WWW.GMX.de nach Isearch-Befall nicht mehr erreichbar

#0
13.05.2004, 21:47
...neu hier

Beiträge: 4
#1 Hallo,
Ich habe o.g. Problem und bin einigermaßen beunruhigt, ob das o.g.Problem nur die Spitze vom Eisberg ist:
Vor ein paar Tagen war mein PC von Isearch befallen. Nach ausgiebigen Recherchen habe ich mit aktuellen Versionen von CWShredder, Spybot& Destroy, Ad-Aware 6 , JV-16 Registrycleaner versucht das System sauber zu kriegen.
hat glaube ich auch soweit geklappt. Einzige zur Zeit sichtbaren Probleme:
Ich komme nicht mehr auf www.gmx.de
Die IE-Symboleiste ist nicht veränderbar.

Umstieg auf Opera 7 hat nicht geholfen (GMX-Problem).

Ich bin Sachen Viren und registry relativ unerfahren. Lesen in diesem Forum ist informativ aber wirft bei mir einige Fragen auf. Da ich glaube hier auch als Laie Hilfe zu bekommen oute ich mal meine Unkenntnis:

was heißt z.B. ....bitte zunächst Eintrag xy fixen ? oder wie funtioniert das mit den DLL löschen in der Killbox.

Vielleicht kriege ich mit den Infos dann ja das Problem selbst in den Griff.

danke
Seitenanfang Seitenende
14.05.2004, 13:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 http://board.protecus.de/t9391.htm

Lade den HijackThis, scanne, save und kopiere den Text.
Dann kopiere es ins Forum.
So fischen wir nicht im <Trueben<
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.05.2004, 14:36
...neu hier

Themenstarter

Beiträge: 4
#3 vielen dank für das Interesse hier die aktuelle Log.-Datei. Hoffe Ihr findet eine Lösung. Ansonsten fällt mir nur `ne Neuinstallation ein.

Logfile of HijackThis v1.97.7
Scan saved at 14:33:15, on 15.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
h:\Programme\AVPersonal\AVGUARD.EXE
h:\Programme\AVPersonal\AVWUPSRV.EXE
H:\Programme\Executive Software\Diskeeper\DkService.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
H:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
H:\Programme\AVPersonal\AVGNT.EXE
D:\PROGRA~2\HotKeys\Ikeymain.exe
C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
H:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
H:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Saitek\Software\SaiSmart.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Ahead\InCD\InCD.exe
D:\Programme\Trust\450LR Mouse Wireless Optical\Amoumain.exe
H:\Programme\WebWasher\wwasher.exe
F:\VCool_18b6\VCool.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
H:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
H:\Programme\McAfee\McAfee Firewall\CPD.EXE
H:\Programme\McAfee\McAfee Firewall\CPD.EXE
h:\PROGRA~1\T-DSLS~1\tsmsvc.exe
K:\HTMLOnCD.exe
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe
H:\Programme\Opera7\Opera.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.yahoo.com/bin/search?p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O1 - Hosts: 127.0.0.9 doxdesk.com
O1 - Hosts: 127.0.0.90 www.safer-networking.org
O1 - Hosts: 127.0.0.91 www.secureie.com
O1 - Hosts: 127.0.0.92 www.security.kolla.de
O1 - Hosts: 127.0.0.93 www.spybot.info
O1 - Hosts: 127.0.0.94 www.spychecker.com
O1 - Hosts: 127.0.0.95 www.spychecker.com
O1 - Hosts: 127.0.0.96 www.spycop.com
O1 - Hosts: 127.0.0.97 www.spyguard.com
O1 - Hosts: 127.0.0.98 www.spykiller.com
O1 - Hosts: 127.0.0.99 www.spyware.co.uk
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - H:\Programme\DAP\DAPIEBar.dll (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - H:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - H:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "h:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "h:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [Hide Messenger] 
O4 - HKLM\..\Run: [AVGuard] h:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iKeyWorks] d:\PROGRA~2\HotKeys\Ikeymain.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\Rivatuner20RC12\rivatuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [ToADiMon.exe] h:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "H:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] H:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [AceGain LiveUpdate] d:\Programme\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKCU\..\Run: [WebWasher] H:\Programme\WebWasher\wwasher.exe
O4 - HKCU\..\Run: [] F:\VCool_18b6\VCool.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [SpybotSD TeaTimer] h:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = H:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Alles mit FlashGet laden - H:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - H:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1104.cab
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} -
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38091.4905902778
O17 - HKLM\System\CCS\Services\Tcpip\..\{60383DC8-9833-4AAC-AA69-252E2F2003E4}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{60383DC8-9833-4AAC-AA69-252E2F2003E4}: NameServer = 192.168.120.252,192.168.120.253
Seitenanfang Seitenende
15.05.2004, 15:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 die Wiederherstellung deaktivieren (kannst du nach der Reinigung wieder aktivieren)
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

