm.chm::/1/e.exe
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productupdates/content/opuc.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {69FD62B1-0216-4C31-8D55-840ED86B7C8F} - http://installs.hotbar.com/installs/hotbar/programs/hotbar.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37581.9485532407
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4153A3D9-7723-4366-8AD9-BCA4A3F0410C}: NameServer = 192.168.1.1
    _______________________________

    Internet Explorer-Skriptfehler
    **
    In dem Skript auf dieser Seite ist ein Fehler aufgetreten.
    Zeile: 23
    Zeichen: 2
    Fehler: 'AxListCtrl' ist undefiniert
    Code: 0
    URL: res://C:\Programme\Norton%20AntiVirus\NAVComUI.DLL/RepairWizard.htm

    Soll diese Seite weiterhin ausgeführt werden?
    Ja/Nein
    **

    UND

    **
    'g_NAVStatus' ist undefiniert:
    res://C:\PROGRA~1\NORTON~1\NAVUI.dll/navstats.htm :298
    3002,0
    **
     
  2. Gast

    Gast Guest

    R0 fixen lassen

    O13 - DefaultPrefix: h**p://%65%68%74%74%70%2E%63%63/?
    O13 - WWW Prefix: h**p://%65%68%74%74%70%2E%63%63/?

    Hijacker. Fixen lassen

    O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\ss.MHT!h**p://64.237.47.178//chm.chm::/1/e.exe

    Hijacker. Fixen lassen. Ist ein ganz aktueller Exploit für den IE.

    O16 - DPF: {69FD62B1-0216-4C31-8D55-840ED86B7C8F} - h**p://installs.hotbar.com/installs...rams/hotbar.cab

    Hijacker
     
  3. Gast

    Gast Guest

    Was das betrifft: in "Extras/Internetoptionen/Erweitert" gibt es eine Option, die heißt "Scriptdebugging deaktivieren". Da muss ein Häkchen hin=deaktiviert. Die Scriptfehler kommen von der betreffenden Seite.
     
  4. Gast

    Gast Guest

Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen