HTJ-Anfänger und der Kampf gegen coolwwwsearch (schrecklich)

Begonnen von DerRote, 03. Januar 2006, 03:00:59 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Drucken
Nach unten Seiten1
Benutzer-Aktionen

DerRote

03. Januar 2006, 03:00:59 Uhr
Hallo Leute!

Wie schon einige vor mir bin ich an die Grenze mit meinen laienhaften PC - Wissen gestoßen.
Ich habe mit der neuesten Version von HJT ein log anfertigen lassen und auch die von der Logfileauswertung angegebenen Dateien gefixt.
Vorher hatte ich schon versucht coolwwwsearch über die spybot zu killen - Fehlanzeige! Ging einfach nicht.

Immer wieder taucht das Problem wieder auf.

Hier mal mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 02:43:24, on 03.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\mfczi.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\System32\CAPRPCSK.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
C:\Programme\SlySoft\a****d\a****d.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\DOKUME~1\Erik\LOKALE~1\Temp\27.tmp.exe
C:\Dokumente und Einstellungen\Erik\Desktop\HijackThis.exe
C:\DOKUME~1\Erik\LOKALE~1\Temp\54.tmp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\netye.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Programme\Microsoft Office\Office10\OSA.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {02787344-5570-7DA8-92C0-D1EB914ABB5C} - C:\WINDOWS\ipuk.dll
O2 - BHO: Class - {3AE414DC-B2A7-0DAD-989F-AC39ADF529E6} - C:\WINDOWS\system32\crhm32.dll
O2 - BHO: Class - {3E627C24-9568-0685-9082-70CE4F9DCD1E} - C:\WINDOWS\system32\appje32.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Class - {55C8C6D7-0FC7-6CAC-AA38-69CB63141D4E} - C:\WINDOWS\system32\atlaq32.dll
O2 - BHO: Class - {5C3A213E-C516-2035-30D7-EB54F97A970D} - C:\WINDOWS\ntfc.dll
O2 - BHO: Class - {6AB04E20-C7FB-1976-45F0-4507AA485E64} - C:\WINDOWS\appxt32.dll
O2 - BHO: Class - {6BFC94D6-8C65-7399-A676-E9E12E0A6908} - C:\WINDOWS\iebu.dll
O2 - BHO: Class - {8BB05A0B-91D0-E35C-0B57-50AF74C963D1} - C:\WINDOWS\system32\ntby32.dll
O2 - BHO: Class - {9B2CF233-8BEE-2CEC-98B2-6F21D26C8D6F} - C:\WINDOWS\system32\appuq.dll
O2 - BHO: Class - {A65F11A0-3D1B-37FD-F86D-9AB8607151F1} - C:\WINDOWS\winyh.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Class - {AB9A8A52-4347-66CD-E844-7E706EC3D015} - C:\WINDOWS\system32\d3tt32.dll
O2 - BHO: Class - {B35C1395-AB2D-BEE6-55AE-F8D331D7F30B} - C:\WINDOWS\system32\iefy32.dll
O2 - BHO: Class - {B480E132-6B04-9376-ADC7-AB7B793650C2} - C:\WINDOWS\msmj.dll
O2 - BHO: Class - {B4FCAD98-0CAB-8485-916D-D89E699F0284} - C:\WINDOWS\system32\ntnh.dll
O2 - BHO: Class - {B570A1EF-6102-88E9-0F0F-FA8F17FED6B2} - C:\WINDOWS\system32\mfcrv32.dll
O2 - BHO: Class - {BA77E2CC-EDA1-2397-6D1D-8D33C8F8181B} - C:\WINDOWS\sdkff.dll
O2 - BHO: Class - {DB1E628A-3979-AFA8-F263-792A5E351800} - C:\WINDOWS\sdkns.dll
O2 - BHO: Class - {E07D9A67-C50A-1541-EFF1-C3EBB7E72A40} - C:\WINDOWS\appay.dll
O2 - BHO: Class - {E869BF8E-2410-FFB0-B03A-4817FBD5E367} - C:\WINDOWS\msjx32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\System32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [ElbyChecka****d] "C:\Programme\SlySoft\a****d\ElbyCheck.exe" /L a****d
O4 - HKLM\..\Run: [a****d] C:\Programme\SlySoft\a****d\a****d.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [ALDI_NORD_FotoSuite_Download] "C:\Programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NAVNet] "C:\Dokumente und Einstellungen\Erik\Startmenü\Programme\Autostart\ms.exe" /m
O4 - HKLM\..\Run: [netzr.exe] C:\WINDOWS\system32\netzr.exe
O4 - HKLM\..\Run: [9.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\9.tmp.exe
O4 - HKLM\..\Run: [WinHound] C:\Programme\WinHound\WinHound.exe
O4 - HKLM\..\Run: [9.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\9.tmp.exe
O4 - HKLM\..\Run: [E.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\E.tmp.exe
O4 - HKLM\..\Run: [E.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\E.tmp.exe
O4 - HKLM\..\Run: [15.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\15.tmp.exe
O4 - HKLM\..\Run: [ieki32.exe] C:\WINDOWS\system32\ieki32.exe
