28. März 2024, 16:51:36 Uhr

CoolWWWSearch

Begonnen von Shiva82hh, 10. April 2005, 22:04:36 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

rat

Nabend .
Hab mir anscheinend auch so ein Ding eingefangen.
Wurde durch Google darauf hingewiesen eine Systhemscan zu machen .
habe mit folgenden Programmen gescannt :

Pest Patrol (neuste Version )  0 Funde  (keine Warnungen o.Ä)
a-squared                             0 Funde
CWShredder                         0 Funde
Ad-Aware                             2 Funde

Nachdem ich CoolWWWSearch dann mit Ad-Aware "gelöscht" hatte war ich doch sehr verwundert das ich ihn nach dem nächsten Systemstart erneut fand .
Das Problem besteht jetzt auch schon seit über einem Monat und ich hab keinen Plan wie ich das Ding loswerden kann.
Kann mir von euch jemand nen Tip geben , verstehe leider nicht sonderlich viel von Computern .
Big thx im Voraus .

tyco

Poste mal Dein HijackThis.log (http://www.merijn.org/).
Bitte keine Supportanfragen per PM stellen.

rat

Nabend.
Werde ich gern tun .
Kann mir bitte jemand erklären was ich anstellen muß um mein Log zu posten ?
Sorry , meine Ahnung geht leider gegen 0 wenn es um Computer geht .
Noch mal thx im Voraus.

tyco

Zitat von: rat am 29. Mai 2005, 19:31:55 Uhr
Kann mir bitte jemand erklären was ich anstellen muß um mein Log zu posten ?

Du startest HijackThis und klickst auf den Button Scan. Nach dem Scannen drückst Du den Button Save Log. Im selben Verzeichnis in dem sich Hijackthis.exe  befindet, ist dann auch die Datei HijackThis.log. Diese Datei kannst Du mit Notepad bzw. dem Editor öffnen. Den Inhalt dieser Datei markierst und kopierst Du und fügst sie hier ein.
Bitte keine Supportanfragen per PM stellen.

rat

Das Programm hat mir beim letzten Scan folgendes genannt :

Logfile of HijackThis v1.99.1
Scan saved at 22:01:52, on 29.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\CA\eTrust PestPatrol\PPActiveDetection.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\WINDOWS\twain_32\CIS600X\WATCH.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\EMAIL\MAIL.EXE
C:\DOKUME~1\Rat\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\CA\eTrust PestPatrol\PPActiveDetection.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AutoStart-Manager] C:\Programme\Tools&More\Autostart-Manager\AutoStart-Manager.exe /AUTOSTART
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095102062437
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2197A20-F0DC-4944-BE09-DA85358BBE71}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Beim letzten Scan mit Ad-aware wurde nichts mehr gefunden.
Kann es evtl sein , das der CoolWebsearch sich immer installiert wenn ich bestimmte Seiten besuche (Google) ?

Thx im Voraus .

tyco

Sieht alles sauber aus.
Bitte keine Supportanfragen per PM stellen.

rat

Verstehe ich nicht , wie bin ich ihn denn dann losgeworden (am Kopf kratz)
Aber auf jeden Fall danke fürs SCHNELLE Nachsehen .
Euch kann man wirklich weiterempfehlen .
Greetz ,  rat.

hafi79

Hallo erstmal!
Bei dem Rechner von meinem Vater habe ich ein ganz ähnliches Problem. Es öffnen sich immer Aurora Fenster, die Maus bewegt sich nicht so wie soll und nach jedem Internet Besuch ist wieder neuer Müll drauf. Bei dem Rechner habe ich mittlerweile AntiVir, SpyBot, SpySweeper und Ad.-Aware drauf. Trotzdem bekommer ich einige lästige Sachen nicht gelöscht (auch schon im abgesicherten Modus probiert).
Folgende Dinge bekomme ich nicht gelöscht:
coolwebserch (algemein)
coolwwwsearch.yexe
abetterinternet
TR/Fermad.Java.3

Hoffentlich könnt ihr mir weiter helfen.

