Autosearch für mivh zu http://s1di.ewizard.cc/index.php?aid=20038

#0
14.06.2004, 13:39
...neu hier

Beiträge: 5
#1 Hallo zusammen,

nach allen massnahmenm spybot, adaware etc. lade ich immernoch wenn ich
in das adressfeld eine nicht existierende seite eingebe
auf diese msit seite

http://s1di.ewizard.cc/index.php?aid=20038



bin kurz vor der aufgabe und neuformatieren

Weiss jemand noch einen rat


Anbei das logfile



Logfile of HijackThis v1.97.7
Scan saved at 13:31:35, on 14.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\HP CD-DVD\Umbrella\DVDTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\anvshell.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
C:\Mssql7\Binn\sqlmangr.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\Programme\LANCOM\LANmonitor\lanmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\Mssql7\binn\sqlservr.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\SerEnt32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
D:\Install\Anwendungen\wurm\cwsshredder\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {D3F66CB7-0502-4029-AAB8-EEBDB39A9788} - C:\WINDOWS\System32\nlpdeea.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Register MediaRing Talk] C:\Programme\MediaRing Talk\register.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [DVDBitSet] "C:\Programme\HP CD-DVD\Umbrella\DVDBitSet.exe" /NOUI
O4 - HKLM\..\Run: [DVDTray] "C:\Programme\HP CD-DVD\Umbrella\DVDTray.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\RunOnce: [LANmonitor] C:\Programme\LANCOM\LANmonitor\lanmon.exe
O4 - Startup: LANmonitor.lnk = C:\Programme\LANCOM\LANmonitor\lanmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Mssql7\Binn\sqlmangr.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Image Transfer.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/315e80ad76daee438d16/netzip/RdxIE601_de.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab



vielen dank und gruß

reiner
Seitenanfang Seitenende
14.06.2004, 14:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 @Reiner 34

Lade
CWHredder
Sphjfix.exe
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

scanne mit dem HijackThis, dann hake an, was ich poste und \fix\

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {D3F66CB7-0502-4029-AAB8-EEBDB39A9788} - C:\WINDOWS\System32\nlpdeea.dll (file missing)
O4 - Global Startup: Image Transfer.lnk = ?

neustarten

1.scanne ohne Internetverbindung mit
CWhredder
Sphjfix.exe


2.suche die C:\WINDOWS\System32\nlpdeea.dll und loesche, falls es noch da ist....
3.Loesche BHO: (no name) - {D3F66CB7-0502-4029-AAB8-EEBDB39A9788}
mit Hilfe des RegistryCleaners oder in der Registry
http://www.registry-cleaner.net/bho-manager.htm
4.Loesche unter InternetOptionen die TemporaryIntenetFiles
5. Ueberpruefe C:\WINDOWS\System32\SerEnt32.exe mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html
6.Lade die mwav.exe und scanne den Comp.
http://www.mwti.net/antivirus/free_utilities.asp


Wo hast du den HijackThis geladen?
D:\Install\Anwendungen\wurm\cwsshredder\HijackThis.exe

Dann poste das Log noch einmal

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 14.06.2004 um 14:43 Uhr von Sabina editiert.
Seitenanfang Seitenende
14.06.2004, 14:26
Member

Beiträge: 1095
#3 @reiner34

O4 - HKLM\..\Run: [anvshell] anvshell.exe
ist das hier

Zitat

System Tray tool for ASUS video cards. If disabled you lose all the ASUS specific video card options in Control Panel -> Display Properties -> Advanced as well as the System Tray shortcuts toolbar
Muß man nicht unbedingt fixen

Das kann gefixt werden da leer
O4 - Global Startup: Image Transfer.lnk = ?

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
14.06.2004, 14:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 @Paff...ich war noch nicht fertig...bin noch bei der \Feinarbeit\...das braucht Zeit...
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 14.06.2004 um 14:31 Uhr von Sabina editiert.
Seitenanfang Seitenende
14.06.2004, 14:50
Member

Beiträge: 1095
#5

Zitat

Sabina postete
@Paff...ich war noch nicht fertig...bin noch bei der \Feinarbeit\...das braucht Zeit...
Gruss
Sabina
@sabina
Tschuldigung ;)
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 14.06.2004 um 15:40 Uhr von paff editiert.
Seitenanfang Seitenende
14.06.2004, 15:33
...neu hier

Themenstarter

Beiträge: 5
#6 Hallo Sabina,

zuerst mal Dank für die hilfe.