O4 - HKLM\..\Run: [15.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\15.tmp.exe
O4 - HKLM\..\Run: [19.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\19.tmp.exe
O4 - HKLM\..\Run: [19.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\19.tmp.exe
O4 - HKLM\..\Run: [27.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\27.tmp.exe
O4 - HKLM\..\Run: [27.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\27.tmp.exe
O4 - HKLM\..\Run: [31.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\31.tmp.exe
O4 - HKLM\..\Run: [31.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\31.tmp.exe
O4 - HKLM\..\Run: [43.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\43.tmp.exe
O4 - HKLM\..\Run: [43.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\43.tmp.exe
O4 - HKLM\..\Run: [appvl32.exe] C:\WINDOWS\appvl32.exe
O4 - HKLM\..\Run: [apizp.exe] C:\WINDOWS\apizp.exe
O4 - HKLM\..\Run: [syscg32.exe] C:\WINDOWS\system32\syscg32.exe
O4 - HKLM\..\Run: [ntqd.exe] C:\WINDOWS\system32\ntqd.exe
O4 - HKLM\..\Run: [ntlt32.exe] C:\WINDOWS\ntlt32.exe
O4 - HKLM\..\Run: [winvx.exe] C:\WINDOWS\winvx.exe
O4 - HKLM\..\Run: [apiyx32.exe] C:\WINDOWS\apiyx32.exe
O4 - HKLM\..\Run: [atlkg32.exe] C:\WINDOWS\atlkg32.exe
O4 - HKLM\..\Run: [54.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\54.tmp.exe
O4 - HKLM\..\Run: [55.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\55.tmp.exe
O4 - HKLM\..\Run: [sdkvn.exe] C:\WINDOWS\system32\sdkvn.exe
O4 - HKLM\..\Run: [55.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\55.tmp.exe
O4 - HKLM\..\Run: [54.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\54.tmp.exe
O4 - HKLM\..\Run: [67.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\67.tmp.exe
O4 - HKLM\..\Run: [ipfh32.exe] C:\WINDOWS\ipfh32.exe
O4 - HKLM\..\Run: [67.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\67.tmp.exe
O4 - HKLM\..\Run: [79.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\79.tmp.exe
O4 - HKLM\..\Run: [iews.exe] C:\WINDOWS\system32\iews.exe
O4 - HKLM\..\Run: [79.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\79.tmp.exe
O4 - HKLM\..\Run: [8F.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\8F.tmp.exe
O4 - HKLM\..\Run: [netye.exe] C:\WINDOWS\system32\netye.exe
O4 - HKLM\..\Run: [8F.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\8F.tmp.exe
O4 - HKLM\..\Run: [A6.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\A6.tmp.exe
O4 - HKLM\..\Run: [A6.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\A6.tmp.exe
O4 - HKLM\..\Run: [C1.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\C1.tmp.exe
O4 - HKLM\..\Run: [atluz32.exe] C:\WINDOWS\system32\atluz32.exe
O4 - HKLM\..\Run: [C1.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\C1.tmp.exe
O4 - HKLM\..\Run: [DC.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\DC.tmp.exe
O4 - HKLM\..\Run: [DC.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\DC.tmp.exe
O4 - HKLM\..\Run: [FA.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\FA.tmp.exe
O4 - HKLM\..\Run: [FA.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\FA.tmp.exe
O4 - HKLM\..\Run: [11B.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\11B.tmp.exe
O4 - HKLM\..\Run: [11B.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\11B.tmp.exe
O4 - HKLM\..\Run: [13C.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\13C.tmp.exe
O4 - HKLM\..\Run: [13C.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\13C.tmp.exe
O4 - HKLM\..\Run: [1C6.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\1C6.tmp.exe
O4 - HKLM\..\Run: [1C6.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\1C6.tmp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: ms.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Canon LBP-810-Statusfenster.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102540479343
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\mfczi.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Vielen Dank im voraus für die Hilfe.
Wäre schön wenn ich noch mit dem Rechner meine Hausarbeiten fertigbekomme.
Wünsche allen eine frohes neues und spywarefreies Jahr 2006.