----------------------------------------------------------------------------------------------------
Fixe mit dem HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.yahoo.com/bin/search?p=%s
R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O1 - Hosts: 127.0.0.9 doxdesk.com
O1 - Hosts: 127.0.0.90 www.safer-networking.org
O1 - Hosts: 127.0.0.91 www.secureie.com
O1 - Hosts: 127.0.0.92 www.security.kolla.de
O1 - Hosts: 127.0.0.93 www.spybot.info
O1 - Hosts: 127.0.0.94 www.spychecker.com
O1 - Hosts: 127.0.0.95 www.spychecker.com
O1 - Hosts: 127.0.0.96 www.spycop.com
O1 - Hosts: 127.0.0.97 www.spyguard.com
O1 - Hosts: 127.0.0.98 www.spykiller.com
O1 - Hosts: 127.0.0.99 www.spyware.co.uk
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - H:\Programme\DAP\DAPIEBar.dll (file missing)

O2 - BHO: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O3 - Toolbar: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O4 - HKLM\..\Run: [Hide Messenger] 
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iKeyWorks] d:\PROGRA~2\HotKeys\Ikeymain.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "h:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "h:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKCU\..\Run: [] F:\VCool_18b6\VCool.exe
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} -
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -

(nicht alle 04 -Eintraege sind<bad<, haben aber im Autostart nichts zu suchen)
Sie schreiben sich wieder ein, wenn du sie benutzt.


neustarten

----------------------------------------------------------------------------
0)Abgesicherter Modus (F8 beim hochfahren druecken) -ohne Internetzugang

geh in die Registry
Start<Ausfuehren<regedit
suche folgende Eintraege und loesche sie:

URLSearchHook:
O1 - Hosts: 127.0.0.9 doxdesk.com
O1 - Hosts: 127.0.0.90 www.safer-networking.org
O1 - Hosts: 127.0.0.91 www.secureie.com
O1 - Hosts: 127.0.0.92 www.security.kolla.de
O1 - Hosts: 127.0.0.93 www.spybot.info
O1 - Hosts: 127.0.0.94 www.spychecker.com
O1 - Hosts: 127.0.0.95 www.spychecker.com
O1 - Hosts: 127.0.0.96 www.spycop.com
O1 - Hosts: 127.0.0.97 www.spyguard.com
O1 - Hosts: 127.0.0.98 www.spykiller.com
O1 - Hosts: 127.0.0.99 www.spyware.co.uk

{1C78AB3F-A857-482e-80C0-3A1E5238A565}
{1C78AB3F-A857-482E-80C0-3A1E5238A565} {33564D57-0000-0010-8000-00AA00389B71}

neustarten

-----------------------------------------------------------------------
1) AdAware(aktualisiert!) scannen

2).CWShredder scannen

3)...Dann laedst du dieses Tool und scannst ebenfalls(save to disc.....dann laden....dann die mwav.exe suchen....scannen, dann MANUELL alles loeschen, was er als Malware anzeigt.
http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm


4)Mit WebWasher den IE saeubern und diesem Tool http://www.javacoolsoftware.com/mrudownload.html

5)..Dann stellst du unter Internet-Optionen die Startseite neu ein.