Habe HijackThis aus dem angegeben verzeichniss geladen:
D:\Install\Anwendungen\wurm\cwsshredder\HijackThis.exe

Habe alles so gemacht wie beschrieben, aber kein Scanner hat was gefunden.

Im moment leitet mich der browser nicht mehr weiter wenn ich eine nicht existierende Adresse eingebe, ich erhalte nur eine fehlermeldung :
"Die Seite kann nicht angezeigt werden".

Anbei das Logfile.




Logfile of HijackThis v1.97.7
Scan saved at 15:27:54, on 14.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\MediaRing Talk\register.exe
C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
C:\Programme\HP CD-DVD\Umbrella\DVDTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe
C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\CleanMyPC\Registry Cleaner\RCScheduler.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
C:\Mssql7\Binn\sqlmangr.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\LANCOM\LANmonitor\lanmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Install\Anwendungen\wurm\cwsshredder\HijackThis.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\Mssql7\binn\sqlservr.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
C:\WINDOWS\System32\SerEnt32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\System32\MsPMSPSv.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Register MediaRing Talk] C:\Programme\MediaRing Talk\register.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [DVDBitSet] "C:\Programme\HP CD-DVD\Umbrella\DVDBitSet.exe" /NOUI
O4 - HKLM\..\Run: [DVDTray] "C:\Programme\HP CD-DVD\Umbrella\DVDTray.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [Registry Cleaner Scheduler] "C:\Programme\CleanMyPC\Registry Cleaner\RCScheduler.exe" /startup
O4 - HKCU\..\RunOnce: [LANmonitor] C:\Programme\LANCOM\LANmonitor\lanmon.exe
O4 - Startup: LANmonitor.lnk = C:\Programme\LANCOM\LANmonitor\lanmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Mssql7\Binn\sqlmangr.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/315e80ad76daee438d16/netzip/RdxIE601_de.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab



gruß reiner

P:S dank
Seitenanfang Seitenende
14.06.2004, 16:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7

Zitat

reiner34 postete
Hallo Sabina,



Im moment leitet mich der browser nicht mehr weiter wenn ich eine nicht existierende Adresse eingebe, ich erhalte nur eine fehlermeldung


......................
Nun, wenn die Adresse nicht existiert, dann kann der Browser auch nichts machen.

Es kann aber auch mit dem Symantec PopUpBlocker zusammenhaengen, dass einige Sites nicht angezeigt werden.


Frage> Hast du diese nlpdeea.dll geloescht?
MfG
Sabina

__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 14.06.2004 um 16:23 Uhr von Sabina editiert.
Seitenanfang Seitenende
14.06.2004, 16:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 nimm mal unter Start\Ausfuehren\msconfig....zum letzten Reiter gehen...

folgende Programme aus dem Systemstart


O4 - HKLM\..\Run: [DVDBitSet] "C:\Programme\HP CD-DVD\Umbrella\DVDBitSet.exe" /NOUI
O4 - HKLM\..\Run: [DVDTray] "C:\Programme\HP CD-DVD\Umbrella\DVDTray.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [Registry Cleaner Scheduler] "C:\Programme\CleanMyPC\Registry Cleaner\RCScheduler.exe" /startup
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

neustarten

die Programme schreiben sich bei Gebrauch wieder im Autostart ein, deshalb sollte man die 04/Eintraege immer schoen schlank halten, weil die Programme nur unnoetig ins Netz Verbindung aufnehmen .......auch wenn man sie im Moment gar nicht braucht, und zudem die Surfgeschwindigkeit verlangsamen.


oder du leadst den RegCleaner...in Deutsch einstellen.. und kannst die Autostart/Eintraege elegant ueber \Autostart\ kontrollieren.
http://www.comzu-heide.de/Downloadbereich/system-utility/system-utility.htm
Unter \Tools\Registry sauebern\ alles durchfuehren\ kannst du auch den Comp. von Dateileichen reinigen.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 14.06.2004 um 16:35 Uhr von Sabina editiert.
Seitenanfang Seitenende
14.06.2004, 17:32
...neu hier

Themenstarter

Beiträge: 5
#9 hallo


Die datei "nlpdeea.dll" war nicht mehr auf dem system zu finden.

Im moment funktioniert er eigentlich ganz gut.

Ist er jetzt weg? Oder meinst du er kommt wieder?

Dank dir


reiner
Seitenanfang Seitenende
15.06.2004, 02:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Poste dein Log noch einmal, da koennen wir sehen, ob alles sauber ist und ob du deinen 04/Eintreage verschlankt hast.

