Hi leute habe seit gestern ein problem! ich habe dsl und bin immer online, habe aber nis+av, antivir, ad aware und spybot drauf. seit gestren offnet sich dann ab und zu der internet explorer von selbst und er zeigt so eine blöde strip poker seite an. wenn ich diese wegklicke öffnet sie sich nach ca. 10 min. wieder. dazu kommt das das windows security center eine meldung macht (auf englisch) und da steht sowas wie das mein system wohl von viren befallen ist, die es auf kreditkartennr. und passwörter abgesehen hat. dann öffnen sich manchmal auch fenster wo angeblich gerade mein system geprüft wird nach spyware usw und ob ich die kostenlos downloaden möchte. habe ich natürlich immer weggemacht. habe dann mal alles gescannt mit spybot findet er immer die dso expilot oder so aber der geht ja nicht weg. mit adaware hat er was gefunden 2 probleme oder so die sind aber auch schon behoben. antivir und nav findet nichts auch im abgesicherten modus nichts. jetzt weiss ich nicht wie ich das wegbekommen soll. achja das fenster öffnet sich auch wenn ich das internet kabel abgemacht habe nur das da dann steht : server nicht gefunden!
Wie bekomme ich diesen bockmist runter?
Danke euch schonmal
Gruß Kuppe
Lade dir am Besten mal HijackThis runter und poste dann den Inhalt der Logdatei hier im Forum:
http://www.spychecker.com/program/hijackthis.html
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html
danke dir werde es heute abend mal ausprobieren. werde dann alles posten.
gruß Kuppe
Also hier mal die logfile:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\sfcver.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe
F:\Toolz\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: http://*.search-soft.net
hoffe ihr könnt damit was anfangen, och nämlich nichts ;)
danke Gruß kuppe
hier mal die logfile wenn diese komische seite geöffnet ist (öffnet sich stänig von selbst!
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\sfcver.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe
F:\Toolz\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: http://*.search-soft.net
weiss zwar nicht ob da jetzt was anders ist aber ich poste es mal einfach bitte helft mir so schnell es geht!
Also da ist eigentlich nichts besonderes drin. ::)
Es sei denn, dass Du die Seite 'http://*.63.219.181.7' und 'http://*.search-soft.net' nicht wissentlich zu Deinen 'Vertrauenswürdigen Seiten' hinzugefügt hast, dann solltest Du folgendes fixen:
O15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: http://*.search-soft.net
hallo, also habe antivir nochmal scannen lassen...jetzt hat er was gefunden! die meldung lautet:
Datei: cax[1].cab
Dieses Archiv enthält eine oder mehrere infizierte Dateien!
Infizierte Dateien in Archiven werden nicht repariert odergelöscht!
was soll ich machen! dann meldet antivir eine trojanisches pferd, das ist unter lokale einstellungen/Temp... und danach öffnet sich ein fenster wo klicken sie Yes um die kostenlose software zu installieren!
man langsam ko**t mich das tierisch an!
Gruß Kuppe
Mach den Scan im abgesicherten Modus.
habe ich auch schon gemaacht, da findet er aber nichts!
gruß kuppe
Zitat von: Kuppe am 02. Dezember 2004, 18:42:54 Uhr
hallo, also habe antivir nochmal scannen lassen...jetzt hat er was gefunden! die meldung lautet:
Datei: cax[1].cab
Dieses Archiv enthält eine oder mehrere infizierte Dateien!
Infizierte Dateien in Archiven werden nicht repariert odergelöscht!
was soll ich machen! dann meldet antivir eine trojanisches pferd, das ist unter lokale einstellungen/Temp... und danach öffnet sich ein fenster wo klicken sie Yes um die kostenlose software zu installieren!
Lösche mal den Cache des Internet Explorers und leere den Temp Ordner unter lokale einstellungen/Temp.
Zusätzlich scanne und bereinige Dein System mit Spybot Search & Destroy. Letzteres hat bei mir zum Erfolg geführt.
...und vorallem, verwende Firefox als Internetbrowser:
http://firebird-browser.de/
habe ich alles schon gelöscht mache ich ja fast jedes mal nach dem surfen. Lösche entweder direkt ausm explorer und unter lokale einstellungen...hat leider nicht geholfen kommt irgendwie imemr wieder der mist!
Kannst mal nen Screenshot von "Prozesse" im Windows Task-Manager machen und posten.
Hallo, ich "leide" unter dem selben Problem und habe gerade auf der Suche nach einer Lösung dieses Forum entdeckt. Die angesprochenen Programme und mehr (antivir, ad aware, spybot, zone alarm, cw shredder, stinger, ashampoo winoptimizer) habe ich auch, nur helfen die dieses Mal nicht wirklich weiter. Auch meine Suche im Netz war bisher wenig erfolgreich und als reiner Anwender stößt man schnell an seine Grenzen. Ich bin daher für jeden Tip dankbar. Gruss Mike
Könntest du auch das Logfile von HijackThis und auch gleich einen Screenshot von deinen aktiven Prozessen im Task-Manager posten.
Hallo und danke erstmal. Hier der Task Manager, ich hoffe das klappt... Wie komme ich bitte an den Hijack This? Kann das auch der ad aware leisten?
Habe es eben gelesen und versuche, den HJ herunterzuladen.
OK, und hier das Ergebnis
Logfile of HijackThis v1.97.7
Scan saved at 13:20:31, on 04.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NVATray.exe
C:\WINDOWS\TBPanel.exe
D:\Programme\AVPersonal\AVSched32.EXE
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\PROGRA~1\ASHAMP~1\PopUpKiller.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Download\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.esearch.cc/s.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schalke04.de/13_home/home.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.esearch.cc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.esearch.cc/s.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.esearch.cc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.esearch.cc/s.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] D:\PROGRA~1\ASHAMP~1\PopUpKiller.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk.disabled
O4 - Global Startup: Adobe Gamma Loader.exe.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://D:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://D:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://D:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://*.search-soft.net
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {11311111-1111-1111-1111-11111121115F} - file://C:\Recycled\Q381001.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444500000000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Würde wohl mal diese Sachen fixen:
ZitierenR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.esearch.cc/s.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.esearch.cc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.esearch.cc/s.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.esearch.cc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.esearch.cc/s.php
O15 - Trusted Zone: http://*.search-soft.net
...und falls du nicht 100% weißt was folgendes ist, auch:
ZitierenC:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe
Oh, vergessen...auch diese am Besten fixen:
ZitierenO16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {11311111-1111-1111-1111-11111121115F} - file://C:\Recycled\Q381001.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
hi wie mache ich eine nscreenshot vom taskmanager?
Gruß Kuppe
Öffne den TM, Prozesse, drücke die Taste "Print Screen" (damit kopierst Du das aktuelle Bild auf Deinem Monitor in die Zwischenablage), öffne ein Bildbearbeitungsprogramm (z.B. Photoshop, müsste aber auch in Paint gehen), öffne eine neue Datei und füge das Bild ein (strg+v oder über einfügen). Danach als jpg. speichern und dann im Anhang mitsenden. Gruss
Ich schaue später nochmal rein und berichte, ob das fixen erfolgreich war.
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\clfmon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\a2\a2guard.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\sfcver.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\a2\a2start.exe
F:\Toolz\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: http://*.search-soft.net
wie lösche ich diese dinger habe ja fast die gleichen einträge?
Über HijackThis auswählen und "fixen"!
ZitierenO15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: http://*.search-soft.net
...und ggf. auch diese:
ZitierenC:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe
O15 - Trusted Zone: http://*.63.219.181.7
diese kjommt immer wieder...
Scheint tatsächlich auch das Problem zu sein:
--> http://www.wilderssecurity.com/showpost.php?p=309847&postcount=35
sch****e ich verstehe nur die hälfte was da steht hätte mal in englisch besser aufpassen sollen :( kann mir eienr helfen was ich da jetzt genau mahen muss?
Hier nochmal die Lösung in deutscher Sprache: O15 - Trusted Zone: http://*.63.219.181.7, ...eine besonders üble Art von Hijacking (http://www.rokop-security.de/board/index.php?s=fa751c3fedd127cd867dae753bb4b684&showtopic=5990&pid=63496&st=0&#entry63496)
mmhhh...soweit so gut aber was mache ichdann mit killbox? welche dateinen muss ich alle löschen?
