hijacker

von **Heike** am 02.07.2004, 17:24

Hallo,

vielleicht kann mir auch jemand helfen. Ich kämpfe seit Tagen mit einem Hijacker. Nachdem ich jetzt dieses tolle Forum gefunden habe, hab ich langsam wieder Hoffnung.

Ich habe mit HijackThis gescannt und hier ist der logfile:

Logfile of HijackThis v1.98.0
Scan saved at 17:08:17, on 02.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\NAVSCAN64.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\NDrv.exe
C:\PROGRA~1\INTERN~1\iexplore.exe
C:\Dokumente und Einstellungen\Imke Schlieter\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für HijackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/
O2 - BHO: (no name) - {1B7D753B-1981-4bd2-91F3-6D055EE113A0} - C:\WINDOWS\System32\NDrv.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {8085E374-ACBB-42F9-873F-49EC7E244F97} - C:\WINDOWS\System32\oowiva.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [NAVSCAN64.EXE /s] NAVSCAN64.exe
O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\RunServices: [NAVSCAN64.EXE /s] NAVSCAN64.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe
O4 - HKCU\..\Run: [NAVSCAN64.EXE /s] NAVSCAN64.exe

Danke schon mal für eine Antwort !

Heike

von **Computerdirk** am 02.07.2004, 18:00

Hallöchen,

schau doch mal unter folgendem Link nach, dort erfährst du, wen du dir da ins Boot geholt hast... Und natürlich auch wie du ihn wieder los wirst...

http://www.ikarus-software.at/portal/modules.php?name=Virenlexikon&suche=b&submit=suche&show=Backdoor.Rbot.T

Wie aktuell ist eigentlich dein Antivirenprogramm?

von **Heike** am 02.07.2004, 18:16

Mein Antivirenprogramm hab ich in den letzten Tagen jeden Tag aktualisiert.
Ich habe zur Zeit antivir, spybot und adaware . Das sollte doch eigentlich reichen, oder ?

von **Heike** am 02.07.2004, 18:19

Ansonsten schon mal danke, ich mach mich jetzt direkt an die Arbeit.

von **Computerdirk** am 02.07.2004, 18:21

Hallöchen,

jo, das soltle reichen. Spybot und Adaware stören sich gegenseitig. Also ich würde empfehlen das du dich für eines der beiden entscheidest... Mein Favorit ist Adaware...

von **Heike** am 02.07.2004, 19:05

Ich hab alles gemacht, werde aber schon wieder entführt.

Übrigens meldet antivir folgendes Problem:

TR/Dldr.PurScan.B1

Das Ding befindet sich aber in einem Archiv und wird weder entfernt noch repariert. Ich habe keine Ahnung, wie ich das los werde oder was das ist.

Vielleicht ist das ja der Grund für die Probleme?

Ansonsten trenne ich mich dann von SpyBot. Danke für den Hinweis.

von **Nikita** am 03.07.2004, 10:40

@Heike

http://board.protecus.de/showtopic.php?threadid=9391
Lade das HijackThis, scanne, save und kopiere das Log ins Forum.

MfG
Nikita

von **Heike** am 03.07.2004, 11:35

Hier ist mein Log:

Logfile of HijackThis v1.98.0
Scan saved at 11:34:18, on 03.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
C:\WINDOWS\System32\NDrv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Imke Schlieter\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für HijackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/
O2 - BHO: (no name) - {1B7D753B-1981-4bd2-91F3-6D055EE113A0} - C:\WINDOWS\System32\NDrv.dll
O2 - BHO: (no name) - {8085E374-ACBB-42F9-873F-49EC7E244F97} - C:\WINDOWS\System32\oowiva.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

von **Nikita** am 03.07.2004, 14:36

@Heike

du scannst du mit dem HijackThis, dann hakst du an , was ich poste und dann <fix< dann startest du neu

O2 - BHO: (no name) - {1B7D753B-1981-4bd2-91F3-6D055EE113A0} - C:\WINDOWS\System32\NDrv.dll
O2 - BHO: (no name) - {8085E374-ACBB-42F9-873F-49EC7E244F97} - C:\WINDOWS\System32\oowiva.dll
O4 - HKLM\..\Run: [NAVSCAN64.EXE /s] NAVSCAN64.exe
O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe
O4 - HKLM\..\RunServices: [NAVSCAN64.EXE /s] NAVSCAN64.exe
O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe
O4 - HKCU\..\Run: [NAVSCAN64.EXE /s] NAVSCAN64.exe

neustarten

#deinstalliere den Antivirus und lade ihn neu, so dass der Guard im Autostart 04 erscheint.
http://www.free-av.de/

Gehe in den abgesicherten Modus...dazu drueckst du die Tast F8, wenn der Computer hochfaehrt.

#und scanne mit diesen Einstellungen mit dem Antivirus:

Antivirus-Einstellungen :
Automatischen Scan stoppen,
Internetupdate von Antivir starten,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)
Scan starten (hat bei mir (80Gb) ca. 100min gedauert)

C:\WINDOWS\SYSTEM32\C:\WINDOWS\System32\oowiva.dll ist ein Trojaner, der die Startseite verstellt und muesste erkannt und geloescht werden...

#Lade mwav.exe
http://www.mwti.net/antivirus/free_utilities.asp
muss auf jeden fall der virenscanner im ordner "bases" angelegt werden und die datei kavupd.exe aufrufen. Denn dann bekommt man die aktuellen virusdateien.

und <scanne alle Dateien <

#Mache die WindowsUpdate
Start<Programme<WindowsUpdates

und aktualisiere den IE auf IE 6 SP1
http://www.microsoft.com/downloads/deta ... B602228DE6

#wenn alles sauber ist, lade die Firewall <Sygate<
http://smb.sygate.com/products/spf_standard.htm

#Loesche unter <InternetOptionen die TemporaryInternetFiles und stelle eine Startseite ein.
..........................................................................................................

Dann poste das komplette Log.
MfG
Nikita

http://www.sophos.de/virusinfo/analyses/w32rbott.html

von **Heike** am 03.07.2004, 15:56

@ nikita:

Danke für die Mühe. Wahrscheinlich kann ich das alles erst morgen machen. Ich stelle danach mein log wieder rein.

Gruß

Heike

hijacker

hijacker

Ähnliche Themen

Wer ist online?