Gruß
Erik

TMK

03. Januar 2006, 12:47:30 Uhr #1
Hi,

solltest folgendes im abgesicherten Modus (F8) fixen:

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {02787344-5570-7DA8-92C0-D1EB914ABB5C} - C:\WINDOWS\ipuk.dll
O2 - BHO: Class - {3AE414DC-B2A7-0DAD-989F-AC39ADF529E6} - C:\WINDOWS\system32\crhm32.dll
O2 - BHO: Class - {3E627C24-9568-0685-9082-70CE4F9DCD1E} - C:\WINDOWS\system32\appje32.dll
O2 - BHO: Class - {55C8C6D7-0FC7-6CAC-AA38-69CB63141D4E} - C:\WINDOWS\system32\atlaq32.dll
O2 - BHO: Class - {5C3A213E-C516-2035-30D7-EB54F97A970D} - C:\WINDOWS\ntfc.dll
O2 - BHO: Class - {6AB04E20-C7FB-1976-45F0-4507AA485E64} - C:\WINDOWS\appxt32.dll
O2 - BHO: Class - {6BFC94D6-8C65-7399-A676-E9E12E0A6908} - C:\WINDOWS\iebu.dll
O2 - BHO: Class - {8BB05A0B-91D0-E35C-0B57-50AF74C963D1} - C:\WINDOWS\system32\ntby32.dll
O2 - BHO: Class - {9B2CF233-8BEE-2CEC-98B2-6F21D26C8D6F} - C:\WINDOWS\system32\appuq.dll
O2 - BHO: Class - {A65F11A0-3D1B-37FD-F86D-9AB8607151F1} - C:\WINDOWS\winyh.dll
O2 - BHO: Class - {AB9A8A52-4347-66CD-E844-7E706EC3D015} - C:\WINDOWS\system32\d3tt32.dll
O2 - BHO: Class - {B35C1395-AB2D-BEE6-55AE-F8D331D7F30B} - C:\WINDOWS\system32\iefy32.dll
O2 - BHO: Class - {B480E132-6B04-9376-ADC7-AB7B793650C2} - C:\WINDOWS\msmj.dll
O2 - BHO: Class - {B4FCAD98-0CAB-8485-916D-D89E699F0284} - C:\WINDOWS\system32\ntnh.dll
O2 - BHO: Class - {B570A1EF-6102-88E9-0F0F-FA8F17FED6B2} - C:\WINDOWS\system32\mfcrv32.dll
O2 - BHO: Class - {BA77E2CC-EDA1-2397-6D1D-8D33C8F8181B} - C:\WINDOWS\sdkff.dll
O2 - BHO: Class - {DB1E628A-3979-AFA8-F263-792A5E351800} - C:\WINDOWS\sdkns.dll
O2 - BHO: Class - {E07D9A67-C50A-1541-EFF1-C3EBB7E72A40} - C:\WINDOWS\appay.dll
O2 - BHO: Class - {E869BF8E-2410-FFB0-B03A-4817FBD5E367} - C:\WINDOWS\msjx32.dll