Zumindest die C:\WINDOWS\system32\service.exe musst Du löschen! Wahrscheinlich auch noch die anderen.
Wie siehts aus, hats geklappt mit dem Entfernen?
Hallo, ich habe getsren Nacht noch die entsprechenden Dateien/Programme heruntergeladen und mir auch den Text durchgelesen. Mir ist allerdings nicht ganz klar, wo ich die angesprochenen Dateien finde bzw. welche in löschen muss. Soll ich die Dateien mit der Killbox suchen und dann löschen? Auserdem habe ich gestern noch ad aware upgedated, mit dem Erfolg, das die besagte O15 Zeile jetzt nicht mehr gelistet wird. Dafür erscheint die Zeile "O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -" immer wieder und das Problem ist nach wie vor nicht gelöst.
Logfile of HijackThis v1.97.7
Scan saved at 14:02:54, on 05.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NVATray.exe
C:\WINDOWS\TBPanel.exe
D:\Programme\AVPersonal\AVSched32.EXE
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
D:\PROGRA~1\ASHAMP~1\PopUpKiller.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Download\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecust.dll
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] D:\PROGRA~1\ASHAMP~1\PopUpKiller.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk.disabled
O4 - Global Startup: Adobe Gamma Loader.exe.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://D:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://D:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://D:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444500000000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Gruss Mike
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} ist auch ein Trojaner. ::)
Dein Internet Explorer und auch HijackThis sind out of time.........also unbedingt updaten.
Dann scanne Dein System im abgesicherten Modus und fixe obigen Trojanereintrag.
Diesen Eintrag auch fixen: R3 - Default URLSearchHook is missing
Am Besten Du verwendest zukünftig Mozilla Firefox statt des IE.
OK, langsam verliere ich zugegeben etwas die Übersicht. Ich bin eigentlich nur Anwender und kämpfe mich halt so durch aber langsam komme ich an meine Grenzen ??? Also, ich habe gestern Nacht wie oben vorgeschlagen die englischen Seiten aufgesucht und mir die entsprechenden Programme heruntergeladen. Ich verstehe das look.log von Ms4Hd nicht. Ferner ist mir nicht klar, welche Dateien/Einträge (run killbox and paste each of these lines into the box) ich wie mit der Killbox löschen soll.
Hier das MH4 look.log:
An Ms4Hd_look by IMM (v0.003)
Version Info: 5.1000 = Windows XP Pro (Build 2600)
The volume containing the system directory is C: ()
HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd
Error: Unable to open key (Return Code was 2)
HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Files
Error: Unable to open key (Return Code was 2)
HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes
Error: Unable to open key (Return Code was 2)
HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys
Error: Unable to open key (Return Code was 2)
HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues
Error: Unable to open key (Return Code was 2)
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
(1 subkey(s) and 8 values) last modified 14:42 5/12/2004 (UTC)
[NVIDIA nForce APU1 Utilities] "NVATray.exe" (SZ)
[Gainward] "C:\WINDOWS\TBPanel.exe /A" (SZ)
[NvCplDaemon] "RUNDLL32.EXE NvQTwk,NvCplDaemon initialize" (SZ)
[nwiz] "nwiz.exe /install" (SZ)
[AVSCHED32] "D:\Programme\AVPersonal\AVSched32.EXE /min" (SZ)
[clfmon.exe] "clfmon.exe" (SZ)
[Zone Labs Client] ""D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" (SZ)
[AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE /min" (SZ)
Den Hijack This habe ich gestern erst herunter geladen (Version 1.97.7). Gibt es eine neuere Version oder ein anderes Programm? Ich habe nochmals im abgesicherten Modus gescannt, hier der aktuelle Stand:
Logfile of HijackThis v1.97.7
Scan saved at 22:50:19, on 05.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NVATray.exe
C:\WINDOWS\TBPanel.exe
D:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\PROGRA~1\ASHAMP~1\PopUpKiller.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
L:\Programme\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecust.dll
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] D:\PROGRA~1\ASHAMP~1\PopUpKiller.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk.disabled
O4 - Global Startup: Adobe Gamma Loader.exe.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://D:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://D:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://D:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444500000000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Trusted Zone ist immer noch da :(
Mir wurde Opera empfohlen, ist das OK?
Ich komme so nicht weiter und würde mich freuen, wenn Ihr mir weiterhelfen könntet.
Gruss Mike
Ich persönlich finde Firefox besser, da kostenlos, aber Opera ist als Browser grundsätzlich auch ok.
also mir wurde das leider auch zu viel, habe jetzt formatiert und gleich nis05 und firefox raufgehauen. jetzt läuft wieder alles, nur meine graka macht weieder mal probleme. wünsche dir viel glück beim entfernen des trojaners oder was auch immer das ist.
an alle anderen trotzdem danke für eure mühe :danke1:
MFG Kuppe
Ich hoffe, mir kann eine von euch helfen.
Logfile of HijackThis v1.97.7
Scan saved at 23:16:04, on 09.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\System32\nlsfuncs.exe
C:\WINDOWS\System32\openconf.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Steffi\Desktop\HijackThis.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SENS Keyboard V4 Launcher] "C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\PROGRA~1\NORTON~1\Cfgwiz.exe /R
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\Navapw32.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: BHODemon.lnk = C:\Programme\BHODemon\BHODemon.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
Was soll / muss ich davon löschen? Ich kenn mich mit sowas kaum aus :(
Auf die schnelle scheint nichts schlimmes vorhanden zu sein. Generell steht die Empfehlung auf Firefox als Internetbrowser umzusteigen:
http://firebird-browser.de/
Hm, also ich habe das HiJack nochmal gemacht, und da kam diese eine Datei immer wieder von der ich gelesen habe, dass man sie löschen sollte.
Nachher hat irgendwie gar nichts mehr was gebracht.
Habe jetzt mal das System neu drauf installiert, vielleicht bringt das was (obwohl jetzt irgendwie meine Soundkarte nicht mehr funktioniert ???)...
Für die Soundkarte bzw. des onboard-Sound musst wohl noch einen Treiber installieren.
HEY Leutz!
Bin neu hier und hab auch das oben genannte Prob.! Wenn ich den IE öffne habe ich darüber hinaus jetzt ne neue toolbar namens "freshbar"
hängt wohl alles irgenwie zusammen!hab auch schon hijackthis laufen laufen lassen
Logfile of HijackThis v1.97.7
Scan saved at 15:01:53, on 11.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\wskor.exe
C:\Programme\Telekom\T-Eumex 220PC\Capictrl.exe
C:\WINDOWS\System32\unlodctl.exe
C:\WINDOWS\System32\nlsfuncs.exe
C:\WINDOWS\System32\openconf.exe
C:\Dokumente und Einstellungen\Petra\Desktop\GoogleToolbarInstaller.exe
C:\Dokumente und Einstellungen\Petra\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecust.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [blah service] msnmsgrr.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] wskor.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\T-Eumex 220PC\routcnf.exe /capiactive
O4 - HKLM\..\Run: [Windows AdService] C:\Program Files\Windows AdService\WinAdServ.exe
O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] wskor.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update Machine] wskor.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: Win32 Classes -
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
wie gehe ich weiter vor? Bin noch nicht so der planer!
Da hast Du Dir einiges eingefangen:
FIXEN:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [blah service] msnmsgrr.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] wskor.exe
O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] wskor.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] wskor.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
Das grösste Problem wird der Eintrag O15 - Trusted Zone: http://*.63.219.181.7 sein. Dazu hier im Thread mal eine Seite zurückgehen. Vielleicht ist eine Neuinstallation und Formatierung der einfachste Weg.
hey super danke ;D! das hat mir schon weitergeholfen! nur der trusted zone eintrag halt! bekomm ich den nicht irgentwie mit killbox oder
so weg ???! ich würde gerne ne neuinstallation umgehen!
Versuch es mal mit Killbox und eScan. Ich habe hier eine Anleitung gefunden: Erste Hilfe bei unbekannter Malware, Hijacker, Viren, Backdoor, Würmer und co (http://www.rokop-security.de/board/index.php?showtopic=3867)
Habe das selbe Problem, ich soll immer auf ne Seite mit ner Webcam drauf. Hat das was mit ICQ zu tun??