Dann lade noch unbedingt den Firefox als Zweit/und SurfBrowser, er ist hijackerfrei ...also keinen Probleme mehr mit verzinkten Sites...

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.06.2004 um 02:21 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.06.2004, 00:12
...neu hier

Beiträge: 8
#11 Ich habe das gleiche Prob.... ;)

Hier mein Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 00:12:21, on 16.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Analog Devices\SoundMAX\SMAgent.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
D:\Programme\Analog Devices\SoundMAX\SMTray.exe
D:\Programme\QuickTime\qttask.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\Programme\Messenger Plus! 3\MsgPlus.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\TGTSoft\StyleXP\StyleXP.exe
D:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\ZyXEL\ZyAIR B-200 Wireless LAN USB Adapter\WLUSBCFG.exe
D:\Programme\MSN Messenger\msnmsgr.exe
D:\WINDOWS\System32\wuauclt.exe
D:\WINDOWS\System32\rsvp.exe
D:\Programme\MYIE2\MyIE.exe
C:\Setup Files\opera\opera.exe
D:\Programme\Messenger\msmsgs.exe
D:\Install\Anwendungen\wurm\cwsshredder\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\System32\lchp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\System32\lchp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\System32\lchp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\System32\lchp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\System32\lchp.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\System32\lchp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5D5E5E38-740E-492A-A156-B0847155AE67} - D:\WINDOWS\System32\lchp.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Smapp] D:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ccRegVfy] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [STYLEXP] D:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ZyAIR B-200 Wireless LAN USB Adapter Utility.lnk = D:\Programme\ZyXEL\ZyAIR B-200 Wireless LAN USB Adapter\WLUSBCFG.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38098.5412268518
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Seitenanfang Seitenende
16.06.2004, 09:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 @Pascal E

Lade
AdAware free
CWHredder
Sphjfix.exe
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

Lade RegistryCleaner
http://www.registry-cleaner.net/bho-manager.htm

...............................................................................................................
scanne mit dem HijackThis, dann hake an, was ich poste und \fix\

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\System32\lchp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\System32\lchp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\System32\lchp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\System32\lchp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\System32\lchp.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\System32\lchp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {5D5E5E38-740E-492A-A156-B0847155AE67} - D:\WINDOWS\System32\lchp.dll



neustarten
und in den abgesicherten Modus gehen ...F8 beim Hochfahren druecken

1.scanne ohne Internetverbindung mit
AdAware
CWhredder
Sphjfix.exe


2.suche die D:\WINDOWS\System32\lchp.dll und loesche, falls es noch da ist

3.Loesche BHO: (no name) - {5D5E5E38-740E-492A-A156-B0847155AE67}
mit Hilfe des RegistryCleaners oder in der Registry


4.Loesche unter InternetOptionen die TemporaryIntenetFiles
5. normal neustarten


Dann poste das Log noch einmal
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.06.2004 um 09:42 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.06.2004, 14:56
...neu hier

Beiträge: 8
#13 Da gibts nur n kleines Problem... wenn ich in den Abgesicherten Modus gehe, kann ich meine Tastatur und meine Maus nicht mehr bedienen... keine Ahnung woran das liegen könnte...
Seitenanfang Seitenende
16.06.2004, 15:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Dann mache die Reinigung im NormalModus.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.06.2004, 17:25
...neu hier

Beiträge: 8
#15 Logfile of HijackThis v1.97.7
Scan saved at 17:25:26, on 16.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Analog Devices\SoundMAX\SMAgent.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
D:\Programme\Analog Devices\SoundMAX\SMTray.exe
D:\Programme\QuickTime\qttask.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\Programme\Messenger Plus! 3\MsgPlus.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\TGTSoft\StyleXP\StyleXP.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\ZyXEL\ZyAIR B-200 Wireless LAN USB Adapter\WLUSBCFG.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\MSN Messenger\msnmsgr.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Programme\Stardock\ObjectDock\ObjectDock.exe
D:\Install\Anwendungen\wurm\cwsshredder\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5895679C-BE38-4398-B7AF-DE182CF66C7E} - D:\WINDOWS\System32\lchp.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ccRegVfy] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [STYLEXP] D:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ZyAIR B-200 Wireless LAN USB Adapter Utility.lnk = D:\Programme\ZyXEL\ZyAIR B-200 Wireless LAN USB Adapter\WLUSBCFG.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38098.5412268518
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



Danke vielmals übrigens noch für die nette und schnelle Hilfe!!!
Seitenanfang Seitenende