Forum
Tipps
News
Menu-Icon

Hijack logfile

hallo leute
kann mir jemand helfen - habe HIJACKTHIS laufen lassen.weiß jetzt nicht was ok ist und was nicht  ??? ???- schaut mal drüber ob was auffälliges zu erkennen ist


Logfile of HijackThis v1.97.7
Scan saved at 20:20:22, on 27.04.2004
Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton Personal Firewall\ATRACK.EXE
E:\Programme & Tools\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: In &neuem Fenster öffnen - C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuofinw.tui
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38027.3541550926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

vielen dank schonmal im vorraus



Antworten zu Hijack logfile:

Fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Gruß


hab da gleich noch ne frage
was passiert da eigentlich wenn die einträge gefixt werden?
ist das so ne art reperatur ?
kann es sein das anschließend was nicht mehr funktioniert?

danke nochmal

ach so hab noch vergessen - sonst ist alles normal?

Naja die Einträge werden gelöscht...

Bei dir is ja nix schädliches dabei gewesen nur unnützes..

Jo alles in Ordnung soweit
Wenn der Antivirenscanner nix anzeigt is OK

Gruß

Man ich bin dir echt dankbar.
Hab hier noch ne logfile von SpybotS+D.
Die TrackingCooks hab ich schon rausgehauen mit dem Rest weiß ich nicht weiter.Kannst du nochmal drauf sehen und mir sagen ob ich da auch auf Probleme beheben klicke.

Hab mir Opera7.23 German 15,8 MB(mitJava) runtergeladen. Gibts da noch was zu beachten bei der Installation.Muß ich da irgendwelche Einstellungen besonders beachten.Hoffe das ist wirklich alles in deutsch.ok hier das Ergebnis von Spybot

Advertising.com: Tracking cookie or cookie of tracking site (Datei, fixed)
  C:\Dokumente und Einstellungen\Thomas\Cookies\[email protected][1].txt

Advertising.com: Tracking cookie or cookie of tracking site (Datei, fixed)
  C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@advertising[1].txt

Alexa Related: What's related link (Datei austauschen, fixed)
  C:\WINDOWS\Web\related.htm

Avenue A, Inc.: Tracking cookie or cookie of tracking site (Datei, fixed)
  C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@atdmt[1].txt

DoubleClick: Tracking cookie or cookie of tracking site (Datei, fixed)
  C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@doubleclick[1].txt

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-21-1993962763-1547161642-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

MediaPlex: Tracking cookie or cookie of tracking site (Datei, fixed)
  C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@mediaplex[1].txt

ValueClick: Tracking cookie or cookie of tracking site (Datei, fixed)
  C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@valueclick[1].txt

Windows Media Player: Client ID (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-20\Software\Microsoft\MediaPlayer\Player\Settings\Client ID=

Windows Media Player: Client ID (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-19\Software\Microsoft\MediaPlayer\Player\Settings\Client ID=


--- Spybot-S&D version: 1.2  ---
2004-02-26 Includes\Cookies.sbi
2004-02-29 Includes\Dialer.sbi
2004-02-29 Includes\Hijackers.sbi
2004-02-26 Includes\Keyloggers.sbi
2004-02-29 Includes\Malware.sbi
2003-03-16 Includes\plugin-ignore.ini
2004-03-09 Includes\Revision.sbi
2004-02-26 Includes\Security.sbi
2004-02-29 Includes\Spybots.sbi
2003-03-16 Includes\Temporary.sbi
2004-02-26 Includes\Tracks.uti
2004-02-29 Includes\Trojans.sbi


MfG

Die schaun komisch aus:

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-21-1993962763-1547161642-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

Hat er da kein Beschreibung dazu ausgegeben?
Wennst auf so ein Eintrag klickst bekommste normal weitere Infos dazu.

Normalerweise sollte da auchn Link zu Microsoft dabei sein oder ein andere Link, das man schauen kann was dasist.

