Ich hätt da mal ein Hijack Problem |25|08|2004|

Kashperle

bekommt Übersicht
ich hätt da mal ein Hijack problem |25|08|2004|

Das Problem ist das ist ein rechner von meiner arbeit und wir dürfen da nich wirklich mit in internet wäre also cool wenn ich so schnell wie möglich eine lösung finden würde

ich hab schon probiert diverse einträge in der registry zu löschen aber diese kommen immmer wieder .....

Danke schon mal im vorraus

mfg kashperle

Logfile of HijackThis v1.97.7
Scan saved at 10:21:46, on 26.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\PScript3\Bin\PScript.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\McAfee\McAfee VirusScan\VsStat.exe
C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\McAfee\McAfee VirusScan\Webscanx.exe
C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
C:\WINNT\system32\ntvdm.exe
C:\WINNT\SYSTEM32\CMD.EXE
C:\Dokumente und Einstellungen\TERM73\Eigene Dateien\204\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-search.cc/search.php?v=6&aff=5109288
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-search.cc/index.php?v=6&aff=5109288
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://best-search.cc/index.php?v=6&aff=5109288
O1 - Hosts file is located at: C:\WINNT\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Alogserv] C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - Startup: MUpdate.bat.lnk = C:\MUPDATE\MUpdate.bat
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Verknüpfung mit PScript.lnk = C:\PScript3\Bin\PScript.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38118.2053935185
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
 
AW: Ich hätt da mal ein Hijack Problem |25|08|2004|

THX@Djin

meiste das das alles war bis auf die restlichen einträge in der egistry
 
AW: Ich hätt da mal ein Hijack Problem |25|08|2004|

Ich glaube es eigendlich nicht.
Der Trojaner ist mir nur so bein durchlesen aufgefallen.
Mal sehen ob noch einer was dazu sagt.
 
AW: Ich hätt da mal ein Hijack Problem |25|08|2004|

Hallo,

Der Trojaner müßte von McAfee erkannt werden, also Virenscanner starten.
Weitere Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = htp://best-search.cc/search.php?v=6&aff=5109288
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = htp://best-search.cc/index.php?v=6&aff=5109288
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htp://best-search.cc/index.php?v=6&aff=5109288
O1 - Hosts file is located at: C:\WINNT\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com

Hol dir den CWShredder, laß ihn reparieren und poste dann nochmal einen Hijackthis Log.

Grüße
arcanoa
 
AW: Ich hätt da mal ein Hijack Problem |25|08|2004|

Vielen Dank erstmal hier die log

Logfile of HijackThis v1.97.7
Scan saved at 09:24:26, on 27.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\McAfee\McAfee VirusScan\VsStat.exe
C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
C:\Programme\McAfee\McAfee VirusScan\Webscanx.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\PScript3\Bin\PScript.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Dokumente und Einstellungen\TERM73\Eigene Dateien\204\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Alogserv] C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - Startup: MUpdate.bat.lnk = C:\MUPDATE\MUpdate.bat
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Verknüpfung mit PScript.lnk = C:\PScript3\Bin\PScript.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38118.2053935185
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
 
AW: Ich hätt da mal ein Hijack Problem |25|08|2004|

Den Trojaner hast du anscheinend noch nicht entfernt:

C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe

Im Sophos - Link von Djin steht eine genaue Anleitung zur Beseitigung des Trojaners.

Aber aufpassen:

C:\<Windows>\Repair\lsass.exe (unter Windows 2000: C:\WINNT\repair\lsass.exe)

hat nichts zu tun mit

C:\WINNT\system32\lsass.exe

Das sind zwei verschiedene Dateien.

Grüße
arcanoa
 
AW: Ich hätt da mal ein Hijack Problem |25|08|2004|

danke fürden hinweis werd ich noch fixen

mfg kashperle
 
AW: Ich hätt da mal ein Hijack Problem |25|08|2004|

igfxtray.exe ist doch kein Trojaner.
Das ist (wie der Name schon sagt) das Trayicon der Intel Onboard-Grafikkartentreiber ;)
Prozessinformation

Das Programm kannst du getrost aus dem Autostart rauswerfen, weil du die Einstellungen, die es dir bietet auch über die Systemsteuerung einstellen kannst.
Aber es ist definitiv nicht schädlich. ;)
 
AW: Ich hätt da mal ein Hijack Problem |25|08|2004|

Der Trojaner, wenn's denn einer ist, heißt Troj/PAdmin-A und

"Der Trojaner legt außerdem die Datei igfxtray.exe ab und führt sie aus.
Diese Datei wird von Sophos Anti-Virus als Troj/Netstop-A erkannt." (s.obg. Sophos-Link)

Um den auszuschließend hat er ja den PC scannen sollen.

Grüße
arcanoa
 
AW: Ich hätt da mal ein Hijack Problem |25|08|2004|

vielen dank für eure bemühungen kann es leider erst am montag testen wenn ich wieder auf arbeit bin

mfg kashperle
 
Oben