Es öffnet sich immer ein Nachrichtenfenster. Im TM ist das in Verbindung mit Csrss.exe
Oder ein anderes Fenster mit ich soll auf die Seite www.patchnow.net gehen
Hier nen Fotohttp://mitglied.lycos.de/bumpers/Bild000.jpg
Logfile of HijackThis v1.98.2
Scan saved at 22:07:56, on 13.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\Mixer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
D:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\OfficeGUI32cb.exe
C:\WINDOWS\System32\WinGamed.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\SETI@home\SETI@home.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
D:\PROGRA~1\ICQ\ICQ.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
D:\mIRC\mirc.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
d:\Programme\WinRAR\WinRAR.exe
D:\Downloads\backups\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [seticlient] d:\Programme\SETI@home\SETI@home.exe -min
O4 - HKCU\..\Run: [MS Office32cb Startup] OfficeGUI32cb.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: SchnapperPlus - {D6243B39-211B-440D-B4C5-26D2A579CAC8} - D:\Programme\SchnapperPlus\SchnapperPlus.exe
O15 - Trusted Zone: http://reckman.bortal.de
O18 - Protocol hijack: mhtml -
Einfach Nachrichtendienst deaktivieren: --> http://www.hwe-forum.de/index.php/topic,4726.0.html
"C:\WINDOWS\System32\WinGamed.exe" bzw. "O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe" scheint ein Wurm zu sein: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SDBOT.BR
...ebenfalls "C:\WINDOWS\System32\OfficeGUI32cb.exe" bzw. "O4 - HKCU\..\Run: [MS Office32cb Startup] OfficeGUI32cb.exe": http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_RBOT.ABW
Anonsten würde ich wohl ggf. noch folgende Einträge fixen:
O4 - Global Startup: BTTray.lnk = ?
O15 - Trusted Zone: http://reckman.bortal.de
O18 - Protocol hijack: mhtml -
Ganz generell solltest das SP2 installieren und browsertechnisch ebenfalls auf Firefox umsteigen, ab und an den Rechner auch z.B. mit SpyBot (http://www.safer-networking.org/de/) durchchecken.
Jo, vielen Dank hoffe das kommt jetzt nicht mehr!! Dachte das wäre auch mit XP AntiSPY gefixt worden!!
Hallo Leute, ich hatte mich mit dem gleichen Problem rumschlagen müssen.
Ich habe heute die neuesten Updates von AntiVir und AdAware runtergeladen und die haben dann auch tatsächlich einiges gefunden und entfernt.
Trotz allem ist mein System immer noch nicht sauber, denn sobald ich im Windows einlogge springt Antivir an und meldet einen Trojaner. Das Teil nennt sich Dldr.VBS.Ps.AC.4, gefunden wird der immer im Verzeichnis Windows/System32. Der Name der betroffen Datei ist immer 4 stellig und beginnt immer mit MSxx.DLL. Antivir kann anscheinend den Trojaner löschen der sich mit dem Logon installieren will, aber irgendwo hat sich das *recksteil noch versteckt und wird mit dem Logon aktiv.
Ich wäre echt dankbar wenn jemand ne Idee hat wie man dem Teil an den Kragen gehen kann, Format C möchte ich wenn es geht vermeiden.
Vielen Dank im Vorraus
Poste mal die HijackThis.Log (http://www.spywareinfo.com/~merijn/downloads.html). Aktuelle HijackThis Version ist 1.99.
hab exakt das selbe Problem!
Das Logfile sieht bei mir so aus:
Logfile of HijackThis v1.99.0
Scan saved at 10:55:48, on 19.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\tppaldr.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\tools\logitech\iTouch\iTouch.exe
D:\tools\logitech\MouseWare\system\em_exec.exe
D:\tools\antivir\AntiVir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\internet\telefonieren\Skype.exe
D:\internet\netscape\Program\nsnotify.exe
C:\WINDOWS\System32\alg.exe
D:\tools\antivir\AntiVir\AVGUARD.EXE
D:\tools\antivir\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\tools\Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\WINDOWS\System32\notepad.exe
D:\internet\Firefox\firefox.exe
C:\DOKUME~1\Andreas\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.soccerzock.de"); (C:\Programme\Netscape\Users\andreas_tams\prefs.js)
O2 - BHO: VeriSign Inc. i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [zBrowser Launcher] D:\tools\logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WebCam Autolaunch] webc3lch
O4 - HKLM\..\Run: [QuickTime Task] "D:\tools\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] D:\tools\antivir\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "D:\internet\telefonieren\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Spyware Begone] D:\system\spyware\freescan.exe -FastScan
O4 - Global Startup: FRITZ!fax.lnk = D:\tools\Fritz\FriFax32.exe
O4 - Global Startup: Netscape Mail Benachrichtigung.lnk = D:\internet\netscape\Program\nsnotify.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\internet\netscape\Program\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .UVR: %programfiles%\Internet Explorer\Plugins\NPUPano.dll
O15 - Trusted Zone: http://*.search-soft.net
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.bitstream.com/wfplayer/tdserver.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/sikes/de/win/QuickTimeInstaller.exe
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://194.65.71.39/activex/AxisCamControl.ocx
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://royaljoker.microgaming.com/deutsch/FlashAX.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by2fd.bay2.hotmail.msn.com/activex/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{856A6B65-BD32-47C7-A9F8-83099D1604A4}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{98275D06-C235-455B-9A5E-062160DF695A}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\tools\antivir\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\tools\antivir\AntiVir\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LicCtrl Service - Unknown - rundll32.exe (file missing)
O23 - Service: VeriSign Updater - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Kerio Personal Firewall - Kerio Technologies - D:\tools\Firewall\persfw.exe
Hier das Log von HijackThis.
Logfile of HijackThis v1.99.0
Scan saved at 11:14:55, on 19.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\programme\valve\steam\steam.exe
C:\Programme\Lexmark X125\LEX125SU.exe
C:\WINDOWS\system32\devldr32.exe
D:\Util\Antispy\HijackThis.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LMPDPSRV] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - Global Startup: Lexmark X125 Einstellungsdienstprogramm.lnk = C:\Programme\Lexmark X125\LEX125SU.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
Die Logfiles sehen garnicht so schlecht aus.
@anta: Fixe diesen Eintrag:
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
@Teufeli: Wie kommst Du auf Dldr.VBS.Ps.AC.4?
Würde zunächst mein Glück mit Spybot Search & Destroy und CWShredder versuchen.
Hallo tyco,
hab den Eintrag gefixt.
- noch immer meldet sich AntiVir beim IE-Start:
19.12.2004,12:44:19 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.VBS.Ps.AC.4!
C:\WINDOWS\SYSTEM32\MSQR.DLL
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000005 - Zugriff verweigert
Bin mit allen gängigen AntiSpy, AntiVir, AdAwareprogrammen rangegangen.
Aber das Problem bleibt... Bin ziemlich verzweifelt...
Das aktuelle Logfile:
Logfile of HijackThis v1.99.0
Scan saved at 12:43:50, on 19.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\tppaldr.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\tools\logitech\iTouch\iTouch.exe
D:\tools\logitech\MouseWare\system\em_exec.exe
D:\tools\antivir\AntiVir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\internet\netscape\Program\nsnotify.exe
C:\WINDOWS\System32\alg.exe
D:\tools\antivir\AntiVir\AVGUARD.EXE
D:\tools\antivir\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\tools\Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
D:\internet\Firefox\firefox.exe
C:\DOKUME~1\Andreas\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.soccerzock.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.soccerzock.de"); (C:\Programme\Netscape\Users\andreas_tams\prefs.js)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\tools\SPYBOT~1\SDHelper.dll
O2 - BHO: VeriSign Inc. i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [zBrowser Launcher] D:\tools\logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WebCam Autolaunch] webc3lch
O4 - HKLM\..\Run: [QuickTime Task] "D:\tools\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] D:\tools\antivir\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "D:\internet\telefonieren\Skype.exe" /nosplash /minimized
O4 - Global Startup: FRITZ!fax.lnk = D:\tools\Fritz\FriFax32.exe
O4 - Global Startup: Netscape Mail Benachrichtigung.lnk = D:\internet\netscape\Program\nsnotify.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\internet\netscape\Program\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://*.search-soft.net
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.bitstream.com/wfplayer/tdserver.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/sikes/de/win/QuickTimeInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://194.65.71.39/activex/AxisCamControl.ocx
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://royaljoker.microgaming.com/deutsch/FlashAX.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by2fd.bay2.hotmail.msn.com/activex/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{856A6B65-BD32-47C7-A9F8-83099D1604A4}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{98275D06-C235-455B-9A5E-062160DF695A}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\tools\antivir\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\tools\antivir\AntiVir\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LicCtrl Service - Unknown - rundll32.exe (file missing)
O23 - Service: VeriSign Updater - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Kerio Personal Firewall - Kerio Technologies - D:\tools\Firewall\persfw.exe
fällt Dir noch was ein dazu?