Logfile of HijackThis v1.99.1
Scan saved at 11:36:15, on 28.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\DOKUME~1\UWE&EV~1\LOKALE~1\Temp\Temporäres Verzeichnis 6 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vbammerlandsued.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} - c:\windows\system\BHOmod.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [_Cat2] C:\WINDOWS\nmstt.exe
O4 - HKLM\..\Run: [tbcmvspr] c:\windows\system32\tbcmvspr.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: 213.159.117.202 (HKLM)
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113659495103
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


hafi79

Hallo nochmal!
Ups:
Das war jetzt die HiJack von dem Rechner meiner Mutter. Sind die gleichen Anti Viren Programme drauf +Zone Alarm.
Dort bekomme ich folgende Sachen nicht gelöscht:
HotSearchBar
TR/Dloader.BI
TR/Dloader.LI
CoolwwwSearch.googlems
Außerdem komme ich dort nur unregelmäßig Zugriff aufs Internet.

Ich bitte um eure Hilfe.
Die HiJack von meinem Vater muss ich euch nächste Woche schicken.

hafi79

Ha, ha,
habe die HiJAck von meinem Vater doch noch auf meiem USB-Stick gefunden.

Logfile of HijackThis v1.99.1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\svchost.exe
D:\Antivir\AVWUPSRV.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Nikon\NkView6\NkvMon.exe
C:\WINDOWS\system32\BRMFRSMG.EXE
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Win Rar\WinRAR.exe
C:\DOKUME~1\PETERH~1\LOKALE~1\Temp\Rar$EX00.812\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://richfind.com/ie/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
F3 - REG:win.ini: run=C:\WINDOWS\inet10079\winlogon.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [apica32.exe] C:\WINDOWS\apica32.exe
O4 - HKLM\..\Run: [Microsoft Message Machine] SVCHOST13.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [bixgxs] c:\windows\system32\eaaeedi.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Microsoft Message Machine] SVCHOST13.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [Microsoft Update System] win32sys.exe
O4 - HKCU\..\Run: [Microsoft Message Machine] SVCHOST13.exe
O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Office XP\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA826F08-E30B-4ADF-899F-7F3F57304D0A}: NameServer = 217.237.149.161 217.237.151.225
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Antivir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Antivir\AVWUPSRV.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

tyco

Zum Rechner Deiner Mutter...fixe folgendes:

O2 - BHO: BHOmodObj Class - {7F6828CA-9E42-462C-BC60-418C8144012C} - c:\windows\system\BHOmod.dll (file missing)

O4 - HKLM\..\Run: [_Cat2] C:\WINDOWS\nmstt.exe
O4 - HKLM\..\Run: [tbcmvspr] c:\windows\system32\tbcmvspr.exe

O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: 213.159.117.202 (HKLM)

Diese Datein zusätzlich im abgesicherten Modus löschen und dann den Papierkorb leeren:

C:\WINDOWS\nmstt.exe

c:\windows\system32\tbcmvspr.exe






Bitte keine Supportanfragen per PM stellen.

tyco

Zum Rechner Deines Vaters (USB-Stick)....fixe folgendes:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O4 - HKLM\..\Run: [apica32.exe] C:\WINDOWS\apica32.exe

O4 - HKLM\..\Run: [Microsoft Message Machine] SVCHOST13.exe

O4 - HKLM\..\Run: [bixgxs] c:\windows\system32\eaaeedi.exe

O4 - HKLM\..\RunServices: [Microsoft Message Machine] SVCHOST13.exe

O4 - HKCU\..\Run: [Microsoft Update System] win32sys.exe

O4 - HKCU\..\Run: [Microsoft Message Machine] SVCHOST13.exe

O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

Dann startest Du den Rechner im abgesicherten Modus und lässt nach diesen Dateien suchen, die Du dann löscht.

Nail.exe
apica32.exe
SVCHOST13.exe
eaaeedi.exe
win32sys.exe
snlogsvc.exe
igfxsrvc.dll

.....zum Schluss löscht Du wieder den Papierkorbinhalt.
Bitte keine Supportanfragen per PM stellen.

Tynavis

Das Problem hab ich leider auch; kann mir da jemand helfen???

Hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 11:57:01, on 31.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\sysem.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
C:\Xander - Zone\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wrmrq.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wrmrq.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wrmrq.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wrmrq.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wrmrq.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wrmrq.dll/sp.html#12047
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wrmrq.dll/sp.html#12047
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {FA6BD27F-288F-002A-F4A9-ABCF232371D9} - C:\WINDOWS\sdkvw.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Programme\Internet Explorer\IEXPLORE.EXE
O4 - HKLM\..\Run: [sysem.exe] C:\WINDOWS\system32\sysem.exe
O4 - HKLM\..\RunOnce: [javauq32.exe] C:\WINDOWS\javauq32.exe
O4 - HKLM\..\RunOnce: [javajo32.exe] C:\WINDOWS\javajo32.exe
O4 - HKLM\..\RunOnce: [javahf32.exe] C:\WINDOWS\system32\javahf32.exe
O4 - HKLM\..\RunOnce: [apiqw.exe] C:\WINDOWS\system32\apiqw.exe
O4 - HKLM\..\RunOnce: [msqw32.exe] C:\WINDOWS\msqw32.exe
O4 - HKLM\..\RunOnce: [d3ml32.exe] C:\WINDOWS\d3ml32.exe
O4 - HKLM\..\RunOnce: [winec.exe] C:\WINDOWS\system32\winec.exe
O4 - HKLM\..\RunOnce: [crrw.exe] C:\WINDOWS\crrw.exe
O4 - HKLM\..\RunOnce: [sdkng.exe] C:\WINDOWS\sdkng.exe
O4 - HKLM\..\RunOnce: [msux.exe] C:\WINDOWS\msux.exe
O4 - HKLM\..\RunOnce: [appes.exe] C:\WINDOWS\system32\appes.exe
O4 - HKLM\..\RunOnce: [mfckf.exe] C:\WINDOWS\mfckf.exe
O4 - HKLM\..\RunOnce: [addzu.exe] C:\WINDOWS\addzu.exe
O4 - HKLM\..\RunOnce: [apisn.exe] C:\WINDOWS\apisn.exe
O4 - HKLM\..\RunOnce: [netxj.exe] C:\WINDOWS\netxj.exe
O4 - HKLM\..\RunOnce: [sysdg.exe] C:\WINDOWS\system32\sysdg.exe
O4 - HKLM\..\RunOnce: [sdkqi32.exe] C:\WINDOWS\sdkqi32.exe
O4 - HKLM\..\RunOnce: [ipbm32.exe] C:\WINDOWS\system32\ipbm32.exe
O4 - HKLM\..\RunOnce: [addog.exe] C:\WINDOWS\addog.exe
O4 - HKLM\..\RunOnce: [nthj32.exe] C:\WINDOWS\nthj32.exe
O4 - HKLM\..\RunOnce: [appml.exe] C:\WINDOWS\system32\appml.exe
O4 - HKLM\..\RunOnce: [mfcuo.exe] C:\WINDOWS\mfcuo.exe
O4 - HKLM\..\RunOnce: [apimo.exe] C:\WINDOWS\apimo.exe
O4 - HKLM\..\RunOnce: [javafl.exe] C:\WINDOWS\system32\javafl.exe
O4 - HKLM\..\RunOnce: [d3qw32.exe] C:\WINDOWS\d3qw32.exe
O4 - HKLM\..\RunOnce: [netwy.exe] C:\WINDOWS\netwy.exe
