TROJANER??--->hijacklog

Dieses Thema im Forum "Sicherheit" wurde erstellt von ihatespyshit, 14. Oktober 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. ihatespyshit

    ihatespyshit Byte

    Registriert seit:
    11. Oktober 2004
    Beiträge:
    11
    hallo,
    hatte die trojaner win32.stubby, dyfuca, startpage und magicon.f drauf. habs jetzt, glaub ich jedenfalls, geschafft die weg zu kriegen.
    kann sich jemand mal mein hijacklog anschauen?
    danke im vorraus...


    Logfile of HijackThis v1.98.2
    Scan saved at 13:12:33, on 14.10.2004
    Platform: Windows ME (Win9x 4.90.3000)
    MSIE: Internet Explorer v5.50 (5.50.4134.0100)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\SPOOL32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\SYSTEM\STIMON.EXE
    C:\PROGRAMME\SYGATE\SPF\SMC.EXE
    C:\WINDOWS\SYSTEM\LEXBCES.EXE
    C:\WINDOWS\SYSTEM\RPCSS.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\PTSNOOP.EXE
    C:\WINDOWS\SYSTEM\CMMPU.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\WINDOWS\SYSTEM\LXSUPMON.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE
    C:\WINDOWS\LOADQM.EXE
    C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
    C:\PROGRAMME\PROANTIVIRUS LAB\DIGITAL PATROL SCANNER 5.0\UPDATE.EXE
    C:\WINDOWS\RUNDLL32.EXE
    C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE
    C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
    C:\PROGRAMME\WINZIP\WINZIP32.EXE
    C:\WINDOWS\TEMP\HIJACKTHIS.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.freemail.de/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
    R3 - Default URLSearchHook is missing
    F1 - win.ini: load=C:\WINDOWS\ptsnoop.exe
    F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
    O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [LexStart] Lexstart.exe
    O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
    O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\SYSTEM\LXSUPMON.EXE RUN
    O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    O4 - HKLM\..\Run: [LoadQM] loadqm.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
    O4 - HKLM\..\Run: [Digital Patrol Update 5] C:\PROGRAMME\PROANTIVIRUS LAB\DIGITAL PATROL SCANNER 5.0\UPDATE.EXE /autoupdate
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
    O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
    O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE
    O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
    O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
     
  2. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo ihatespyshit

    Diesen Eintrag.

    R3 - Default URLSearchHook is missing

    solltest du fixen.

    Dein IE ist veraltet. Aktuell ist Version 6.00.2800.1106

    Kannst du diese Einträge:


    C:\WINDOWS\PTSNOOP.EXE
    F1 - win.ini: load=C:\WINDOWS\ptsnoop.exe


    einem Programm zuordnen? Laut http://www.hijackthis.de/ werden diese Einträge als "böse" gekennzeichnet.

    Gruß
    Nevok
     
  3. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Unter Win ME gibt es ein System32-Verzeichnis und trotzdem ist die rundll32.exe am richtigen Platz.
     
  4. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hi franzkat

    Ich hab's mir fast gedacht. Da sollten die Betreiber der Website mal ein bißchen "Fehlerbereinigung" betreiben.

    Gruß
    Nevok
     
  5. ihatespyshit

    ihatespyshit Byte

    Registriert seit:
    11. Oktober 2004
    Beiträge:
    11
    hallo,
    danke für das durchsehen...also r3 eintrag hab ich gefixt und wegen ptsnoop hab ich mich mal im internet umgesehen. es gibt anscheinend zwei verschiedene ptsnoopsorten...das eine ist ein backdoor programm, das andere eine prozess der mit dem modem von pctel zusammenhängt. bei mir trifft wahrscheinlich eher letzter zu, denn hab auf meiner festplatte einen ordner gefunden der pctel heisst und in dem es um modemregistry einträge geht.
    aber was ist mit dem von euch erwähnten ordner system32 und dem prozess rundll.exe??
    greez
     
  6. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    So lassen, wie es ist. Das ist korrekt.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen