Seite drucken - neues hijackThis file

Titel: neues hijackThis file
Beitrag von: Deneb in 28. Februar 2006, 13:41:23 Uhr

Hallo Leute,

hab gerade ein logfile machen lassen, nur kann ich damit nichts anfangen. Mein Problem ist CoolWWWSearch, CoolWWWSearch.HomeSearch, CoolWWWSearchIELinks, CoolWWWSearch.SearchKlicks. Wie bekomme ich das weg? Der Spy-Search&Destroy schafft es nicht, nach jedem Neustart ist es wieder da.
Im Browser steht ständig "about:blank" ich kann das nicht ändern, wenn ich ins Internet gehe werden immer Links in den Favoriten eingetragen.

Hier das log file:
Logfile of HijackThis v1.99.1
Scan saved at 13:22:40, on 28.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\sysob.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\PGPserv.exe
C:\WINNT\System32\snmp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINNT\System32\CCM\CcmExec.exe
C:\WINNT\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINNT\AGRSMMSG.exe
C:\WINNT\system32\sdkpk32.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\PrintKey2000\Printkey2000.exe
C:\Programme\WinZip\WZQKPICK.EXE
D:\verschiedenes\AntiSpyware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://intranet/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=:
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {39376476-95DE-19C4-47A1-AF0121DFD24D} - C:\WINNT\system32\addaf32.dll
O2 - BHO: Class - {DEDBD7C2-7C45-2622-ECFD-4D789AA827F2} - C:\WINNT\crki32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [FRYMXINS] "C:\Programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [sdkpk32.exe] C:\WINNT\system32\sdkpk32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O14 - IERESET.INF: START_PAGE_URL=http://ho-us-ias/auth.html
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = de.bertrandt.net
O17 - HKLM\Software\..\Telephony: DomainName = de.bertrandt.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = de.bertrandt.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = de.bertrandt.net
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\sysob.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINNT\System32\PGPserv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Danke im voraus

Titel: Re: neues hijackThis file
Beitrag von: TMK in 28. Februar 2006, 19:49:46 Uhr

Hi,

solltest im abgesicherten Modus folgendes fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAsistant = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {39376476-95DE-19C4-47A1-AF0121DFD24D} - C:\WINNT\system32\addaf32.dll

O2 - BHO: Class - {DEDBD7C2-7C45-2622-ECFD-4D789AA827F2} - C:\WINNT\crki32.dll

O4 - HKLM\..\Run: [sdkpk32.exe] C:\WINNT\system32\sdkpk32.exe

O14 - IERESET.INF: START_PAGE_URL=http://ho-us-ias/auth.html

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = de.bertrandt.net
O17 - HKLM\Software\..\Telephony: DomainName = de.bertrandt.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = de.bertrandt.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = de.bertrandt.net

O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\sysob.exe

Anschließend auch mit SpyBot und/oder Ad-aware das System checken und hier lesen:

http://www.hardwareecke.de/berichte/sicherheit/viren_trojaner_hijacker_schutz_beseitigung_2.php

Windows solltest natürlich auch immer auf dem Laufenden halten, sonst bringt das hier natürlich alles nichts. Auf Firefox als Webbrowser umsteigen ist auch sehr zu empfehlen.

Titel: Re: neues hijackThis file
Beitrag von: Deneb in 05. März 2006, 12:56:23 Uhr

Hallo,

erstmal danke für den Tipp, einiges ist schon weg.
Aber ich krieg dieses CoolWWWSerach nicht weg!! Der Spybot bring immer noch 2 Meldungen: CoolWWWSearch und CoolWWWSearch.SearchKlick !!!

Der Look2Me Remover findet nichts. Im logfile des HijackThis habe ich das File sysob.exe im Verdacht, trau mich aber nicht es zu löschen.

Logfile of HijackThis v1.99.1
Scan saved at 13:22:40, on 28.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\sysob.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\PGPserv.exe
C:\WINNT\System32\snmp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINNT\System32\CCM\CcmExec.exe
C:\WINNT\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINNT\AGRSMMSG.exe
C:\WINNT\system32\sdkpk32.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\PrintKey2000\Printkey2000.exe
C:\Programme\WinZip\WZQKPICK.EXE
D:\verschiedenes\AntiSpyware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://intranet/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=:
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {39376476-95DE-19C4-47A1-AF0121DFD24D} - C:\WINNT\system32\addaf32.dll
O2 - BHO: Class - {DEDBD7C2-7C45-2622-ECFD-4D789AA827F2} - C:\WINNT\crki32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [FRYMXINS] "C:\Programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [sdkpk32.exe] C:\WINNT\system32\sdkpk32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O14 - IERESET.INF: START_PAGE_URL=http://ho-us-ias/auth.html
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = de.bertrandt.net
O17 - HKLM\Software\..\Telephony: DomainName = de.bertrandt.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = de.bertrandt.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = de.bertrandt.net
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\sysob.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINNT\System32\PGPserv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Titel: Re: neues hijackThis file
Beitrag von: Deneb in 05. März 2006, 13:01:29 Uhr

ich hab da nochmal eine Frage:
Was heißt Systemwiederherstellung? (Nebenbei: Ich hab auf meinem Rechner keine Adminrechte.)

Titel: Re: neues hijackThis file
Beitrag von: tyco in 05. März 2006, 13:07:09 Uhr

Hast Du es mal mit Spybot S&D im abgesicherten Modus versucht?

Titel: Re: neues hijackThis file
Beitrag von: Deneb in 05. März 2006, 17:21:26 Uhr

Ja, hab ich gemacht.
Ich habe im Abgesicherten Modus mit Spybot und HijackThis gearbeitet.

Titel: Re: neues hijackThis file
Beitrag von: tyco in 05. März 2006, 19:14:26 Uhr

Deaktiviere die Systemwiederherstellung und starte im abgesicherten Modus und fixe folgendes:

C:\WINNT\sysob.exe

C:\WINNT\System32\CCM\CLICOMP\RemCtrl\Wuser32.exe

C:\WINNT\System32\CCM\CcmExec.exe

C:\WINNT\system32\sdkpk32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ypgin.dll/sp.html#84712%resultposition.net

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {39376476-95DE-19C4-47A1-AF0121DFD24D} - C:\WINNT\system32\addaf32.dll

O2 - BHO: Class - {DEDBD7C2-7C45-2622-ECFD-4D789AA827F2} - C:\WINNT\crki32.dll

O4 - HKLM\..\Run: [sdkpk32.exe] C:\WINNT\system32\sdkpk32.exe

O14 - IERESET.INF: START_PAGE_URL=http://ho-us-ias/auth.html

O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\sysob.exe

Titel: Re: neues hijackThis file
Beitrag von: Deneb in 09. März 2006, 20:35:57 Uhr

Hallo,

ich krieg dieses CoolWWWSearch nicht weg. Immer noch ist im Internet Explorer die Startseite about:blank da.
Hab wieder mit HijackThis ein paar files gefixt, mit Spybot im abgesicherten Modus gefixt, aber nach einem Neustart war alles wieder da.
Wer kann mir weiterhelfen.

Logfile of HijackThis v1.99.1
Scan saved at 20:17:13, on 09.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\PGPserv.exe
C:\WINNT\System32\snmp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINNT\System32\CCM\CcmExec.exe
C:\WINNT\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINNT\AGRSMMSG.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\PrintKey2000\Printkey2000.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\syspa.exe
C:\WINNT\mfcyv32.exe
D:\verschiedenes\AntiSpyware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\oxbuv.dll/sp.html#84712%
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\oxbuv.dll/sp.html#84712%
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\oxbuv.dll/sp.html#84712%
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\oxbuv.dll/sp.html#84712%
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\oxbuv.dll/sp.html#84712%
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\oxbuv.dll/sp.html#84712%
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\oxbuv.dll/sp.html#84712%
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://intranet/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=:
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {B2F02B12-4040-1A24-D0EF-B579E127CFF7} - C:\WINNT\mszv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [FRYMXINS] "C:\Programme\ATI Technologies\Fire GL 3D Studio Max\atiimxgl"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mfcyv32.exe] C:\WINNT\mfcyv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O14 - IERESET.INF: START_PAGE_URL=http://bertrandtportal.bertrandt.net/auth.html
O15 - Trusted Zone: bertrandtportal.bertrandt.net (HKLM)
O15 - Trusted Zone: de.bertrandt.net (HKLM)
O15 - Trusted Zone: http://*.ho-us-ias (HKLM)
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = de.bertrandt.net
O17 - HKLM\Software\..\Telephony: DomainName = de.bertrandt.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = de.bertrandt.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = de.bertrandt.net
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\syspa.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINNT\System32\PGPserv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Titel: Re: neues hijackThis file
Beitrag von: TMK in 09. März 2006, 21:26:55 Uhr

..du solltest alles also auch Hijackthis im abgesicherten Modus ausführen, zudem auch CWShredder:

http://www.hardwareecke.de/berichte/sicherheit/viren_trojaner_hijacker_schutz_beseitigung_2.php

Dann natürlich auch Windows und den IE auf den aktuellsten Stand bringen, sonst bringt das alles nichts. Je nachdem wie lange du damt jetzt schon kämpfst, wäre vielleicht auch eine komplette Neuinstallation sinnvoll, geht oftmals schneller.