6.)...Zum Schluss laedst du als Zweitbrowser den Firefox.....ist viel sicherer und schneller.
http://www.firebird-browser.de/

7) OnlineScann mit Pestpatrol
http://www.pestscan.com/Scan.asp

(8 Onlinescann
http://housecall.trendmicro.com/

9) lade die Firewall (wenn du noch keine hast)
http://www.tucows.com/preview/213160.html
------------------------------------------------------------------------
wenn das nicht deine Server eintraege sind, fixe sie ebenfalls und stelle den Server neu ein.
O17 - HKLM\System\CCS\Services\Tcpip\..\{60383DC8-9833-4AAC-AA69-252E2F2003E4}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{60383DC8-9833-4AAC-AA69-252E2F2003E4}: NameServer = 192.168.120.252,192.168.120.253


dann poste das Log noch mal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.05.2004 um 16:18 Uhr von Sabina editiert.
Seitenanfang Seitenende
15.05.2004, 16:14
...neu hier

Themenstarter

Beiträge: 4
#5 vielen Dank schon im voraus. Werde mich jetzt dransetzen (und hoffentlich klarkommen. Werde weiter berichten.

Habe alles soweit erledigt.
hier das aktuelle Log:
Logfile of HijackThis v1.97.7
Scan saved at 20:11:37, on 15.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
h:\Programme\AVPersonal\AVGUARD.EXE
h:\Programme\AVPersonal\AVWUPSRV.EXE
H:\Programme\Executive Software\Diskeeper\DkService.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
H:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\svchost.exe
H:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
H:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
H:\Programme\AVPersonal\AVGNT.EXE
H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
H:\PROGRA~1\WEBWAS~1\wwasher.exe
H:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
h:\PROGRA~1\T-DSLS~1\tsmsvc.exe
C:\Dokumente und Einstellungen\Andreas\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.yahoo.com/bin/search?p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - H:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - H:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGuard] h:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\Rivatuner20RC12\rivatuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [ToADiMon.exe] h:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "H:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] H:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Outpost Firewall] h:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKCU\..\Run: [SpybotSD TeaTimer] h:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WebWasher] H:\PROGRA~1\WEBWAS~1\wwasher.exe
O4 - Global Startup: Acrobat Assistant.lnk = H:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Alles mit FlashGet laden - H:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - H:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1104.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} -

In der Registry waren die Hosts nicht aufzufinden. Also nichts gelöscht.
AdAware und CWShredder und mwav.exe haben nichts gefunden.
Wie bereinigt man den IE mit dem WebWasher??
Onlinescan war nicht möglich.
Firewall von McAffee deinstalliert und nun auf outpost umgestiegen.
Browser nun Opera 7.23

Erfolg: GMX.de ist wieder erreichbar, aber: nach dem einloggen und dem Versuch das Passwort zu ändern (schien mehr mehr als angebracht) landet man auf einer Seite GMX.net, angeblich ist man nicht eingeloggt und Opera bemängelt, das dieser Server nicht zertifiziert ist für gmx.de.

Der Computer braucht jetzt über 2 Minuten zum hochfahren - hängt 60 Sek am Startbildschirm und der grüne Balken rennt sich `nen Wolf.

FAZIT: Ich glaube "wir haben einen Teilerfolg erzielt", oder??
Dieser Beitrag wurde am 15.05.2004 um 20:43 Uhr von pepe editiert.
Seitenanfang Seitenende
16.05.2004, 00:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 o.k

ganz rigeros.