Danke für Deine Mühe!
anta
Scheint ein ganz neuer Trojaner zu sein. >:(
Im HijackThis Forum (http://www.hijackthis.de/forum/showthread.php?t=921&page=1&pp=10) kämpfen sie auch damit. Es werden anscheinend so ca. 15 Dateien im Ordner C:\Windows\system32 erstellt.
Falls Du diese Dateien findest, verschiebe sie mal (nicht kopieren) im abgesicherten Modus in einen neuen Ordner C:\Boese
msop.dll
FNTCACHE.DAT
pentxpl.exe
hdkj.dll
date.dat
menu.txt
iecust.dll
iecust.exe
opencont.exe
unlodctl.exe
nlsfuncs.exe
dx9vbc.dll
taskopen.exe
qappsrvc32.exe
dnsauth.dll
msqr.dll
ok, hab folgende Dateien gefunden,
die mit "ja" markierten entsprechend verschoben...
msop.dll.................. nein
FNTCACHE.DAT......... ja
pentxpl.exe.............. nein
hdkj.dll.................... nein
date.dat.................. ja
menu.txt.................. ja
iecust.dll.................. ja
iecust.exe................ ja
opencont.exe............ nein
unlodctl.exe.............. nein (unlodctr.exe gefunden)
nlsfuncs.exe.............. ja
dx9vbc.dll................. nein
taskopen.exe............. nein
qappsrvc32.exe.......... nein
dnsauth.dll................ nein
msqr.dll..................... nein
noch kein direkter Erfolg spürbar... Weiter die AntiVir-Meldung
beim IE-Start...
@ tyco
den Namen dieses Trojaner hab ich von AntiVir.
Ich habe die meisten der von dir genannten Dateien in ein separates Verzeichnis geschoben, nach dem erneuten Booten und einloggen kam diemal keine Meldung von AntiVir bez. des Trojaners... dafür das die Datei qappsrvc32.exe nicht ausgeführt werden konnte. Ich schätze mal das ist das Sorgenkind. Ich werd jetzt mal den Systemstart und die Services checken wo das aufgerufen wird.
Anscheinend ist es das jetzt... ich weiß net, ich bin inzwischen ziemlich mißtrauisch geworden... ich danke dir trotzdem :)
hmmm... der Aufruf ist nirgends zu finden.
Ich habe jetzt services.msc, msconfig und mit regedit die RUNONCE und RUN überprüft. Nirgendwo ist was zu sehen.
Zitat von: anta am 19. Dezember 2004, 14:48:39 Uhr
noch kein direkter Erfolg spürbar... Weiter die AntiVir-Meldung
beim IE-Start...
Ok, suche und verschiebe diese Dateien auch noch, falls Du sie findest:
"service.exe" (nicht services.exe)
"msacmx.dll"
"d3dxov.dll"
"winsrv32.dll"
"ieûnit.exe"
"ipxroutex.exe"
"rdshost32.exe"
"rshe.exe"
"net2.exe"
"mqsvch.exe"
"dllhostxp.exe"
"extrac16.exe"
"mqbckup.exe"
"pxhping.exe"
"rdpnr.exe"
"slservc.exe"
"clfmon.exe" (nicht ctfmon.exe)
"hdr.dll"
"usb.dll"
"adsnp.dll"
"cdrview.dll"
"comctrl32.dll"
"msswch.exe"
"netddx.exe"
"spoolsrv.exe"
Was ist mit der unlodctl.exe? Konntest Du die nicht löschen?
*freu*
AntiVir hat zwar beim ersten IE-Start nach verschieben obiger Dateien noch einmal
den Trojaner gefunden, konnte ihn aber nun löschen... hmm... Wars das jetzt?
tyco, Du bist ein Held!
Andreas
Zitat von: Teufeli am 19. Dezember 2004, 15:20:05 Uhr
hmmm... der Aufruf ist nirgends zu finden.
Ich habe jetzt services.msc, msconfig und mit regedit die RUNONCE und RUN überprüft. Nirgendwo ist was zu sehen.
Auch nicht in der HijackThis.log?
Schau auch mal nach den anderen Dateien - die ich nachträglich noch gepostet habe - und verschiebe sie in den Böse-Ordner.
Habe das gleiche Problem mit diesem Trojaner. Habe nun Ad-Awarwe, Spybot, Hijackthis und CW-Shredder duchlaufen lassen und alle verdächtigen Einträge gelöscht. Jedoch sind einige verdächtige Dateien nach jedem Systemneustart wieder vorhanden, z.B: eine 302.exe im System32-Ordner (ein Dialer), winuptd.exe und eine wpa.dbl.
Ach ja, ich würde noch gern wissen, wie ich den Internet Explorer möglichst komplett deinstalllieren kann, da ich mir Firefox zugelegt habe und nun den "verseuchten" IE nicht mehr auf meinem Rechner haben will. Ich habe es schon über Systemsteuerung>Software>Windowskomponenten hinzufügen/entfernen versucht, war aber eher weniger erfolgreich...
HijackThis
HLogfile of HijackThis v1.99.0
Scan saved at 11:53:36, on 31.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Telekom\Eumex 604PC HomeNet\Capictrl.exe
C:\Programme\Microsoft Encarta\Encarta Enzyklopädie Professional 2003\EDICT.EXE
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Username\Desktop\Anti-Spy-Software\HijackThis.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing)
O9 - Extra 'Tools' menuitem: Translator - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O20 - AppInit_DLLs: ,
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Machine Debug Manager - Unknown - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
CW-Shredder
Done!
Your system was completely clean.
Windows XP (5.01.2600 )
CWShredder v1.59.0
Written by Merijn - merijn@spywareinfo.com
For any additional help with this program or removing CWS, visit:
http://forums.spywareinfo.com/
For information and documentation on the Coolwebsearch
trojan and its variants, visit:
http://www.spywareinfo.com/~merijn/cwschronicles.html
For donations to help support CWShredder, visit:
http://www.spywareinfo.com/~merijn/donate.html
Wie soll ich weiter verfahren?
Starte mal im abgesicherten Modus und verschiebe (nicht kopieren) folgende Dateien (falls sie vorhanden sind) in einen neuen Ordner C:\Boese:
msop.dll
FNTCACHE.DAT
pentxpl.exe
hdkj.dll
date.dat
menu.txt
iecust.dll
iecust.exe
opencont.exe
unlodctl.exe
nlsfuncs.exe
dx9vbc.dll
taskopen.exe
qappsrvc32.exe
dnsauth.dll
msqr.dll
"service.exe" (nicht services.exe)
"msacmx.dll"
"d3dxov.dll"
"winsrv32.dll"
"ieûnit.exe"
"ipxroutex.exe"
"rdshost32.exe"
"rshe.exe"
"net2.exe"
"mqsvch.exe"
"dllhostxp.exe"
"extrac16.exe"
"mqbckup.exe"
"pxhping.exe"
"rdpnr.exe"
"slservc.exe"
"clfmon.exe" (nicht ctfmon.exe)
"hdr.dll"
"usb.dll"
"adsnp.dll"
"cdrview.dll"
"comctrl32.dll"
"msswch.exe"
"netddx.exe"
"spoolsrv.exe"
Deine 302.exe und winuptd.exe ebenfalls verschieben. Die wpa.dbl gehört zu Windows (Windows-Produkt-Aktivierung). Diese Datei nicht verschieben.