O4 - HKLM\..\Run: [NAVNet] "C:\Dokumente und Einstellungen\Erik\Startmenü\Programme\Autostart\ms.exe" /m
O4 - HKLM\..\Run: [netzr.exe] C:\WINDOWS\system32\netzr.exe
O4 - HKLM\..\Run: [9.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\9.tmp.exe
O4 - HKLM\..\Run: [WinHound] C:\Programme\WinHound\WinHound.exe
O4 - HKLM\..\Run: [9.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\9.tmp.exe
O4 - HKLM\..\Run: [E.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\E.tmp.exe
O4 - HKLM\..\Run: [E.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\E.tmp.exe
O4 - HKLM\..\Run: [15.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\15.tmp.exe
O4 - HKLM\..\Run: [ieki32.exe] C:\WINDOWS\system32\ieki32.exe
O4 - HKLM\..\Run: [15.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\15.tmp.exe
O4 - HKLM\..\Run: [19.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\19.tmp.exe
O4 - HKLM\..\Run: [19.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\19.tmp.exe
O4 - HKLM\..\Run: [27.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\27.tmp.exe
O4 - HKLM\..\Run: [27.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\27.tmp.exe
O4 - HKLM\..\Run: [31.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\31.tmp.exe
O4 - HKLM\..\Run: [31.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\31.tmp.exe
O4 - HKLM\..\Run: [43.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\43.tmp.exe
O4 - HKLM\..\Run: [43.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\43.tmp.exe
O4 - HKLM\..\Run: [appvl32.exe] C:\WINDOWS\appvl32.exe
O4 - HKLM\..\Run: [apizp.exe] C:\WINDOWS\apizp.exe
O4 - HKLM\..\Run: [syscg32.exe] C:\WINDOWS\system32\syscg32.exe
O4 - HKLM\..\Run: [ntqd.exe] C:\WINDOWS\system32\ntqd.exe
O4 - HKLM\..\Run: [ntlt32.exe] C:\WINDOWS\ntlt32.exe
O4 - HKLM\..\Run: [winvx.exe] C:\WINDOWS\winvx.exe
O4 - HKLM\..\Run: [apiyx32.exe] C:\WINDOWS\apiyx32.exe
O4 - HKLM\..\Run: [atlkg32.exe] C:\WINDOWS\atlkg32.exe
O4 - HKLM\..\Run: [54.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\54.tmp.exe
O4 - HKLM\..\Run: [55.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\55.tmp.exe
O4 - HKLM\..\Run: [sdkvn.exe] C:\WINDOWS\system32\sdkvn.exe
O4 - HKLM\..\Run: [55.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\55.tmp.exe
O4 - HKLM\..\Run: [54.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\54.tmp.exe
O4 - HKLM\..\Run: [67.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\67.tmp.exe
O4 - HKLM\..\Run: [ipfh32.exe] C:\WINDOWS\ipfh32.exe
O4 - HKLM\..\Run: [67.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\67.tmp.exe
O4 - HKLM\..\Run: [79.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\79.tmp.exe
O4 - HKLM\..\Run: [iews.exe] C:\WINDOWS\system32\iews.exe
O4 - HKLM\..\Run: [79.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\79.tmp.exe
O4 - HKLM\..\Run: [8F.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\8F.tmp.exe
O4 - HKLM\..\Run: [netye.exe] C:\WINDOWS\system32\netye.exe
O4 - HKLM\..\Run: [8F.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\8F.tmp.exe
O4 - HKLM\..\Run: [A6.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\A6.tmp.exe
O4 - HKLM\..\Run: [A6.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\A6.tmp.exe
O4 - HKLM\..\Run: [C1.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\C1.tmp.exe
O4 - HKLM\..\Run: [atluz32.exe] C:\WINDOWS\system32\atluz32.exe
O4 - HKLM\..\Run: [C1.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\C1.tmp.exe
O4 - HKLM\..\Run: [DC.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\DC.tmp.exe
O4 - HKLM\..\Run: [DC.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\DC.tmp.exe
O4 - HKLM\..\Run: [FA.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\FA.tmp.exe
O4 - HKLM\..\Run: [FA.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\FA.tmp.exe
O4 - HKLM\..\Run: [11B.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\11B.tmp.exe
O4 - HKLM\..\Run: [11B.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\11B.tmp.exe
O4 - HKLM\..\Run: [13C.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\13C.tmp.exe
O4 - HKLM\..\Run: [13C.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\13C.tmp.exe
O4 - HKLM\..\Run: [1C6.tmp] C:\DOKUME~1\Erik\LOKALE~1\Temp\1C6.tmp.exe
O4 - HKLM\..\Run: [1C6.tmp.exe] C:\DOKUME~1\Erik\LOKALE~1\Temp\1C6.tmp.exe