Auf jedenfalll sind das Sicherheitszonen-Änderungen aber was genau wäre wichtig

Gruß

Also Spybot info zu den DSO Einträgen
Es gibt ein Sicherheitsloch welches Websites ermöglicht Codes auszuführen ohne mich vorher zu fragen ??? hört sich nicht gut an oder?Sollte ich wohl von Spybot beheben lassen oder?
Ist das sicherheitsloch dann automatisch behoben?

Zu den Media Player einträgen gibt Spybot keine Info

Hoffe dir nicht auf die Nerven zugehen :-[

There`s a security hole in IE allowing websites to execute code without asking you first.
You can find more information at http://security.greymagic.com/adv/gm001-ie/
Firmen-URL : http://www.microsoft.com/
Produkt-URL : http://www.microsoft.com/windows/de/
Privacy-URL : http://www.microsoft.com/info/privacy.htm

das ist die info zu den DSO Einträgen.

dann war ich auf der angegebenen Site(greymagic)
dort alles auf engl.und ich natürlich nicht besonders fit in engl.
also dacht ich alles in wordpat kopiert und hier her damit du drauf schaust.
Dann nach einfügen ins wordpat ist Norten Antivirus angesprungen und hat virus gemeldet.
Virusname :XMLid.Exploit wurde von Norten sofort gelöscht.
Hier nun die info bei greymagic :

GreyMagic Security Advisory GM#001-IE
By GreyMagic Software, Israel.
27 Feb 2002. Topic: Executing arbitrary commands without Active Scripting or ActiveX.
Discovery date: 25 Feb 2002.
Affected applications: Any application that hosts the WebBrowser control (5.5+) is affected since this exploit does not require Active Scripting or ActiveX. Some of these applications are:
Microsoft Internet Explorer
Microsoft Outlook
Microsoft Outlook Express
Introduction: In an advisory from Jan 10 2002 "The Pull" demonstrated how it is still possible to use an older bug (initially discovered by Dildog) in the <object> HTML element to run arbitrary commands.
Although "The Pull"'s findings were interesting, his analysis of the re-found bug was erroneous, the problem does not lie within the Popup object, the problem is with dynamically inserted HTML fragments at any point in the document.
All "createPopup" does is create a (featureless) window containing an empty HTML document, this does not pose a threat, but later on, that document has HTML injected to it (using innerHTML), which is the actual problem.
For example, the following code will work just the same:

<span id="oSpan"></span>
<script language="jscript" defer>
    oSpan.innerHTML='<object classid="clsid:11111111-1111-1111-1111-111111111111" codebase="c:/winnt/system32/calc.exe"></object>';
</script>
(Note: innerHTML is not the only property used to dynamically insert HTML to any element, it is also possible to use outerHTML, insertAdjacentHTML and more to gain the same results.)
Discussion: So now that we identified the origin of the problem we can search for ways to dynamically insert HTML without using any Active Scripting at all. It will then become possible to use this bug in more "protected" environments, such as Microsoft Outlook or Internet Explorer with Active Scripting and ActiveX disabled.
One of the exciting features that came along in IE4 was Data Binding; it enables developers to completely separate any application data from the presentation layer. The data sources (DSO) for Data Binding can be almost anything, CSV files (with TDC), HTML, XML and many more. Data Binding binds HTML elements (data consumers) such as div or span to the DSO without need for a single line of script code.
We found out that when the "dataFormatAs" attribute is set to "HTML" on the consumer, Data Binding internally uses innerHTML in order to insert the data into the element (otherwise innerText is used).
So all we need to do now is supply a DSO that contains the offending <object> element, the rest will be done for us by the Data Binding engine, no scripting needed.
Exploit: In the following example we're using an XML data-island as our DSO and a span element as the data consumer. Using XML is especially comfortable because it can be embedded within the document, without need for external requests that may be stopped by the host application.
<span datasrc="#oExec" datafld="exploit" dataformatas="html"></span>
<xml id="oExec">
    <security>
        <exploit>
            <![CDATA[
            <object id="oFile" classid="clsid:11111111-1111-1111-1111-111111111111" codebase="c:/winnt/system32/calc.exe"></object>
            ]]>
        </exploit>
    </security>
</xml>
Solution: There is no configuration-tweaking workaround for this bug, it will work as long as the browser parses HTML. The only possible solution must come in the form of a patch from Microsoft.
Update - 3 Mar 2002
Since the injected <object> runs in the "My Computer" Zone changing the Internet Zone's settings didn't affect it, but changing the correct zone's settings will prevent this exploit from running.
Here is the registry information:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0]
Change the value of "1004" (DWORD) to 3.
Many thanks to Axel Pettinger and Garland Hopkins for this workaround.
Tested on: IE5.5 Win98.
IE5.5 NT4.
IE6 Win2000.
IE6 WinXP.