Die ganzen Dateien, die du mir auflistest, befnden sich nicht auf meiner Festplatte. ??? :)
Zitat von: Guy_with_Problem am 31. Dezember 2004, 12:23:20 Uhr
Ach ja, ich würde noch gern wissen, wie ich den Internet Explorer möglichst komplett deinstalllieren kann, da ich mir Firefox zugelegt habe und nun den "verseuchten" IE nicht mehr auf meinem Rechner haben will. Ich habe es schon über Systemsteuerung>Software>Windowskomponenten hinzufügen/entfernen versucht, war aber eher weniger erfolgreich...
Kannst du mir da weiterhelfen? ???
Aber die 302.exe und diese komische winuptd.exe kannst Du doch im abgesicherten Modus verschieben.
Den IE zu entfernen ist fast unmöglich...zumindest ist das nicht so ganz einfach. Ich würde den IE auch nicht deinstallieren. Du brauchst ihn schliesslich für das WindowsUpdate.
Diese 302.exe und diese winuptd.exe habe ich gelöscht, da ich mir da sicher war, dass sie nichts mit dem System zu tun haben.
Naja, also dass ich den IE nicht deinstallieren kann, ist ja wohl echt kacke. Mir würde es reichen, für Updates ihn mal schnell zu installieren und wieder zu deinstallieren, aber es kann ja wohl nicht sein, dass man diesen Browser nicht deinstallieren kann...
Den IE kann man schon deinstallieren, zumindest habe ich mal eine Anleitung dazu gelesen. Ist aber eben nicht so einfach gemacht und ich müsste den Artikel - ist schon ne Zeit her - erstmal wieder finden.
Hat das Löschen der Datein denn Abhilfe gebracht mit den PopUps?
Naja, ich benutze jetzt sowieso Firefox. Das Prob war ja beim IE.
Folgende Dateien finden sich nach jedem Systemneustart (3mal ausrpobiert) trotz Löschens wieder im System32-Ordner:
FNTCACHE.dat
wpa.dbl
winuptd.exe
HijackThis findet nun nichts Verdächtiges mehr.
Hab mal eScan drüberlaufen lassen. Heftig, was der alles gefunden hat. :o
File C:\WINDOWS\System32\mstu.dll infected by "Trojan-Downloader.Win32.Agent.fy" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\taskopen.exe infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\qappsrvc32.exe infected by "Trojan-Proxy.Win32.Webber.m" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\mstu.dll infected by "Trojan-Downloader.Win32.Agent.fy" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\hdkj.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\pentxpl.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\dnsauth.dll infected by "Trojan-Proxy.Win32.Webber.m" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\qappsrvc32.exe infected by "Trojan-Proxy.Win32.Webber.m" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\taskopen.exe infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\dx9vbc.dll infected by "Trojan-Proxy.Win32.Webber.m" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\unlodctl.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\nlsfuncs.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\openconf.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\mstu.dll infected by "Trojan-Downloader.Win32.Agent.fy" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\hdkj.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\pentxpl.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\dnsauth.dll infected by "Trojan-Proxy.Win32.Webber.m" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\qappsrvc32.exe infected by "Trojan-Proxy.Win32.Webber.m" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\taskopen.exe infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\dx9vbc.dll infected by "Trojan-Proxy.Win32.Webber.m" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\unlodctl.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\nlsfuncs.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM32\openconf.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\gsda.dll tagged as not-a-virus:RiskWare.Downloader.SpyGame. No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE infected by "not-a-virus:AdWare.Toolbar.MyWay.b" Virus. Action Taken: No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL infected by "not-a-virus:AdWare.ToolBar.MyWay.g" Virus. Action Taken: No Action Taken.
File C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL infected by "not-a-virus:AdWare.ToolBar.MyWay.f" Virus. Action Taken: No Action Taken.
File C:\Q230903.exe infected by "TrojanDownloader.Win32.Pitux.a" Virus. Action Taken: No Action Taken.
omg...
Hi zusammen,
ich hab ein aehnliches Problem, aber die 015 - Trusted Zone: http://*.63.219.181.7 hats nicht ???
Hier das Logfile, kann mir jemand weiterhelfen? Danke!
Logfile of HijackThis v1.99.0
Scan saved at 15:20:25, on 03.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\DATA CACHING\FLASHKSK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLDIAL.EXE
C:\PROGRAMME\AOL\AOL PRIVACY PROTECTION\AOLSP SCHEDULER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\0190 WARNER PRäSENTIERT VON AOL\WARN0190.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\PROGRAMME\AOL 9.0A\AOLTRAY.EXE
C:\PROGRAMME\OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\DIAMOND\INCONTROL TOOLS 99\DMHKEY.EXE
C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\BHODEMON 2\BHODEMON.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\PROGRAMME\AOL 9.0A\WAOL.EXE
C:\PROGRAMME\AOL 9.0A\SHELLMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\AOLTPSPD.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DESKTOP\GEDOWNLOADED\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\PROGRAMME\CANON\EASY-WEBPRINT\TOOLBAND.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [DataCaching] C:\PROGRA~1\DATACA~1\FLashKsk.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\AOL\AOLPRI~1\AOLSP Scheduler.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ipcfg.exe] C:\WINDOWS\SYSTEM\IPCFG.EXE
O4 - HKLM\..\Run: [scands32.exe] C:\WINDOWS\SYSTEM\SCANDS32.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [WareOut] "C:\Programme\WareOut\WareOut.exe"
O4 - Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Office\Office\FINDFAST.EXE
O4 - Startup: InControl Desktop Manager.lnk = C:\Programme\Diamond\InControl Tools 99\DMHKEY.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
O4 - Startup: TextBridge Instant Access OCR.lnk = C:\Programme\TextBridge Classic\Bin\TBMenu.exe
O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_AddToList.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
Folgenden Eintrag solltest Du mit HijackThis fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
Danke :D
hatte den virus auch...
hab die angegebenen dateien verschonben, gescannt... nix. (vorher hats antivir erkannt und gelöscht, kam aber immer wieder)
Gerade anti-vir geupdated und plötzlich hat er ihn erkannt.
Meine .bat datei die ich zum verschieben der böhsen files gebastelt hab (für faule).
Ordner C:\Boehse\ MUSS vorher erstellt werden!
move C:\WINDOWS\system32\msop.dll C:\Boehse\
move C:\WINDOWS\system32\FNTCACHE.DAT C:\Boehse\
move C:\WINDOWS\system32\pentxpl.exe C:\Boehse\
move C:\WINDOWS\system32\hdkj.dll C:\Boehse\
move C:\WINDOWS\system32\date.dat C:\Boehse\
move C:\WINDOWS\system32\menu.txt C:\Boehse\
move C:\WINDOWS\system32\iecust.dll C:\Boehse\
move C:\WINDOWS\system32\iecust.exe C:\Boehse\
move C:\WINDOWS\system32\opencont.exe C:\Boehse\
move C:\WINDOWS\system32\unlodctl.exe C:\Boehse\
move C:\WINDOWS\system32\nlsfuncs.exe C:\Boehse\
move C:\WINDOWS\system32\dx9vbc.dll C:\Boehse\
move C:\WINDOWS\system32\taskopen.exe C:\Boehse\
move C:\WINDOWS\system32\qappsrvc32.exe C:\Boehse\
move C:\WINDOWS\system32\dnsauth.dll C:\Boehse\
move C:\WINDOWS\system32\msqr.dll C:\Boehse\
move C:\WINDOWS\system32\mvservice.exe C:\Boehse\
move C:\WINDOWS\system32\msacmx.dll C:\Boehse\
move C:\WINDOWS\system32\d3dxov.dll C:\Boehse\
move C:\WINDOWS\system32\winsrv32.dll C:\Boehse\
move C:\WINDOWS\system32\ieûnit.exe C:\Boehse\
move C:\WINDOWS\system32\ipxroutex.exe C:\Boehse\
move C:\WINDOWS\system32\rdshost32.exe C:\Boehse\
move C:\WINDOWS\system32\rshe.exe C:\Boehse\
move C:\WINDOWS\system32\net2.exe C:\Boehse\
move C:\WINDOWS\system32\mqsvch.exe C:\Boehse\
move C:\WINDOWS\system32\dllhostxp.exe C:\Boehse\
move C:\WINDOWS\system32\extrac16.exe C:\Boehse\
move C:\WINDOWS\system32\mqbckup.exe C:\Boehse\
move C:\WINDOWS\system32\pxhping.exe C:\Boehse\
move C:\WINDOWS\system32\rdpnr.exe C:\Boehse\
move C:\WINDOWS\system32\slservc.exe C:\Boehse\
move C:\WINDOWS\system32\clfmon.exe C:\Boehse\
move C:\WINDOWS\system32\hdr.dll C:\Boehse\
move C:\WINDOWS\system32\usb.dll C:\Boehse\
move C:\WINDOWS\system32\adsnp.dll C:\Boehse\
move C:\WINDOWS\system32\cdrview.dll C:\Boehse\
move C:\WINDOWS\system32\comctrl32.dll C:\Boehse\
move C:\WINDOWS\system32\msswch.exe C:\Boehse\
move C:\WINDOWS\system32\netddx.exe C:\Boehse\
move C:\WINDOWS\system32\spoolsrv.exe C:\Boehse\
bei mir wurden 9 dateien verschoben...