Titel: Re: neues hijackThis file
Beitrag von: Deneb in 10. März 2006, 19:57:48 Uhr

Hallo,
ich hab alles schon im abgesicherten Modus gefixt. Mehr geht nicht.
reicht es nicht aus wenn ich als Browser Firefox verwende.

Grüsse

Titel: Re: neues hijackThis file
Beitrag von: CCCP in 10. März 2006, 22:17:43 Uhr

hi leutz bin hier an nem fremden pc um den etwas "aufzuräumen", hab da mal ein hijackthis file gemacht, hab zum teil vorher einige sachen schon gefixt hier aber wie gesagt mal ein aktuelles bei dem ich nicht wusste was noch zu fixen ist
bitte um hilfe ;)

Logfile of HijackThis v1.99.1
Scan saved at 22:14:13, on 10.03.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfs.exe
C:\WINDOWS\shch.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\sndman.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\w?nlogon.exe
C:\WINDOWS\System32\YSTEM3~1\taskmgr.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\avsoft.exe
C:\Programme\WebSiteViewer\127036.dlr
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Sanja\Eigene Dateien\progs\hijackthis\hijackthis1991\HijackThis1991.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: shlwxpiq - {6106A241-25A0-8FF4-799E-7527FA8E3237} - C:\WINDOWS\SYSTEM\SHLWXPIQ.dll
O2 - BHO: (no name) - {635D178C-FD36-A3C0-1BB0-D4BFAE84DACD} - C:\WINDOWS\System32\baumlfhy.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [Sygate Personal AntiVir] ctfs.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MsnExplorer] C:\WINDOWS\shch.exe /i
O4 - HKLM\..\Run: [Nero] C:\WINDOWS\nrchk.exe /i
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [SoundMan] C:\WINDOWS\sndman.exe -i
O4 - HKLM\..\Run: [Timer] C:\WINDOWS\avsoft.exe /i
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [VolControl] C:\WINDOWS\volumec.exe -i
O4 - HKLM\..\RunServices: [CRC Value Verifier] svchost32.exe
O4 - HKLM\..\RunServices: [Sygate Personal AntiVir] ctfs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Qrnqlx] C:\WINDOWS\System32\w?nlogon.exe
O4 - HKCU\..\Run: [Sygate Personal AntiVir] ctfs.exe
O4 - HKCU\..\Run: [Cadb] "C:\WINDOWS\System32\YSTEM3~1\taskmgr.exe" -vt mt
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O15 - Trusted IP range: 69.50.161.82
O16 - DPF: Win32 Classes -
O16 - DPF: {AED98630-0251-4E83-917D-43A23D66D507} (Download Helper Class) - http://activex.microgaming.com/dlhelper/version7/dlhelper.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://crazyvegas.microgaming.com/crazyvegas/FlashAX.cab
O20 - Winlogon Notify: -sxdhzwoz - C:\WINDOWS\System32\phqghu.dll
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Titel: Re: neues hijackThis file
Beitrag von: tyco in 11. März 2006, 10:39:48 Uhr

Fixe bei deaktivierter Systemwiederherstellung im Abgesicherten Modus:

C:\WINDOWS\shch.exe

C:\WINDOWS\sndman.exe

C:\WINDOWS\System32\w?nlogon.exe

C:\WINDOWS\avsoft.exe

C:\Programme\WebSiteViewer\127036.dlr

Die obigen Dateien musst Du nach dem Fixen auch noch manuell löschen und dann den Papierkorb leeren!

O2 - BHO: shlwxpiq - {6106A241-25A0-8FF4-799E-7527FA8E3237} - C:\WINDOWS\SYSTEM\SHLWXPIQ.dll

O2 - BHO: (no name) - {635D178C-FD36-A3C0-1BB0-D4BFAE84DACD} - C:\WINDOWS\System32\baumlfhy.dll

O4 - HKLM\..\Run: [MsnExplorer] C:\WINDOWS\shch.exe /i

O4 - HKLM\..\Run: [Nero] C:\WINDOWS\nrchk.exe /i

O4 - HKLM\..\Run: [SoundMan] C:\WINDOWS\sndman.exe -i

O4 - HKLM\..\Run: [Timer] C:\WINDOWS\avsoft.exe /i

O4 - HKLM\..\Run: [VolControl] C:\WINDOWS\volumec.exe -i

O4 - HKLM\..\RunServices: [CRC Value Verifier] svchost32.exe

O4 - HKCU\..\Run: [Qrnqlx] C:\WINDOWS\System32\w?nlogon.exe

O4 - HKCU\..\Run: [Cadb] "C:\WINDOWS\System32\YSTEM3~1\taskmgr.exe" -vt mt

O15 - Trusted IP range: 69.50.161.82

O16 - DPF: Win32 Classes -

Ausserdem sollte SP2 installiert werden mit den aktuellen Updates.