Demonstration: We put together two proof-of-concept demonstrations:
Important Note: If you run anti-virus software, it may complain when you try to run these. This does NOT mean that you have a virus now, or that you're affected or unaffected by this vulnerability.
Simple: attempts to run "c:/winnt/system32/calc.exe".
Advanced: lets the user pick what they want to run.
Disclaimer: The information in this advisory and any of its demonstrations is provided "as is" without warranty of any kind.
GreyMagic Software is not liable for any direct or indirect damages caused as a result of using the information or demonstrations provided in any part of this advisory.

Kannst du damit was anfangen? Für mich ist das wie Böhmische Wälder.
Bin jetzt voll verunsichert - erst hab ich n Sicherheitsloch  :o und jetzt auch noch n Virus ::) :-
[  hilfe..... panik

MfG

Ja wenn Spybot die DSO als Rote einträge gezeigt dann dann solltest die schon anklicken und dann beheben lassen...

Ansonsten Windows-Update um das system und den Browser auf den neuesten Stand zu bringen

Dann sollts eigentlich in Ordnung sein

Gruß

So,hab die Einträge mit Spybot beheben lassen - dann nochmal laufen lassen
Und Spybot hat nichts mehr gefunden.
Sollte ich trotzdem Windows Update machen?
Eigentlich funzt noch alles soweit ich das beurteilen kann.
Jedenfalls kann ich noch ins Netz und das ist für mich mit das wichtigste(u.a.um hilfsbereite Leute bei computerproblemen zu fragen).

danke nochmal

Windows-Update solltest regelmäßig ausführen...kost ja nix *g

Ansonsten die roten bei Spybot immer anklicken und fixen lassen

Gruß

Ok. dank dir nochmal für die Hilfe.

Werden uns bestimmt bald wieder schreiben.
Hab so viele Fragen,daß ich eigentlich so n Experten wie dich hier neben mir haben müßte.

Hab jetzt den Opera Browser installiert,bei den ganzen Einstellmöglichkeiten bin ich schon wieder ins schwitzen gekommen.
Hab aber schon im Softwareforum nachgefragt.

Wäre aber trotzdem über ein paar Hinweise dankbar.
Mir gehts da haupsächlich um Sicherheit.Über den IE
liest man ja nicht viel gutes.
Habe DSL mit Router und Modem und Firewall auch noch.
Kann ich den Opera als Standardbrowser einrichten und den IE dann trotzdem bei Bedarf nutzen?
Weiß nicht wie das mit dem Standard wieder rückgangig gemacht wird wenn notwendig z.b. wenn mit Opera nicht alles funzt.
Noch was wofür braucht man eigentlich dieses Java web Start war bei opera  downloade dabei dachte mir der funzt ohne Jawa nicht.Ok das reicht erstmal bis dann

MfG

 

JO das kein Problem nen andern Browser als standard..

Bedeutet ja erstmal nur das der von dir gewählte Browser aufgeht wenn du ein Link anklickst, oder mit dem Browser verknüpfte Dateitypen

Wennst den IE brauchst bei windows.update machst ihn ganz normal über die Desktop/schnellstartleisten Verknüpfung auf

Und wennst IE wieder als Standard machen willst geht das in Systemsteuerung->InternetOptionen->programme->Auf internetexplorer als standardbrowser prüfen anklicken

Dann fragt er beim nächsten aufmachen und dort sagste dann ja

Gruß

Hallo wie gehts
War ein paar Tage nicht da.