Fixe

O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "h:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "h:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [Hide Messenger] 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iKeyWorks] d:\PROGRA~2\HotKeys\Ikeymain.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\Rivatuner20RC12\rivatuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [AceGain LiveUpdate] d:\Programme\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKCU\..\Run: [WebWasher] H:\Programme\WebWasher\wwasher.exe
O4 - HKCU\..\Run: [] F:\VCool_18b6\VCool.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [SpybotSD TeaTimer] h:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Acrobat Assistant.lnk = H:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} -


neustarten


#Deinstalliere den McAfee\, der AVPersonal\AVGNT.EXE vertraegt sich nicht mit anderen Virenscannern.

#Lade den Regcleaner
http://www.comzu-heide.de/Downloadbereich/system-utility/system-utility.htm

du kannst ihn in deutsch einstellen
unter <Tools<Registry saeubern<alles durchfuehren< kannst du deinen Comp. bereinigen
#der <Autostart< kontrollierst du immer die Autostarteintraege, weil sich die Programme bei Benutzung sofort wieder dort reinschreiben.Dort sollten aber nur die Firewall , der Antivirus und eventuell Office und der Drucker sein.
Alle Programme spionieren ins Net und so ist der Computer sehr sichtbar und verwundbar (wenn man das mal so "poetisch"ausdruecken kann..... ;)


#Lade den ClearProg, um den Browser zu reinigen, wenn du mit dem Webwasher nicht zurechtkommst.
http://www.clearprog.de/


#Ueberpruefe bitte das:
O17 - HKLM\System\CCS\Services\Tcpip\..\{60383DC8-9833-4AAC-AA69-252E2F2003E4}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{60383DC8-9833-4AAC-AA69-252E2F2003E4}: NameServer = 192.168.120.252,192.168.120.253

Zweimal ????und ist das dein Servereintrag ?????
Wenn nicht...fixen und neu einstellen.
dann poste das <verschlankte< Log plus Erfolgsmeldung ;) noch mal!
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.05.2004 um 10:13 Uhr von Sabina editiert.
Seitenanfang Seitenende
17.05.2004, 21:54
...neu hier

Themenstarter

Beiträge: 4
#7 Hallo Sabina,
hat ein bisschen gedauert - die Familie fordert ihr Recht -
aber es hat scheinbar geklappt. Hätt ich mir noch den Wolf gefixt, wenn ich nicht zufällig gesehen hätte , dass im hijackthis unter Configure/Main noch schön fein säuberlich die Sch.....Seiten sauber als default aufgelistet waren.
Ansonsten mit Spybotß destroy immunisiert und auf resident modus. regcleaner laufen lassen. Hier das Ergebnis:

Logfile of HijackThis v1.97.7
Scan saved at 19:52:39, on 17.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
h:\Programme\AVPersonal\AVGUARD.EXE
h:\Programme\AVPersonal\AVWUPSRV.EXE
H:\Programme\Executive Software\Diskeeper\DkService.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
H:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\svchost.exe
H:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
H:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
H:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Trust\450LR Mouse Wireless Optical\Amoumain.exe
h:\PROGRA~1\T-DSLS~1\tsmsvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\Temporäres Verzeichnis 12 für hijackthis1977.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.yahoo.com/bin/search?p=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de:0
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - H:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [AVGuard] h:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ToADiMon.exe] h:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "H:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] H:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Outpost Firewall] h:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [SpybotSD TeaTimer] H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Alles mit FlashGet laden - H:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - H:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1104.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab

Sieht doch gut aus, oder? Im Moment scheint jedenfalls alles wie gewünscht zu funzen.
Daaaaaaaaaaaaaaaaaaaaanke.

PS.:für alle Anfänger: über google-Suche nach der deutschen Anleitung für Hijackthis suchen. Es werden die dargestellten Punkte bestens erklärt und es ist zu Datenbanken verlinkt, die eigentlich alle Schlüssel gut erläutern. Hilfe von Sabina war aber trotzdem nötig !!!
Seitenanfang Seitenende
18.05.2004, 09:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 @Pepe

Ja, meiner Meinug nach sieht es gut aus.
GlueckWunsch !
Bis zum naechsten Mal.....
Oder du laedst den Firefox als Zweitbrowser
;)
http://www.firebird-browser.de/
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende