Home Search Startseite ..bekomme es nicht bereinigt..

#0
06.07.2004, 12:18
Member

Beiträge: 12
#46 hey Sabina ;)

keine der Dateien die Du aufgelistet hattest, konnte apm finden, und in der Registry fand ich auch keine,ich denke mal das die Trojaner gelöscht wurden, ich habe versucht mit "Add Remove" die Einträge unter Software zu löschen, und es scheint geklappt zu haben, zumindest sind sie weg, mal schauen wenn ich den Rechner hochfahre...

nochmals danke !



sei lieb gegrüsst, Andy ;)
Dieser Beitrag wurde am 06.07.2004 um 12:20 Uhr von ND33 editiert.
Seitenanfang Seitenende
06.07.2004, 14:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#47 ND33
Nun denn, ich warte auf das Log mit einer Startseite...Vielleicht kommt ne Erfolgsmeldung.. ;)
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.07.2004 um 14:11 Uhr von Sabina editiert.
Seitenanfang Seitenende
07.07.2004, 07:17
Member

Beiträge: 12
#48 hey Sabina



also die Einträge sind nicht mehr vorhanden ;) aber ich poste Dir hier nochmal das aktuelle Log:


Logfile of HijackThis v1.98.0
Scan saved at 07:12:33, on 07.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\WINDOWS\System32\alg.exe
d:\Programme\AVPersonal\AVGUARD.EXE
d:\PROGRA~1\Grisoft\AVG6\avgserv.exe
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Andy\LOKALE~1\Temp\Rar$EX00.712\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D42263C-7F6A-42F5-BC85-46C501F68273}: NameServer = 212.6.108.140 212.6.108.141

ich habe nun den Anti Virus und Spy Sweeper im Hintergrund laufen.

mfG Andy
Seitenanfang Seitenende
08.07.2004, 16:57
...neu hier

Beiträge: 6
#49 Hallo miteinander! Habe hier ein kleines Problem und komme einfach nicht weiter. Seit kurzem ist aus unerklärlichen Gründen meine Startseite folgende: homesearch (und das noch in englisch) mit dieser Adresse: res://mxood.dll/index.html#28129
Ausserdem öffnen sich dauernd Werbefenster (beispielsweise "ONLY THE BEST")
Was kann ich tun ?? Hier mein Logfile von hijackthis:


Logfile of HijackThis v1.98.0
Scan saved at 16:49:36, on 08.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Normanav\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Virtual CD v4\System\vcdsecs.exe
C:\WINDOWS\wanmpsvc.exe
C:\NORMANAV\NORMAN\nvc\BIN\NVCSCHED.EXE
C:\NORMANAV\NORMAN\nvc\BIN\NJEEVES.EXE
C:\NORMANAV\NORMAN\nvc\BIN\nvcoas.exe
C:\WINDOWS\system32\winmi.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\NORMANAV\NORMAN\nvc\BIN\ZLH.EXE
C:\Programme\CloneCD\CloneCDTray.exe
C:\NORMANAV\NORMAN\nvc\BIN\NYMSE.EXE
C:\NORMANAV\NORMAN\nvc\BIN\NIP.EXE
C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
C:\NORMANAV\NORMAN\nvc\BIN\cclaw.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\WINDOWS\netwx32.exe
C:\Programme\SETI@home\SETI@home.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Virtual CD v4\System\VCDTray.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mxood.dll/index.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mxood.dll/index.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mxood.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mxood.dll/index.html#28129
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {3E4C6573-910D-33A1-61C2-4A2E2E43DD4E} - C:\WINDOWS\winzq.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMANAV\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [VCDPlayer] C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [netwx32.exe] C:\WINDOWS\netwx32.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\RunOnce: [winmi.exe] C:\WINDOWS\system32\winmi.exe
O4 - HKLM\..\RunOnce: [appuj.exe] C:\WINDOWS\system32\appuj.exe
O4 - HKCU\..\Run: [seticlient] C:\Programme\SETI@home\SETI@home.exe -min
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup
O4 - Startup: ubisoft register.lnk = C:\Programme\Ubi Soft\Register\schedule.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\CompuServeOffice\Netscape\Communicator\Program\AIM\aim.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} (CAX Object) - http://merchant.eops.de/dialersoftware/cax.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.download-url.de/install/StarInstall.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{00538FD2-57D3-4103-B54A-877C91BA76D7}: NameServer = 217.237.151.33 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{00538FD2-57D3-4103-B54A-877C91BA76D7}: NameServer = 217.237.151.33 194.25.2.129
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll
Seitenanfang Seitenende
08.07.2004, 17:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#50 mfranke37

Fixe mit dem HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mxood.dll/index.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mxood.dll/index.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mxood.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mxood.dll/index.html#28129

O2 - BHO: (no name) - {3E4C6573-910D-33A1-61C2-4A2E2E43DD4E} - C:\WINDOWS\winzq.dll
O4 - HKLM\..\Run: [netwx32.exe] C:\WINDOWS\netwx32.exe
O4 - HKLM\..\RunOnce: [winmi.exe] C:\WINDOWS\system32\winmi.exe
O4 - HKLM\..\RunOnce: [appuj.exe] C:\WINDOWS\system32\appuj.exe

O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} (CAX Object) - http://merchant.eops.de/dialersoftware/cax.cab
16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.download-url.de/install/StarInstall.ocx

O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll
TrojanDownloader.Win32.Small.kq


Neustarten


#Lade mwav.exe...scanne alle Dateien
http://www.mwti.net/antivirus/free_utilities.asp
#Lade den Stinger
http://vil.nai.com/vil/stinger/
#Lade AdAware free...updaten vor dem Scannen !!! und Spybot von dieser Site
http://www.rokop-security.de/main/article.php?sid=703
#lade Spysweeper free
http://www.spysweeper.com/
#Lade SP
http://www.rokop-security.de/main/article.php?sid=746

Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

Konfiguriere den Antivirus AVGCtrl
<Heuristic :hoch
<Scanne alle Dateien<
<bei Fund sofort loeschen
und mache einen Vollscann (vorher im Normalmodus noch aktualisieren !!!)

Suche und loesche
C:\WINDOWS\msopt.dll
C:\WINDOWS\winzq.dll

neustarten

#loesche unter <InternetOptionen die TemporaryInternetFiles !!!
#Stelle unter InternetOptionen eine neue Startseite ein < und poste das Log noch mal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.07.2004 um 17:10 Uhr von Sabina editiert.
Seitenanfang Seitenende
09.07.2004, 17:35
...neu hier

Beiträge: 6
#51 Hallo sabina und sonstige Experten, die bereit sind Verzweifelten wie mir zu helfen. Habe deine Tipps befolgt – dies kam dabei raus

mwav.exe ergab folgende Log:
File C:\WINDOWS\system32\winmi.exe infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.
File C:\WINDOWS\netwx32.exe infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Kathrin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPGRGL6P\SMS-Stadt[1].exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File C:\Dokumente und Einstellungen\Michael\Eigene Dateien\hijackthis_198\backups\backup-20040709-134746-840.dll infected by "TrojanDownloader.Win32.Small.eb" Virus. Action Taken: File Deleted.
File C:\isp\AOL_Mediamarkt\INSTALL\HB\chipklsr\orga\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\isp\AOL_Mediamarkt\INSTALL\HB\REDIST\MSVBVM50.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\ACAD2000\migration\pictaker\PTEEEval.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\UWCDS\{DBE31D9D-D7FB-4B1D-917B-583DB0871A85}\Quarantine Files\crdj32.exe.gz infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.
File C:\Programme\VectorWorks 9\BACKUP\InstDrv.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Windows Media Player\wmplayer.exe.tmp infected by "TrojanDownloader.Win32.Small.lb" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{9509DCE6-FF6F-4CAA-958E-5FBE8F55579D}\RP465\A0059026.exe infected by "TrojanDownloader.Win32.Small.lb" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{9509DCE6-FF6F-4CAA-958E-5FBE8F55579D}\RP470\A0059256.dll tagged as not-a-virus:AdvWare.NewDotNet. No Action Taken.
File C:\System Volume Information\_restore{9509DCE6-FF6F-4CAA-958E-5FBE8F55579D}\RP475\A0060604.exe infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{9509DCE6-FF6F-4CAA-958E-5FBE8F55579D}\RP477\A0060945.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{9509DCE6-FF6F-4CAA-958E-5FBE8F55579D}\RP478\A0061103.exe infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{9509DCE6-FF6F-4CAA-958E-5FBE8F55579D}\RP479\A0061120.exe infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{9509DCE6-FF6F-4CAA-958E-5FBE8F55579D}\RP479\A0061121.exe infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Renamed.
File C:\WINDOWS\d3wa32.exe infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.
File C:\WINDOWS\Downloaded Program Files\ieloader.dll infected by "TrojanDownloader.Win32.Ladder" Virus. Action Taken: File Deleted.
File C:\WINDOWS\huqocg.dat infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Renamed.
File C:\WINDOWS\installer[gwd-10778,de].exe tagged as not-a-virus:pornWare.Dialer.Star. No Action Taken.
File C:\WINDOWS\installer[hun-10051,de].exe tagged as not-a-virus:pornWare.Dialer.Star. No Action Taken.
File C:\WINDOWS\mxood.dll infected by "TrojanDownloader.Win32.Winshow.u" Virus. Action Taken: File Deleted.
File C:\WINDOWS\n_uxydes.dat infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Renamed.
File C:\WINDOWS\ocidwk.dat infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.
File C:\WINDOWS\qgazjq.dat infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Deleted.
File C:\WINDOWS\qvkymc.dat infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Renamed.
File C:\WINDOWS\system32\appuj.exe infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32\H@tKeysH@@k.DLL tagged as not-a-virus:Cracker.Game.HotHook.dll. No Action Taken.
Stinger: Fand keine Viren

Spybot: Behob 33 Probleme

SP: meldete keine Infektion

Was meintest du mit:
Konfiguriere den Antivirus AVGCtrl
<Heuristic :hoch
<Scanne alle Dateien<
<bei Fund sofort loeschen
und mache einen Vollscann (vorher im Normalmodus noch aktualisieren !!!)

Und diese Dateien konnte ich auf dem Computer nicht finden:
C:\WINDOWS\msopt.dll
C:\WINDOWS\winzq.dll


TemporaryInternetFiles wurden gelöscht
und eine neue Startseite eingegeben
und nun poste ich das Log noch mal

Logfile of HijackThis v1.98.0
Scan saved at 17:30:29, on 09.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Normanav\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Virtual CD v4\System\vcdsecs.exe
C:\WINDOWS\wanmpsvc.exe
C:\NORMANAV\NORMAN\nvc\BIN\nvcoas.exe
C:\NORMANAV\NORMAN\nvc\BIN\NVCSCHED.EXE
C:\NORMANAV\NORMAN\nvc\BIN\NJEEVES.EXE
C:\WINDOWS\system32\syshu.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\NORMANAV\NORMAN\nvc\BIN\ZLH.EXE
C:\Programme\CloneCD\CloneCDTray.exe
C:\NORMANAV\NORMAN\nvc\BIN\NYMSE.EXE
C:\NORMANAV\NORMAN\nvc\BIN\cclaw.exe
C:\NORMANAV\NORMAN\nvc\BIN\NIP.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\WINDOWS\sysfk.exe
C:\Programme\SETI@home\SETI@home.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\Virtual CD v4\System\VCDTray.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
c:\Programme\Microsoft Works\MSWorks.exe
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mxood.dll/index.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mxood.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mxood.dll/index.html#28129
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {3E4C6573-910D-33A1-61C2-4A2E2E43DD4E} - C:\WINDOWS\winzq.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMANAV\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [VCDPlayer] C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [sysfk.exe] C:\WINDOWS\sysfk.exe
O4 - HKLM\..\RunOnce: [syshu.exe] C:\WINDOWS\system32\syshu.exe
O4 - HKCU\..\Run: [seticlient] C:\Programme\SETI@home\SETI@home.exe -min
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: ubisoft register.lnk = C:\Programme\Ubi Soft\Register\schedule.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\CompuServeOffice\Netscape\Communicator\Program\AIM\aim.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll


Was nun? Das anfangs beschriebene Problem besteht immer noch
Seitenanfang Seitenende
09.07.2004, 19:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#52 mfranke37


#deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
kannst du spaeter wieder aktivieren

Fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mxood.dll/index.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mxood.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mxood.dll/index.html#28129

O2 - BHO: (no name) - {3E4C6573-910D-33A1-61C2-4A2E2E43DD4E} - C:\WINDOWS\winzq.dll
O4 - HKLM\..\Run: [sysfk.exe] C:\WINDOWS\sysfk.exe
O4 - HKLM\..\RunOnce: [syshu.exe] C:\WINDOWS\system32\syshu.exe

neustarten

Lade Antivirus deaktiviere solange den anderen Virenscanner.\
http://www.free-av.de/

Nach dem Installationsscann konfiguriere unter Optionen den Antivirus
\Heuristic/hoch
\alle Dateien scannen\

Gehe in den abgesichherten Modus
http://www.bsi.de/av/texte/winsave.htm

#Mache einen Vollscann mit Antivirus
.......................................................................................................
#neustarten

#loesche diesen Dialer

C:\Dokumente und Einstellungen\Kathrin\Lokale Einstellungen\Temporary Internet
Files\Content.IE5\KPGRGL6P\SMS-Stadt[1].exe :RiskWare.Dialer.gen

#loesche unter InternetOptionen die TemporaryInternetFiles.
#scanne noch eimal mit mwav.exe und poste das Endlog.

Dann poste das HijackThis/Log noch einmal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 09.07.2004 um 19:49 Uhr von Sabina editiert.
Seitenanfang Seitenende
10.07.2004, 11:05
...neu hier

Beiträge: 6
#53 Hallo

Der Scan mit mwav.exe ergab:

File C:\WINDOWS\sysfk.exe infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Renamed.
File C:\isp\AOL_Mediamarkt\INSTALL\HB\chipklsr\orga\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\isp\AOL_Mediamarkt\INSTALL\HB\REDIST\MSVBVM50.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\ACAD2000\migration\pictaker\PTEEEval.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\VectorWorks 9\BACKUP\InstDrv.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\System Volume Information\_restore{9509DCE6-FF6F-4CAA-958E-5FBE8F55579D}\RP1\A0000001.exe infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Renamed.
File C:\WINDOWS\nccdvd.dat infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Renamed.


Nun poste ich das HijackThis/Log noch einmal:

Logfile of HijackThis v1.98.0
Scan saved at 10:53:51, on 10.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Normanav\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Virtual CD v4\System\vcdsecs.exe
C:\WINDOWS\wanmpsvc.exe
C:\NORMANAV\NORMAN\nvc\BIN\NJEEVES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\NORMANAV\NORMAN\nvc\BIN\ZLH.EXE
C:\Programme\CloneCD\CloneCDTray.exe
C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\SETI@home\SETI@home.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\NORMANAV\NORMAN\nvc\BIN\NYMSE.EXE
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\Virtual CD v4\System\VCDTray.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
c:\Programme\Microsoft Works\MSWorks.exe
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mxood.dll/index.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mxood.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mxood.dll/index.html#28129
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {54877C46-4AC8-704E-35E9-E2D3C41896F5} - C:\WINDOWS\system32\d3da.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMANAV\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [VCDPlayer] C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [sysfk.exe] C:\WINDOWS\sysfk.exe
O4 - HKCU\..\Run: [seticlient] C:\Programme\SETI@home\SETI@home.exe -min
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: ubisoft register.lnk = C:\Programme\Ubi Soft\Register\schedule.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\CompuServeOffice\Netscape\Communicator\Program\AIM\aim.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll

Die Startseite des Internetexplorers hängt leider immer noch fest bei:
homesearch (und das noch in englisch) aber nun mit dieser Adresse:
res://qlgxp.dll/index.html#28129

Ausserdem öffnen sich immer noch diese lästigen Pop up Fenster die mir sagen ich hätte Spyware auf dem Rechner.
Seitenanfang Seitenende
10.07.2004, 12:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#54 mfranke37

Fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mxood.dll/index.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mxood.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mxood.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mxood.dll/index.html#28129

O2 - BHO: (no name) - {54877C46-4AC8-704E-35E9-E2D3C41896F5} - C:\WINDOWS\system32\d3da.dll

O4 - HKLM\..\Run: [sysfk.exe] C:\WINDOWS\sysfk.exe

neustarten

#Gehe in die Registry
Start<Ausfuehren<regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
loesche auf der echten Seite : [sysfk.exe]

Suche diesen Eintrag und loesche ihn :
BHO: (no name) - {54877C46-4AC8-704E-35E9-E2D3C41896F5} -d3da.dll
suche :mxood.dll in der Registry und loesche den Eintrag

schliesse die Registry

#Loesche
C:\WINDOWS\sysfk.exe
C:\WINDOWS\system32\d3da.dll
C:\WINDOWS\mxood.dll

#scanne noch einmal im abgesicherten Modus mit Antivirus und mwav.exe, loesche dann die TemporaryInternetFiles und poste das Log noch einmal.
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 10.07.2004 um 12:15 Uhr von Sabina editiert.
Seitenanfang Seitenende
11.07.2004, 12:01
...neu hier

Beiträge: 6
#55 Hi Sabina

Folgende Dateien sollte ich löschen, konnte diese aber nicht finden auf dem Rechner:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
loesche auf der echten Seite : [sysfk.exe]

C:\WINDOWS\system32\d3da.dll
C:\WINDOWS\mxood.dll

Antivirus fand und entfernte 3 Viren (Trojanische Dateien)

mwav.exe fand keine Fehler

und nun noch mal das Log:

Logfile of HijackThis v1.98.0
Scan saved at 11:56:52, on 11.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
c:\Programme\Microsoft Works\MSWorks.exe
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://qlgxp.dll/index.html#28129
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {17148321-8D1B-4F75-4E46-30E16B398180} - C:\WINDOWS\system32\d3fa.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMANAV\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [VCDPlayer] C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKCU\..\Run: [seticlient] C:\Programme\SETI@home\SETI@home.exe -min
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: ubisoft register.lnk = C:\Programme\Ubi Soft\Register\schedule.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\CompuServeOffice\Netscape\Communicator\Program\AIM\aim.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll
Seitenanfang Seitenende
11.07.2004, 13:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#56 mfranke37

Fixe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://qlgxp.dll/index.html#28129
O2 - BHO: (no name) - {17148321-8D1B-4F75-4E46-30E16B398180} - C:\WINDOWS\system32\d3fa.dll
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll

neustarten


http://download.broadbandmedic.com/
to download TheKillbox by Option^Explicit. Extract it from the zip file then double-click on Killbox.exe to run it. In the 'Paste Full Path of File to Delete' box, copy and paste this entry:

C:\WINDOWS\msopt.dll
C:\WINDOWS\system32\d3fa.dll

Don't click any of the buttons though, instead please click on the Action menu and choose "Delete on Reboot". In the window that opens up, click on the File menu and choose "Add File". The C:\WINDOWS\msopt.dll listing should show up in the window. Then in the same window choose the Action menu and select "Process and Reboot". You'll be prompted to reboot, do so.