O4 - HKLM\..\RunOnce: [winxh32.exe] C:\WINDOWS\system32\winxh32.exe
O4 - HKLM\..\RunOnce: [ipjn32.exe] C:\WINDOWS\system32\ipjn32.exe
O4 - HKLM\..\RunOnce: [apppp32.exe] C:\WINDOWS\system32\apppp32.exe
O4 - HKLM\..\RunOnce: [addej.exe] C:\WINDOWS\addej.exe
O4 - HKLM\..\RunOnce: [d3je32.exe] C:\WINDOWS\d3je32.exe
O4 - HKLM\..\RunOnce: [addvg32.exe] C:\WINDOWS\addvg32.exe
O4 - HKLM\..\RunOnce: [cras32.exe] C:\WINDOWS\system32\cras32.exe
O4 - HKLM\..\RunOnce: [addnq.exe] C:\WINDOWS\system32\addnq.exe
O4 - HKLM\..\RunOnce: [winlo.exe] C:\WINDOWS\winlo.exe
O4 - HKLM\..\RunOnce: [ntdo32.exe] C:\WINDOWS\ntdo32.exe
O4 - HKLM\..\RunOnce: [sdklo32.exe] C:\WINDOWS\system32\sdklo32.exe
O4 - HKLM\..\RunOnce: [iesx.exe] C:\WINDOWS\system32\iesx.exe
O4 - HKLM\..\RunOnce: [winlg32.exe] C:\WINDOWS\system32\winlg32.exe
O4 - HKLM\..\RunOnce: [sdkxz32.exe] C:\WINDOWS\sdkxz32.exe
O4 - HKLM\..\RunOnce: [appko32.exe] C:\WINDOWS\appko32.exe
O4 - HKLM\..\RunOnce: [sdkqh32.exe] C:\WINDOWS\sdkqh32.exe
O4 - HKLM\..\RunOnce: [msqy32.exe] C:\WINDOWS\msqy32.exe
O4 - HKLM\..\RunOnce: [msnt.exe] C:\WINDOWS\msnt.exe
O4 - HKLM\..\RunOnce: [wintj.exe] C:\WINDOWS\wintj.exe
O4 - HKLM\..\RunOnce: [winmn32.exe] C:\WINDOWS\winmn32.exe
O4 - HKLM\..\RunOnce: [javarl.exe] C:\WINDOWS\system32\javarl.exe
O4 - HKLM\..\RunOnce: [sdktx32.exe] C:\WINDOWS\sdktx32.exe
O4 - HKLM\..\RunOnce: [nethd32.exe] C:\WINDOWS\nethd32.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O8 - Extra context menu item: Download über Download &Express - C:\Programme\Download Express\Add_Url.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: www.corsaforum.de
O15 - Trusted Zone: www.nts-gmbh.net
O15 - Trusted Zone: www.opelmissy.de
O15 - Trusted Zone: http://www.opelmissyboard.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Volkner.local
O17 - HKLM\Software\..\Telephony: DomainName = Volkner.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{3241F85F-B683-4690-A305-10CA4CFA2387}: NameServer = 192.168.1.1,192.168.1.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Volkner.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{3241F85F-B683-4690-A305-10CA4CFA2387}: NameServer = 192.168.1.1,192.168.1.254
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Volkner.local
O17 - HKLM\System\CS2\Services\Tcpip\..\{3241F85F-B683-4690-A305-10CA4CFA2387}: NameServer = 192.168.1.1,192.168.1.254
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Danke schonmal im voraus ;)