1 von anti-vir gekillt
1 windows fehlermeldung zu qappsrvc32.exe dass ein dienst nicht richtig gestartet werden konnte (war nicht eine der virenfiles)
habe aber leider nicht mitbekommen welche er gelöscht hat :/
hallo! da reihe ich mich wohl nahtlos ein:
Logfile of HijackThis v1.99.1
Scan saved at 11:51:11, on 14.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\qwinnta.exe
C:\WINDOWS\system32\sesmgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\JIMBOP~1\LOKALE~1\Temp\Rar$EX00.306\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\JIMBOP~1\LOKALE~1\Temp\Rar$EX01.721\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SpyAntiware Class - {F74B358E-6979-40a9-96CD-636C80B87AFF} - C:\WINDOWS\system32\ash.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113346091477
O17 - HKLM\System\CCS\Services\Tcpip\..\{24E5458B-E263-42C4-A969-34F806F3C61E}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{24E5458B-E263-42C4-A969-34F806F3C61E}: NameServer = 69.50.176.156,195.225.176.31
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
Wäre nett, wenn ich hier hülfe finden würde...
Folgendes sollte gefixt werden:
C:\WINDOWS\system32\qwinnta.exe
C:\WINDOWS\system32\sesmgr.exe
O2 - BHO: SpyAntiware Class - {F74B358E-6979-40a9-96CD-636C80B87AFF} - C:\WINDOWS\system32\ash.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
..eventuell auch noch die folgenden 2 Einträge, sofern dir die IP-Adressen gänzlich unbekannt sind:
O17 - HKLM\System\CCS\Services\Tcpip\..\{24E5458B-E263-42C4-A969-34F806F3C61E}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{24E5458B-E263-42C4-A969-34F806F3C61E}: NameServer = 69.50.176.156,195.225.176.31
HijackThis konnte nur die letzten vier dateien entfernen. Die C:\windows\system32..... Geschichten wurden nicht als zu fixende Punkte ausgegeben, wo bzw. wie sind die zu fixen?
Welche Punkte meinst du genau?
ich meinte C:\WINDOWS\system32\qwinnta.exe ,sowie
C:\Windows\system32\sesmgr.exe
tschuldige erstmal, ich bin auch nicht so wirklich fit was rechner angeht...
habe jetzt nochmals hijackthis scannen lassen. liefere dir noch mal daslogfile mit... wenn du da noch was findest lass es mich wissen! ach ja und danke!
Logfile of HijackThis v1.99.1
Scan saved at 12:46:49, on 14.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\sesmgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\JIMBOP~1\LOKALE~1\Temp\Rar$EX39.118\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1113346091477
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
Ach ja... und antivir gibt immer noch die ominöse datei cax[1].cab an, die nicht gelöscht wird, da sie in einem archiv liegt... mannomann ???
konnte immer noch nicht die beiden oben genannten dateien finden... search and destroy hat auch noch einiges geplättet...
Diesen Eintrag im abgesicherten Modus noch fixen bzw. löschen:
C:\WINDOWS\system32\sesmgr.exe
...ansonsten sieht es jetzt schonmal ganz gut aus.
so und da liegt das bzw. mein problem... wie genau fixe ich denn die dateien oder prozesse:
c:\windows\system32\qwinnta.exe und
c:\windows\system32\sesmgr.exe im gesicherten modus?
und zwar, wenn hijackthis sie mir zwar im logfile anzeigt, nicht aber die option zum fixen raushaut...
ach, menno... da habt ihrs nicht leicht mit mir... :(
Zitat von: granulatmann am 14. April 2005, 18:15:42 Uhr
und zwar, wenn hijackthis sie mir zwar im logfile anzeigt, nicht aber die option zum fixen raushaut...
Im Logfile die entsprechenden Kästchen anklicken und dann mit dem Fixbutton von HijackThis fixen geht nicht?
Ansonsten lösche die Dateien im abgesicherten Modus und lösche anschliessend noch den Papierkorb.
wie genau lösche ich dateien im abgesicherten modus?
wie man den papierkorb leert weiß ich aber ;)
Zitat von: granulatmann am 14. April 2005, 18:40:10 Uhr
wie genau lösche ich dateien im abgesicherten modus?
Na....Du suchst Dir die Datei im Explorer aus und markierst sie durch einfaches anklicken und drückst die Entf- bzw. Del-Taste.
also... ich hab das jetzt mal so gemacht und meine hoffnung wächst....zumindest hab ich das gefühl, dass der rechner wieder schneller läuft und nach dem neustart hat sich bisher(toitoitoi) noch kein böser mist wieder automatisch bei meinen favoriten installiert... :)
bleibt abzuwarten ob es denn auch so bleibt...
ansonsten nochmal meinen respekt vor soviel idealismus und engagement eurerseits!! hut ab!
und wenn ich mal kohle übrig hab werd ich mal was spenden :)
Salut Leute.
Ich bekomme auch andauern irgendwelche Popup fenster - wenn ich surfe - oder wenn ich gar nichts mache ::)
Gekommen ist das so: Ich surfe auf s*******ws und suche mir ein paar keys, als das teil sagt ich soll active x steuerelemente installieren. Das hat sich für mich ziemlich seriös angehört und ich volldepp hab das gemacht!
Hier mal mein Hijack log file. Gebt mir Tipps.
Gruß
chris
Logfile of HijackThis v1.99.1
Scan saved at 21:38:15, on 11.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Pinnacle\PCTV Stereo\Vision\Vision.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\server.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\VBI_SE~1.EXE
C:\PROGRA~1\eScan\AvpM.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\R1NY\command.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\GSX\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KillCopy] C:\PROGRA~1\KillSoft\KillCopy\kcresume.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {C62D9B0A-433D-4838-BC08-8F0C067DD54E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {C62D9B0A-433D-4838-BC08-8F0C067DD54E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webmasterexe/drsmartload83a.exe
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4519/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A30C9C7-77E4-46F4-96AC-C1DF29DE0FAE}: NameServer = 195.50.140.250 195.50.140.252
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\s6pulg7916.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\R1NY\command.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Hi,
du solltest folgendes fixen:
C:\WINDOWS\R1NY\command.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {C62D9B0A-433D-4838-BC08-8F0C067DD54E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {C62D9B0A-433D-4838-BC08-8F0C067DD54E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webmasterexe/drsmartload83a.exe
O20 - Winlogon Notify: Installer - C:\WINDOWS\system32\s6pulg7916.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\R1NY\command.exe
Anschliessend am Besten auch noch mit SpyBot dein System checken und mit der Immunisierfunktion das System etwas sicherer machen, siehe auch:
http://www.hardwareecke.de/berichte/sicherheit/viren_trojaner_hijacker_schutz_beseitigung_2.php
Könnte generell nicht schaden auf Firefox als Internetbrowser umzusteigen, zumal du dich ja auch auf dubiose Seiten zwecks Keys und Co. tummelst.
Danke für deine schnelle Antwort.
Firefox benutze ich schon - danke ;)
Wie fixe ich die laufenden Prozesse? Im Task manager beenden oder gibt es da eine Zusatzfunktion bei Hijack - habe nichts bei hijack gefunden. Fixen kann ich im Hijack nur die Sachen Mit R oder O am Anfang. Verstehst du was ich meine?
Danke und Gruß
Chris, der auf dubiosen Seiten surft *g*
Jop, mit Hijackthis fixen. Vergiss den ersten Eintrag (C:\WINDOWS\R1NY\command.exe), der ist nur deshalb da aufgeführt, weil er über die Zeile "O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\R1NY\command.exe" gestartet wird.
Hi TMK,
hab alles befolgt wie du das gesagt hast. Leider kommen noch immer diese Pop up Fenster.
Ich hab hier noch ein paar andere Logs gemacht (mit L2mfix). Vielleicht bringen die ja mehr Aufschluss.
Bitte nicht von dem vielen Text "abschrecken" lassen.
Danke für deine Hilfe ;)
Gruß
Chris
______________
L2MFIX find log 1.04a
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SMDEn]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\g422lefo1h2c.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER
**********************************************************************************
useragent:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{EC995988-7523-A356-02D4-6D6D6BC908E8}"=""
**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften f?r Multimediadatei"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite f?r Dokumente"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen f?r Freigaben"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f?r Grafikkarten"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f?r Bildschirme"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f?r Anzeigeverschiebung"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit,,tsseite"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung f?r Datentr,,gerkopien"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen f?r Microsoft Windows-Netzwerkobjekte"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen f?r die Dateikomprimierung"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung f?r Webdrucker"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen? f?r die Verschl?sselung"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung f?r HyperTerminal-Icons"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen f?r Freigaben"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen f?r Windows Script Host"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverkn?pfung"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen?"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausf?hren..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Syntaxanalyse der Adressleiste"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begr?áungsbildschirm"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abz?gen ?ber das Internet"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{A70C977A-BF00-412C-90B7-034C51DA2439}"="NvCpl DesktopContext Class"
"{1CDB2949-8F65-4355-8456-263E7C208A5D}"="Desktop Explorer"
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}"="Desktop Explorer Menu"
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}"="nView Desktop Context Menu"
"{F802F260-519B-11D1-BB5D-0060974C6013}"="ICQ Shell Extension"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{8FF88D21-7BD0-11D1-BFB7-00AA00262A11}"="WinAce Archiver 2.02 Context Menu Shell Extension"
"{8FF88D25-7BD0-11D1-BFB7-00AA00262A11}"="WinAce Archiver 2.02 DragDrop Shell Extension"
"{8FF88D27-7BD0-11D1-BFB7-00AA00262A11}"="WinAce Archiver 2.02 Context Menu Shell Extension"
"{8FF88D23-7BD0-11D1-BFB7-00AA00262A11}"="WinAce Archiver 2.02 Property Sheet Shell Extension"
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Web Folders"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{640167b4-59b0-47a6-b335-a6b3c0695aea}"="Portable Media Devices"
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}"="Portable Media Devices Menu"
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Eigenschaftenseite f?r vorherige Versionen"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Vorherige Versionen"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{00E7B358-F65B-4dcf-83DF-CD026B94BFD4}"="Autoplay for SlideShow"
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}"="ICQ Lite Shell Extension"
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player"
"{506F4668-F13E-4AA1-BB04-B43203AB3CC0}"="{506F4668-F13E-4AA1-BB04-B43203AB3CC0}"
"{D66DC78C-4F61-447F-942B-3FB6980118CF}"="{D66DC78C-4F61-447F-942B-3FB6980118CF}"
"{00020D75-0000-0000-C000-000000000046}"="Microsoft Office Outlook Desktop Icon Handler"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Office Outlook Custom Icon Handler"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverkn?pfung"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}"="Play on my TV helper"
"{FF3DFFDD-1E82-4829-98E5-143E24606272}"=""
**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{FF3DFFDD-1E82-4829-98E5-143E24606272}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{FF3DFFDD-1E82-4829-98E5-143E24606272}\Implemented Categories]
@=""
[HKEY_CLASSES_ROOT\CLSID\{FF3DFFDD-1E82-4829-98E5-143E24606272}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""
[HKEY_CLASSES_ROOT\CLSID\{FF3DFFDD-1E82-4829-98E5-143E24606272}\InprocServer32]
@="C:\\WINDOWS\\system32\\wvaueng.dll"
"ThreadingModel"="Apartment"
**********************************************************************************
Files Found are not all bad files:
C:\WINDOWS\SYSTEM32\
atmtd.dll Tue 11 Oct 2005 15:11:34 A.... 687.592 671,48 K
g422le~1.dll Tue 11 Oct 2005 21:12:46 ..S.R 235.496 229,98 K
kjuser.dll Tue 11 Oct 2005 19:49:24 ..S.R 234.272 228,78 K
kudlv1.dll Tue 11 Oct 2005 20:03:58 ..S.R 236.164 230,63 K
lsprst7.dll Sun 4 Sep 2005 16:43:30 A.... 476 0,46 K
mv46l9~1.dll Tue 11 Oct 2005 21:14:46 ..S.R 234.272 228,78 K
nv4_disp.dll Tue 2 Aug 2005 16:35:00 A.... 3.908.864 3,73 M
nvcod.dll Tue 2 Aug 2005 16:35:00 A.... 32.768 32,00 K
nvcodins.dll Tue 2 Aug 2005 16:35:00 A.... 32.768 32,00 K
nvcpl.dll Tue 2 Aug 2005 16:35:00 A.... 7.110.656 6,78 M
nvhwvid.dll Tue 2 Aug 2005 16:35:00 A.... 540.672 528,00 K
nview.dll Tue 2 Aug 2005 16:35:00 A.... 1.466.368 1,40 M
nvmctray.dll Tue 2 Aug 2005 16:35:00 A.... 86.016 84,00 K
nvnt4cpl.dll Tue 2 Aug 2005 16:35:00 A.... 286.720 280,00 K
nvoglnt.dll Tue 2 Aug 2005 16:35:00 A.... 5.140.480 4,90 M
nvrsar.dll Tue 2 Aug 2005 16:35:00 A.... 315.392 308,00 K
nvrscs.dll Tue 2 Aug 2005 16:35:00 A.... 233.472 228,00 K
nvrsda.dll Tue 2 Aug 2005 16:35:00 A.... 241.664 236,00 K
nvrsde.dll Tue 2 Aug 2005 16:35:00 A.... 266.240 260,00 K
nvrsel.dll Tue 2 Aug 2005 16:35:00 A.... 270.336 264,00 K
nvrseng.dll Tue 2 Aug 2005 16:35:00 A.... 237.568 232,00 K
nvrses.dll Tue 2 Aug 2005 16:35:00 A.... 270.336 264,00 K
nvrsesm.dll Tue 2 Aug 2005 16:35:00 A.... 262.144 256,00 K
nvrsfi.dll Tue 2 Aug 2005 16:35:00 A.... 237.568 232,00 K
nvrsfr.dll Tue 2 Aug 2005 16:35:00 A.... 270.336 264,00 K
nvrshe.dll Tue 2 Aug 2005 16:35:00 A.... 311.296 304,00 K