Hab gleich wieder ne Frage - Beim Opera gibts so ne Einstellung - Mitloggen des Referer zulassen - und
- Proxyserver aktivieren -
Was is n damit gemeint? Muß ich das einschalten oder funzt dann was nicht mehr richtig?

MfG

Zitat
Mitloggen des Referer zulassen

Sagt mir erstmal nix die einstellung, was sollte das bringen den referrer mitzuloggen?
Was sagt denn die Hilfe dazu?

Und proxy brauchste nur wenn du im netzwerk hängst also nicht direkt ans internet angeschlossen bist, oder du explicit über einen Proxy surfen willst.

Also normalerweise brauchst da nix zu stellen

Gruß

Ich nochmal

Beim Opera dowenload war Java dabei dachte das brauch ich um den Browser zu benutzen.
Habjetzt auch so n Java Web Start auf m Desktop
Kann damit nischt anfangen.
Wofür brauche ich Java überhaupt ist doch irgendwas zum programieren oder? Werd ich e nie machen wegen - wenigAhnung :) Kann ich das löschen? und wenn ja funtz der Opera browser dann noch?
 
Fragen Fragen Fragen hoffe du bist nicht schon genervt

Hab in der Hilfe dazu nichts gefunden.
Und auf Opera website - Referer eingegeben - da war was von Java und Skripting und E-Mail zu lesen - hab ich nicht verstanden - wie immer.
Werde das mit dem Referer mal ausschalten dann werd ich ja sehn.

Hab mal wieder Spybot laufen lassen(mach ich e jeden tag) hat nur so n paar Tracking Teile gefunden.
Danach zur Sicherheit noch AdWare6 und siehe da der hat auch noch was gefunden - merke : doppelt hält besser  :)

Mfg Tom

Java brauchste um Java-Applets benutzen zu können hat erstmal für dich nix mit Programmierung zu tun.

Brauchst aber nicht damit der Browser funktioniert...

Das mit Referrer is whracheinlich nur ob der übermittelt wird oder nicht.

Referrer ist immer der Link von dem du grad kommst.

Also wennste vorher bei Google zb warst und gehst jetzt zu Computerhilfen , dann ist der referrer der link won der google-seite wo du warst.

Aber geht ja normalerweise niemand was an woher du kommst, hab ich bei mir auch deaktiviert.

Kannst ja hier mal probieren:
http://inet-police.com/cgi-bin/env.cgi

Gruß

Ok.muß jetzt aber erstmal im Magazin unter Wörterbuch
nachschauen was Java-Applets sind.

Hab nochmal neFrage zu proxy

Ich nutze so`n Router - ist das nicht in Verbindung
mit dem Rechner schon so`ne Art Netzwerk?

Müßter ich also proxy auf aktivieren stellen wenn ich`n Router nutze?
Oder bringe ich da wieder was durcheinander und hat das nichts damit zu tun?

MfG

Beim Router hängen ja sogesehn alle Rechner trotzdem direkt dran weil dort der Router die Einwahl übernimmt...

Proxy is ja über nen anderen Rechner verbinden egal ob lokal im Netz oder im Indernet..

Gruß

Und wieder ein wenig schlauer geworden.
Ich dank dir - bis dann

MfG tom


« Datenverlust / Datensicherung / BackupWin XP: Neuinstallatinsprobleme »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
HiJackThis
Unter dem Begriff HiJackThis verbirgt sich ein  Sicherheitsprogramm, dass den Computer nach Schad-Programmen und Viren durchsucht. Dazu werden spezielle Bereiche in ...

Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...

Scanner
Der Scanner, abgeleitet vom englischen Wort "to scan" für "abtasten", ist ein Gerät zur Digitalisierung von Bildern, Fotos und Dokumenten. M...