tyco

31. Mai 2005, 12:29:54 Uhr #33 Letzte Bearbeitung: 31. Mai 2005, 12:32:22 Uhr von tyco
Zitat von: Tynavis am 31. Mai 2005, 12:04:12 Uhr
Das Problem hab ich leider auch; kann mir da jemand helfen???

Drucke Dir meine Lösung aus und fixe bitte folgende Einträge:

C:\WINDOWS\system32\sysem.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wrmrq.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wrmrq.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wrmrq.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wrmrq.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wrmrq.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wrmrq.dll/sp.html#12047

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wrmrq.dll/sp.html#12047

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {FA6BD27F-288F-002A-F4A9-ABCF232371D9} - C:\WINDOWS\sdkvw.dll

O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Programme\Internet Explorer\IEXPLORE.EXE
O4 - HKLM\..\Run: [sysem.exe] C:\WINDOWS\system32\sysem.exe
O4 - HKLM\..\RunOnce: [javauq32.exe] C:\WINDOWS\javauq32.exe
O4 - HKLM\..\RunOnce: [javajo32.exe] C:\WINDOWS\javajo32.exe
O4 - HKLM\..\RunOnce: [javahf32.exe] C:\WINDOWS\system32\javahf32.exe
O4 - HKLM\..\RunOnce: [apiqw.exe] C:\WINDOWS\system32\apiqw.exe
O4 - HKLM\..\RunOnce: [msqw32.exe] C:\WINDOWS\msqw32.exe
O4 - HKLM\..\RunOnce: [d3ml32.exe] C:\WINDOWS\d3ml32.exe
O4 - HKLM\..\RunOnce: [winec.exe] C:\WINDOWS\system32\winec.exe
O4 - HKLM\..\RunOnce: [crrw.exe] C:\WINDOWS\crrw.exe
O4 - HKLM\..\RunOnce: [sdkng.exe] C:\WINDOWS\sdkng.exe
O4 - HKLM\..\RunOnce: [msux.exe] C:\WINDOWS\msux.exe
O4 - HKLM\..\RunOnce: [appes.exe] C:\WINDOWS\system32\appes.exe
O4 - HKLM\..\RunOnce: [mfckf.exe] C:\WINDOWS\mfckf.exe
O4 - HKLM\..\RunOnce: [addzu.exe] C:\WINDOWS\addzu.exe
O4 - HKLM\..\RunOnce: [apisn.exe] C:\WINDOWS\apisn.exe
O4 - HKLM\..\RunOnce: [netxj.exe] C:\WINDOWS\netxj.exe
O4 - HKLM\..\RunOnce: [sysdg.exe] C:\WINDOWS\system32\sysdg.exe
O4 - HKLM\..\RunOnce: [sdkqi32.exe] C:\WINDOWS\sdkqi32.exe
O4 - HKLM\..\RunOnce: [ipbm32.exe] C:\WINDOWS\system32\ipbm32.exe
O4 - HKLM\..\RunOnce: [addog.exe] C:\WINDOWS\addog.exe
O4 - HKLM\..\RunOnce: [nthj32.exe] C:\WINDOWS\nthj32.exe
O4 - HKLM\..\RunOnce: [appml.exe] C:\WINDOWS\system32\appml.exe
O4 - HKLM\..\RunOnce: [mfcuo.exe] C:\WINDOWS\mfcuo.exe
O4 - HKLM\..\RunOnce: [apimo.exe] C:\WINDOWS\apimo.exe
O4 - HKLM\..\RunOnce: [javafl.exe] C:\WINDOWS\system32\javafl.exe
O4 - HKLM\..\RunOnce: [d3qw32.exe] C:\WINDOWS\d3qw32.exe
O4 - HKLM\..\RunOnce: [netwy.exe] C:\WINDOWS\netwy.exe
O4 - HKLM\..\RunOnce: [winxh32.exe] C:\WINDOWS\system32\winxh32.exe
O4 - HKLM\..\RunOnce: [ipjn32.exe] C:\WINDOWS\system32\ipjn32.exe
O4 - HKLM\..\RunOnce: [apppp32.exe] C:\WINDOWS\system32\apppp32.exe
O4 - HKLM\..\RunOnce: [addej.exe] C:\WINDOWS\addej.exe
O4 - HKLM\..\RunOnce: [d3je32.exe] C:\WINDOWS\d3je32.exe
O4 - HKLM\..\RunOnce: [addvg32.exe] C:\WINDOWS\addvg32.exe
O4 - HKLM\..\RunOnce: [cras32.exe] C:\WINDOWS\system32\cras32.exe
O4 - HKLM\..\RunOnce: [addnq.exe] C:\WINDOWS\system32\addnq.exe
O4 - HKLM\..\RunOnce: [winlo.exe] C:\WINDOWS\winlo.exe
O4 - HKLM\..\RunOnce: [ntdo32.exe] C:\WINDOWS\ntdo32.exe
O4 - HKLM\..\RunOnce: [sdklo32.exe] C:\WINDOWS\system32\sdklo32.exe
O4 - HKLM\..\RunOnce: [iesx.exe] C:\WINDOWS\system32\iesx.exe
O4 - HKLM\..\RunOnce: [winlg32.exe] C:\WINDOWS\system32\winlg32.exe
O4 - HKLM\..\RunOnce: [sdkxz32.exe] C:\WINDOWS\sdkxz32.exe
O4 - HKLM\..\RunOnce: [appko32.exe] C:\WINDOWS\appko32.exe
O4 - HKLM\..\RunOnce: [sdkqh32.exe] C:\WINDOWS\sdkqh32.exe
O4 - HKLM\..\RunOnce: [msqy32.exe] C:\WINDOWS\msqy32.exe
O4 - HKLM\..\RunOnce: [msnt.exe] C:\WINDOWS\msnt.exe
O4 - HKLM\..\RunOnce: [wintj.exe] C:\WINDOWS\wintj.exe
O4 - HKLM\..\RunOnce: [winmn32.exe] C:\WINDOWS\winmn32.exe
O4 - HKLM\..\RunOnce: [javarl.exe] C:\WINDOWS\system32\javarl.exe
O4 - HKLM\..\RunOnce: [sdktx32.exe] C:\WINDOWS\sdktx32.exe
O4 - HKLM\..\RunOnce: [nethd32.exe] C:\WINDOWS\nethd32.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Nachdem Du die Einträge gefixt hast startest Du den Rechner im abgesicherten Modus und suchst nach allen hier aufgeführten Datein...von sysem.exe bis nethd32.exe. Streich die gelöschten Dateien auf dem Ausdruck, sonst verlierst Du den Überblick. Zum Schluss leerst Du noch den Papierkorbinhalt.