O4 - Startup: ms.exe

O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)

O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\mfczi.exe

Anschließend noch mit SpyBot/Ad-aware das System im abgesicherten Modus checken, siehe auch: http://www.hardwareecke.de/berichte/sicherheit/viren_trojaner_hijacker_schutz_beseitigung_2.php

Grundsätzlich solltest noch das SP2 und auch sonstige Sicherheitsupdates installieren. Am Besten auch auf Firefox als Internetbrowser umsteigen.

DerRote

03. Januar 2006, 12:55:07 Uhr #2
Vielen Dank!

Werde ich gleich mal versuchen. Melde mich auf jeden Fall noch einmal.

Gruß

Erik

DerRote

04. Januar 2006, 02:32:20 Uhr #3
Hallo!

Sieht so aus als wenn ich das meiste jetzt verbannen oder zerstören konnte....
Ging nicht so schnell. Und Ad - Aware zeig mir immer noch einen Regkey, den Malware.Psguard an.
Keine Ahnung wieso aber wenn ich den einmal weggehauen habe mit Ad - Aware dann bekomme ich den beim nächsten Durchlauf gleich wieder angezeigt?!

Als störrisch haben sich bei mir die folgenden Sachen erwiesen.

O4 - Startup: ms.exe (Konnte ich nicht im abgesichertem Modus finden und nur mit suchen und löschen wegbekommen.)

O4 - HKLM\..\Run: [NAVNet] "C:\Dokumente und Einstellungen\Erik\Startmenü\Programme\Autostart\ms.exe" /m (das konnte ich auch nicht im abgesichertem Modus finden.

wie bei dem oberen:

R3 - Default URLSearchHook is missing

Nagut...

Vielen Dank schon einmal. Hat mir sehr weitergeholfen das Forum.
Vielleicht kennt ihr ja auch das Problem mit dem PsGuard ?!

Hier auf jeden Fall mal mein aktuelles Logfile von HJT:

Logfile of HijackThis v1.99.1
Scan saved at 02:22:07, on 04.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\System32\CAPRPCSK.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
C:\Programme\SlySoft\a****d\a****d.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\Dit.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
C:\Dokumente und Einstellungen\Erik\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\System32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [ElbyChecka****d] "C:\Programme\SlySoft\a****d\ElbyCheck.exe" /L a****d
O4 - HKLM\..\Run: [a****d] C:\Programme\SlySoft\a****d\a****d.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [ALDI_NORD_FotoSuite_Download] "C:\Programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Canon LBP-810-Statusfenster.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102540479343
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Schöne Woche noch.

Gruß

Erik

tyco

06. Januar 2006, 20:13:46 Uhr #4
Dein Logfile sieht soweit sauber aus.

Scanne den Rechner nochmal mit der Trialversion ewido anti-malware (http://www.ewido.net/de/download/).
Bitte keine Supportanfragen per PM stellen.
Benutzer-Aktionen
Drucken
Nach oben Seiten1