nvrshu.dll Tue 2 Aug 2005 16:35:00 A.... 245.760 240,00 K
nvrsit.dll Tue 2 Aug 2005 16:35:00 A.... 270.336 264,00 K
nvrsja.dll Tue 2 Aug 2005 16:35:00 A.... 253.952 248,00 K
nvrsko.dll Tue 2 Aug 2005 16:35:00 A.... 249.856 244,00 K
nvrsnl.dll Tue 2 Aug 2005 16:35:00 A.... 262.144 256,00 K
nvrsno.dll Tue 2 Aug 2005 16:35:00 A.... 241.664 236,00 K
nvrspl.dll Tue 2 Aug 2005 16:35:00 A.... 241.664 236,00 K
nvrspt.dll Tue 2 Aug 2005 16:35:00 A.... 262.144 256,00 K
nvrsptb.dll Tue 2 Aug 2005 16:35:00 A.... 253.952 248,00 K
nvrsru.dll Tue 2 Aug 2005 16:35:00 A.... 258.048 252,00 K
nvrssk.dll Tue 2 Aug 2005 16:35:00 A.... 245.760 240,00 K
nvrssl.dll Tue 2 Aug 2005 16:35:00 A.... 241.664 236,00 K
nvrssv.dll Tue 2 Aug 2005 16:35:00 A.... 241.664 236,00 K
nvrstr.dll Tue 2 Aug 2005 16:35:00 A.... 245.760 240,00 K
nvrszhc.dll Tue 2 Aug 2005 16:35:00 A.... 212.992 208,00 K
nvrszht.dll Tue 2 Aug 2005 16:35:00 A.... 114.688 112,00 K
nvshell.dll Tue 2 Aug 2005 16:35:00 A.... 466.944 456,00 K
nvwddi.dll Tue 2 Aug 2005 16:35:00 A.... 81.920 80,00 K
nvwdmcpl.dll Tue 2 Aug 2005 16:35:00 A.... 1.662.976 1,59 M
nvwimg.dll Tue 2 Aug 2005 16:35:00 A.... 1.019.904 996,00 K
nvwrsar.dll Tue 2 Aug 2005 16:35:00 A.... 282.624 276,00 K
nvwrscs.dll Tue 2 Aug 2005 16:35:00 A.... 286.720 280,00 K
nvwrsda.dll Tue 2 Aug 2005 16:35:00 A.... 294.912 288,00 K
nvwrsde.dll Tue 2 Aug 2005 16:35:00 A.... 311.296 304,00 K
nvwrsel.dll Tue 2 Aug 2005 16:35:00 A.... 335.872 328,00 K
nvwrseng.dll Tue 2 Aug 2005 16:35:00 A.... 286.720 280,00 K
nvwrses.dll Tue 2 Aug 2005 16:35:00 A.... 335.872 328,00 K
nvwrsesm.dll Tue 2 Aug 2005 16:35:00 A.... 327.680 320,00 K
nvwrsfi.dll Tue 2 Aug 2005 16:35:00 A.... 303.104 296,00 K
nvwrsfr.dll Tue 2 Aug 2005 16:35:00 A.... 327.680 320,00 K
nvwrshe.dll Tue 2 Aug 2005 16:35:00 A.... 278.528 272,00 K
nvwrshu.dll Tue 2 Aug 2005 16:35:00 A.... 315.392 308,00 K
nvwrsit.dll Tue 2 Aug 2005 16:35:00 A.... 323.584 316,00 K
nvwrsja.dll Tue 2 Aug 2005 16:35:00 A.... 212.992 208,00 K
nvwrsko.dll Tue 2 Aug 2005 16:35:00 A.... 196.608 192,00 K
nvwrsnl.dll Tue 2 Aug 2005 16:35:00 A.... 319.488 312,00 K
nvwrsno.dll Tue 2 Aug 2005 16:35:00 A.... 299.008 292,00 K
nvwrspl.dll Tue 2 Aug 2005 16:35:00 A.... 294.912 288,00 K
nvwrspt.dll Tue 2 Aug 2005 16:35:00 A.... 323.584 316,00 K
nvwrsptb.dll Tue 2 Aug 2005 16:35:00 A.... 319.488 312,00 K
nvwrsru.dll Tue 2 Aug 2005 16:35:00 A.... 315.392 308,00 K
nvwrssk.dll Tue 2 Aug 2005 16:35:00 A.... 299.008 292,00 K
nvwrssl.dll Tue 2 Aug 2005 16:35:00 A.... 303.104 296,00 K
nvwrssv.dll Tue 2 Aug 2005 16:35:00 A.... 294.912 288,00 K
nvwrstr.dll Tue 2 Aug 2005 16:35:00 A.... 303.104 296,00 K
nvwrszhc.dll Tue 2 Aug 2005 16:35:00 A.... 163.840 160,00 K
nvwrszht.dll Tue 2 Aug 2005 16:35:00 A.... 167.936 164,00 K
ssprs.dll Sun 4 Sep 2005 16:43:30 A.... 73 0,07 K
wvaueng.dll Wed 12 Oct 2005 11:38:46 ..... 235.496 229,98 K
75 items found: 75 files (4 H/S), 0 directories.
Total of file sizes: 38.282.657 bytes 36,51 M
Locate .tmp files:
C:\WINDOWS\SYSTEM32\
guard.tmp Wed 12 Oct 2005 11:41:46 ..S.R 235.496 229,98 K
1 item found: 1 file (1 H/S), 0 directories.
Total of file sizes: 235.496 bytes 229,98 K
**********************************************************************************
Directory Listing of system files:
Datentr,,ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 1015-C372
Verzeichnis von C:\WINDOWS\System32
12.10.2005 11:41 235.496 guard.tmp
11.10.2005 21:14 234.272 mv46l9hs1.dll
11.10.2005 21:12 235.496 g422lefo1h2c.dll
11.10.2005 20:03 236.164 kudlv1.dll
11.10.2005 19:49 234.272 kjuser.dll
08.10.2005 19:35 <DIR> dllcache
06.07.2004 19:02 <DIR> Microsoft
5 Datei(en) 1.175.700 Bytes
2 Verzeichnis(se), 5.026.467.840 Bytes frei
_____________________________
Restoring Registry Permissions:
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Revoking access for predefined group "Administrators"
Inherited ACE can not be revoked here!
Inherited ACE can not be revoked here!
RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!
Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER
_______________________
Mein HiJack Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 14:28:25, on 12.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\R1NY\command.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\GSX\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KillCopy] C:\PROGRA~1\KillSoft\KillCopy\kcresume.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4519/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A30C9C7-77E4-46F4-96AC-C1DF29DE0FAE}: NameServer = 195.50.140.250 195.50.140.252
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\R1NY\command.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Dieser Eintrag muss noch in Hijackthis gefixt werden, eventuell vorher über den Taskmanager den Prozesse (C:\WINDOWS\R1NY\command.exe):
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\R1NY\command.exe
Die anderen Logs helfen nicht weiter.
Starte mal im abgesicherten Modus und lösche den kompletten Ordner C:\WINDOWS\R1NY\.
Anschliessend den Papierkorb leeren.
So...
hab im Abgesicheten Modus gestartet, und den Ordner R1NY endgültig gelöscht.
Habe neu gestartet und im Task Manager wird der Dienst auch nicht mehr angezeigt.
Wenn ich aber mit Hijack scanne, erkennt er mir immernoch den 023 command.exe windows/r1ny Ordner...
Muss mich das weiter stören?
Hier mein aktuelles Logfile
Logfile of HijackThis v1.99.1
Scan saved at 15:06:20, on 12.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\GSX\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KillCopy] C:\PROGRA~1\KillSoft\KillCopy\kcresume.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/i486/NTANSI/retail/DASAct.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4519/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A30C9C7-77E4-46F4-96AC-C1DF29DE0FAE}: NameServer = 195.50.140.250 195.50.140.252
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\R1NY\command.exe (file missing)
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Grundsätzlich stört das nicht (deshalb steht jetzt auch "file missing" dahinter), aber kannst dennoch ganz einfach mit Hijackthis markieren und fixen (löschen).
Super, habe jetzt die letzten 5 minuten noch keine Popups bekommen - ich hoffe also das Problem is gefixed.
Danke TMK ;)
kommt mir bekannt vor nur öffnet sich das bei mir anstelle JEDER url und es ist von ein cd cover seite in spanisch wo man 'ne 1 euro sms schicken muss um cd cover zu loaden und da kommt immer diese nackte frau und ein kerl mit nem 3150 oder so...es hat mich ans öffnen jeder seite gehindert(nix gang mehr!nicht mal downloads)ich benutze Opera.Nach ner neuinstallation war alles gut...ich glaube beim IE ist es ein ding das einen starcken wurm in umlauf bringt,siehe:
http://www.sörfer.de/index.php?option=com_content&task=view&id=26
die beste alternative wäre ein sicherer browser wie mozilla-firefox, oder opera, ich empfehle beide:-)
vielleicht ist es auch spyware!
www.mozilla.org (http://www.mozilla.org)
www.opera.com (http://www.opera.com)