EDIT: Vergiss die C:\WINDOWS\wrmrq.dll nicht zulöschen...die ist sehr hartnäckig.
Bitte keine Supportanfragen per PM stellen.

Tynavis

Hmmm; das Problem besteht weiterhin... vielleicht hab ich irgendwas übersehen (die .dll Datei war z.B. nicht mehr aufzufinden >:()

Hier nochmal mein aktuelles Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 15:47:33, on 31.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Symantec AntiVirus\SavRoam.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\addif32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Xander - Zone\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\kdrci.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kdrci.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\kdrci.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\kdrci.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kdrci.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\kdrci.dll/sp.html#12047
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\kdrci.dll/sp.html#12047
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {D259260E-E911-1A3A-BEE3-5E850E986740} - C:\WINDOWS\system32\ipww32.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [appcu32.exe] C:\WINDOWS\appcu32.exe
O4 - HKLM\..\Run: [addif32.exe] C:\WINDOWS\system32\addif32.exe
O4 - HKLM\..\RunOnce: [netum.exe] C:\WINDOWS\system32\netum.exe
O4 - HKLM\..\RunOnce: [sdkwf32.exe] C:\WINDOWS\sdkwf32.exe
O4 - HKLM\..\RunOnce: [ietg.exe] C:\WINDOWS\ietg.exe
O4 - HKLM\..\RunOnce: [ipwe32.exe] C:\WINDOWS\system32\ipwe32.exe
O4 - HKLM\..\RunOnce: [iepe.exe] C:\WINDOWS\system32\iepe.exe
O4 - HKLM\..\RunOnce: [crnz.exe] C:\WINDOWS\crnz.exe
O4 - HKLM\..\RunOnce: [winnq.exe] C:\WINDOWS\winnq.exe
O4 - HKLM\..\RunOnce: [ipww32.exe] C:\WINDOWS\system32\ipww32.exe
O4 - HKLM\..\RunOnce: [netsl32.exe] C:\WINDOWS\netsl32.exe
O4 - HKLM\..\RunOnce: [atlft32.exe] C:\WINDOWS\system32\atlft32.exe
O4 - HKLM\..\RunOnce: [sysvh32.exe] C:\WINDOWS\sysvh32.exe
O4 - HKLM\..\RunOnce: [mfczl.exe] C:\WINDOWS\system32\mfczl.exe
O4 - HKLM\..\RunOnce: [ieff32.exe] C:\WINDOWS\system32\ieff32.exe
O4 - HKLM\..\RunOnce: [cruu32.exe] C:\WINDOWS\system32\cruu32.exe
O4 - HKLM\..\RunOnce: [nthc32.exe] C:\WINDOWS\system32\nthc32.exe
O4 - HKLM\..\RunOnce: [msrs.exe] C:\WINDOWS\msrs.exe
O4 - HKLM\..\RunOnce: [mfcwf32.exe] C:\WINDOWS\system32\mfcwf32.exe
O4 - HKLM\..\RunOnce: [crda32.exe] C:\WINDOWS\crda32.exe
O4 - HKLM\..\RunOnce: [crpn.exe] C:\WINDOWS\crpn.exe
O4 - HKLM\..\RunOnce: [syshg.exe] C:\WINDOWS\syshg.exe
O4 - HKLM\..\RunOnce: [ieob32.exe] C:\WINDOWS\system32\ieob32.exe
O4 - HKLM\..\RunOnce: [d3kc.exe] C:\WINDOWS\system32\d3kc.exe
O4 - HKLM\..\RunOnce: [netnv32.exe] C:\WINDOWS\system32\netnv32.exe
O4 - HKLM\..\RunOnce: [ntii32.exe] C:\WINDOWS\ntii32.exe
O4 - HKLM\..\RunOnce: [javadc32.exe] C:\WINDOWS\system32\javadc32.exe
O4 - HKLM\..\RunOnce: [sdkoe.exe] C:\WINDOWS\system32\sdkoe.exe
O4 - HKLM\..\RunOnce: [appbb.exe] C:\WINDOWS\system32\appbb.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O8 - Extra context menu item: Download über Download &Express - C:\Programme\Download Express\Add_Url.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: www.corsaforum.de
O15 - Trusted Zone: www.nts-gmbh.net
O15 - Trusted Zone: www.opelmissy.de
O15 - Trusted Zone: http://www.opelmissyboard.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Volkner.local
O17 - HKLM\Software\..\Telephony: DomainName = Volkner.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{3241F85F-B683-4690-A305-10CA4CFA2387}: NameServer = 192.168.1.1,192.168.1.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Volkner.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{3241F85F-B683-4690-A305-10CA4CFA2387}: NameServer = 192.168.1.1,192.168.1.254
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Volkner.local
O17 - HKLM\System\CS2\Services\Tcpip\..\{3241F85F-B683-4690-A305-10CA4CFA2387}: NameServer = 192.168.1.1,192.168.1.254
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Irgendwas stimmt doch da nicht...
Bitte nochmal um Hilfe :o

Tausend Dank

TMK

Joa, da stimmt einiges noch nicht! Würde zuerst auf einen anderen Internetbrowser, beispielsweise Firefox oder Opera, umsteigen!

Das Folgende im abgesicherten Modus (F8 während dem Systemstart) fixen und anschliessend auch ggfs. noch sämtliche Dateien unter "C:\WINDOWS\... oder C:\WINDOWS\system32\..." manuell entfernen:

C:\WINDOWS\system32\addif32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\kdrci.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kdrci.dll/sp.html#12047

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\kdrci.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\kdrci.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kdrci.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\kdrci.dll/sp.html#12047
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\kdrci.dll/sp.html#12047

O2 - BHO: Class - {D259260E-E911-1A3A-BEE3-5E850E986740} - C:\WINDOWS\system32\ipww32.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack

O4 - HKLM\..\Run: [appcu32.exe] C:\WINDOWS\appcu32.exe
O4 - HKLM\..\Run: [addif32.exe] C:\WINDOWS\system32\addif32.exe
O4 - HKLM\..\RunOnce: [netum.exe] C:\WINDOWS\system32\netum.exe
O4 - HKLM\..\RunOnce: [sdkwf32.exe] C:\WINDOWS\sdkwf32.exe
O4 - HKLM\..\RunOnce: [ietg.exe] C:\WINDOWS\ietg.exe
O4 - HKLM\..\RunOnce: [ipwe32.exe] C:\WINDOWS\system32\ipwe32.exe
O4 - HKLM\..\RunOnce: [iepe.exe] C:\WINDOWS\system32\iepe.exe
O4 - HKLM\..\RunOnce: [crnz.exe] C:\WINDOWS\crnz.exe
O4 - HKLM\..\RunOnce: [winnq.exe] C:\WINDOWS\winnq.exe
O4 - HKLM\..\RunOnce: [ipww32.exe] C:\WINDOWS\system32\ipww32.exe
O4 - HKLM\..\RunOnce: [netsl32.exe] C:\WINDOWS\netsl32.exe
O4 - HKLM\..\RunOnce: [atlft32.exe] C:\WINDOWS\system32\atlft32.exe
O4 - HKLM\..\RunOnce: [sysvh32.exe] C:\WINDOWS\sysvh32.exe
O4 - HKLM\..\RunOnce: [mfczl.exe] C:\WINDOWS\system32\mfczl.exe
O4 - HKLM\..\RunOnce: [ieff32.exe] C:\WINDOWS\system32\ieff32.exe
O4 - HKLM\..\RunOnce: [cruu32.exe] C:\WINDOWS\system32\cruu32.exe
O4 - HKLM\..\RunOnce: [nthc32.exe] C:\WINDOWS\system32\nthc32.exe
O4 - HKLM\..\RunOnce: [msrs.exe] C:\WINDOWS\msrs.exe
O4 - HKLM\..\RunOnce: [mfcwf32.exe] C:\WINDOWS\system32\mfcwf32.exe
O4 - HKLM\..\RunOnce: [crda32.exe] C:\WINDOWS\crda32.exe
O4 - HKLM\..\RunOnce: [crpn.exe] C:\WINDOWS\crpn.exe
O4 - HKLM\..\RunOnce: [syshg.exe] C:\WINDOWS\syshg.exe
O4 - HKLM\..\RunOnce: [ieob32.exe] C:\WINDOWS\system32\ieob32.exe
O4 - HKLM\..\RunOnce: [d3kc.exe] C:\WINDOWS\system32\d3kc.exe
O4 - HKLM\..\RunOnce: [netnv32.exe] C:\WINDOWS\system32\netnv32.exe
O4 - HKLM\..\RunOnce: [ntii32.exe] C:\WINDOWS\ntii32.exe
O4 - HKLM\..\RunOnce: [javadc32.exe] C:\WINDOWS\system32\javadc32.exe
O4 - HKLM\..\RunOnce: [sdkoe.exe] C:\WINDOWS\system32\sdkoe.exe
O4 - HKLM\..\RunOnce: [appbb.exe] C:\WINDOWS\system32\appbb.exe