Titel: Re: neues hijackThis file
Beitrag von: BunjeeJumpa in 12. März 2006, 13:16:32 Uhr

Moin - ich mach denn auch ma mit...

Logfile of HijackThis v1.99.1
Scan saved at 13:11:48, on 12.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Nobbis_Programme\Winamp\winampa.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Philips\Philips Device Manager\Bin\DeviceManager.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Philips\Philips Lime Service\bin\LimeAlive.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Philips\Philips Lime Service\bin\Lime.exe
C:\Nobbis_Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Nobbis_Programme\Winamp\winamp.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\DOKUME~1\Nobbi\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {16A43676-C37B-B339-CF40-23029FA88203} - C:\DOKUME~1\Nobbi\ANWEND~1\WAITAU~1\Hope Default.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Nobbis_Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\NobbisProgramme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [PhilipsDM] "C:\Programme\Philips\Philips Device Manager\Bin\DeviceManager.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [info blue start gram] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dvd dead info blue\Audio Readme.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhilipsLime] "C:\Programme\Philips\Philips Lime Service\bin\LimeAlive.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Body Team] C:\DOKUME~1\Nobbi\ANWEND~1\PlanSize\Up Atom Find.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Nobbis_Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{00040F77-0C2A-49A2-AAF0-ABE089DE38CB}: NameServer = 205.188.146.145
O17 - HKLM\System\CS1\Services\Tcpip\..\{00040F77-0C2A-49A2-AAF0-ABE089DE38CB}: NameServer = 205.188.146.145
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\MSJB DE01FSC Shared\Service\Software Jukebox v2.0 Service File.exe

Was muss ich fixen?!? Danke schonma...

Titel: Re: neues hijackThis file
Beitrag von: tyco in 12. März 2006, 13:40:45 Uhr

Zitat von: BunjeeJumpa in 12. März 2006, 13:16:32 Uhr
Moin - ich mach denn auch ma mit...

Gibt es dafür einen Grund? Dein Logfile sieht sauber aus.

Titel: Re: neues hijackThis file
Beitrag von: BunjeeJumpa in 12. März 2006, 13:57:59 Uhr

Echt?!? Es öffnen sich eigentlich in unregelmäßigen Abständen immer wieda PopUps (Arcor-Werbung, Online-Poker, etc pp.)... Hab allet mögliche an den I-Net-Einstellungen rumgespielt, Spybot & Co laufen lassen aber es kommt dennoch immer wieda was... Meist haben die PopUps noch nichma ne Betreffzeile...

Titel: Re: neues hijackThis file
Beitrag von: gandal in 12. März 2006, 14:03:23 Uhr

Die Popup's werden von diversen Seiten produziert. Da wo kostenlose Inhalte angeboten werden, wird unter Umständen auch Werbung gemacht.

Titel: Re: neues hijackThis file
Beitrag von: BunjeeJumpa in 12. März 2006, 14:05:13 Uhr

Naja es is völlig egal auf welcher Seite ich bin - es kommen ständig welche von den unterschiedlichsten "Anbietern"...

Titel: Re: neues hijackThis file
Beitrag von: tyco in 12. März 2006, 14:13:27 Uhr

An Deiner Stelle würde ich Firefox anstatt des Internet Explorers verwenden.

Du benutzt anscheinend auch keinen Antivirenscanner oder der Scanner ist nicht aktiv.

Titel: Re: neues hijackThis file
Beitrag von: BunjeeJumpa in 12. März 2006, 14:32:35 Uhr

Naja ich geh immer mit AOL-Airlines (naja gut seit DSL keine Abstürze mehr ;) ) rein - das hat ja seine eigene Art IE oder was auch immer...

Und nope - nix Scanner... Bin seit Jahren ohne irgendein Proggi problemlos gesurft...

Titel: Re: neues hijackThis file
Beitrag von: tyco in 28. März 2006, 17:32:59 Uhr

Zitat von: BunjeeJumpa in 12. März 2006, 14:32:35 Uhr
Und nope - nix Scanner... Bin seit Jahren ohne irgendein Proggi problemlos gesurft...

Das müsste eigentlich bestraft werden. ;D

HWE-Forum.de

Internet und Co. => Schutz & Sicherheit => Thema gestartet von: Deneb in 28. Februar 2006, 13:41:23 Uhr