O15 - Trusted Zone: www.corsaforum.de
O15 - Trusted Zone: www.nts-gmbh.net
O15 - Trusted Zone: www.opelmissy.de
O15 - Trusted Zone: http://www.opelmissyboard.de

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

....wie bereits erwähnt, jetzt ggfs. noch kurz die Dateien unter "C:\WINDOWS\... oder C:\WINDOWS\system32\..." manuell löschen und den Papierkorb leeren.

Dann noch SpyBot ausführen und System "immunisieren"!

--> Neustart in normalen Modus und fröhlich mit Firefox zukünftig surfen!!

tyco

Zitat von: Tynavis am 31. Mai 2005, 15:48:34 Uhr
Hmmm; das Problem besteht weiterhin... vielleicht hab ich irgendwas übersehen (die .dll Datei war z.B. nicht mehr aufzufinden >:()

Das Problem ist diese .dll benennt sich immer anders. Im aktuellen HijackThis.log heißt sie C:\WINDOWS\kdrci.dll/sp.html#12047.

Such mal im abgesicherten Modus nach sp.html und versuche es zu löschen.

Ansonsten die Tipps von TMK befolgen.
Bitte keine Supportanfragen per PM stellen.

hafi79

Vielen Dank vorerst!
Am Wochenende werde ich es bei beiden Rechnern mal ausprobieren! Ich melde mich wenn es geklappt hat.

Eine paar kurze Fragen noch:
1. Kann ich Nail.exe einfach löschen? Habe es vor ein paar Wochen schon mal probiert, aber nicht im abgesichterten Modus. Nach dem Löschvorgang war Nail.exe immer wieder da.

2. Was ist SVCHOST13.exe? habe ich bei mir glaube ich auch drauf. Immer wenn ich ins Internet gehe, meldet sich ZoneAlarm und sagt mir, dass SVCHOST Zugriff auf das Internet haben möchte?

tyco

Zitat von: hafi79 am 31. Mai 2005, 17:09:08 Uhr
Eine paar kurze Fragen noch:
1. Kann ich Nail.exe einfach löschen? Habe es vor ein paar Wochen schon mal probiert, aber nicht im abgesichterten Modus. Nach dem Löschvorgang war Nail.exe immer wieder da.

2. Was ist SVCHOST13.exe? habe ich bei mir glaube ich auch drauf. Immer wenn ich ins Internet gehe, meldet sich ZoneAlarm und sagt mir, dass SVCHOST Zugriff auf das Internet haben möchte?

Zu 1) Im abgesicherten Modus löschen und danach den Papierkorb leeren sollte eigentlich helfen.

Zu 2) SVCHOST13.exe ist zumindest keine Systemdatei von M$.....Du kannst davon ausgehen, dass es sich um einen Trojaner handelt.
Bitte keine Supportanfragen per PM stellen.

hafi79

Hallio da bin ich wieder!
Läuft schon einiges wieder besser hier bei meinem Vater. Nur diese nail.exe lässt sich nicht löschen! Taucht immer wieder auf.
Habt ihr noch nen Typ für mich!
Gruß
hafi79