#Gehe in die Registry
Start\Ausfuehren \regedit
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page
loesche
qlgxp.dll/index.html#28129


#Geh noch einmal in den abgesicherten Modus...das ist wichtig !
http://www.bsi.de/av/texte/winsave.htm

anitivirus konfigurieren>
Automatischen Scan stoppen,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)

#Mache einen Vollscann

normal neustarten

#loesche die TemporaryInternetFiles, stelle eine neue Startseite ein

Dann poste das Log noch mal, falls beim Scann mit HijackThis die zwei dlls weiterhin da sind.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 11.07.2004 um 13:43 Uhr von Sabina editiert.
Seitenanfang Seitenende
11.07.2004, 18:55
...neu hier

Beiträge: 6
#57 Hi Sabina

Folgende Dateien sollte ich löschen, konnte diese aber in die Registry nicht finden

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page

qlgxp.dll/index.html#28129


Und sobald ich mich ins Internet gewählt hatte waren sämtliche Alteinstellungen wieder da (Startseite: homesearch (in englisch) nun mit dieser Adresse: res://hhgau.dll/index.html#28129
Außerdem öffnen sich weiterhin dauernd Werbefenster mit der Bezeichnung "ONLY THE BEST")

Deshalb nun noch mal das LOG:
Logfile of HijackThis v1.98.0
Scan saved at 18:54:18, on 11.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Normanav\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Virtual CD v4\System\vcdsecs.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\NORMANAV\NORMAN\nvc\BIN\ZLH.EXE
C:\Programme\CloneCD\CloneCDTray.exe
C:\NORMANAV\NORMAN\nvc\BIN\NYMSE.EXE
C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\WINDOWS\system32\ntnl32.exe
C:\Programme\SETI@home\SETI@home.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Virtual CD v4\System\VCDTray.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\NORMANAV\NORMAN\nvc\BIN\NJEEVES.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
c:\Programme\Microsoft Works\MSWorks.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\crzx.exe
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hhgau.dll/sp.html#28129
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://hhgau.dll/index.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://hhgau.dll/index.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\hhgau.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hhgau.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://hhgau.dll/index.html#28129
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {9B7C0FD1-A979-46E0-871F-2B02FBB5AF1C} - C:\WINDOWS\apppc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMANAV\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [VCDPlayer] C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [ntnl32.exe] C:\WINDOWS\system32\ntnl32.exe
O4 - HKLM\..\RunOnce: [crzx.exe] C:\WINDOWS\system32\crzx.exe
O4 - HKLM\..\RunOnce: [javaik32.exe] C:\WINDOWS\javaik32.exe
O4 - HKCU\..\Run: [seticlient] C:\Programme\SETI@home\SETI@home.exe -min
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: ubisoft register.lnk = C:\Programme\Ubi Soft\Register\schedule.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\CompuServeOffice\Netscape\Communicator\Program\AIM\aim.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{00538FD2-57D3-4103-B54A-877C91BA76D7}: NameServer = 217.237.151.33 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{00538FD2-57D3-4103-B54A-877C91BA76D7}: NameServer = 217.237.151.33 194.25.2.129
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll
Seitenanfang Seitenende
11.07.2004, 19:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#58 mfranke37

es ist nun schon die dritte Variante einer verstellten Startseite.

Es muss doch moeglich sein, den\die immer wieder neuen Trojaner zu erwischen ...uff <(

fixe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hhgau.dll/sp.html#28129
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://hhgau.dll/index.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://hhgau.dll/index.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\hhgau.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hhgau.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://hhgau.dll/index.html#28129


Trojaner>
O2 - BHO: (no name) - {9B7C0FD1-A979-46E0-871F-2B02FBB5AF1C} - C:\WINDOWS\apppc.dll
O4 - HKLM\..\Run: [ntnl32.exe] C:\WINDOWS\system32\ntnl32.exe
O4 - HKLM\..\RunOnce: [crzx.exe] C:\WINDOWS\system32\crzx.exe
O4 - HKLM\..\RunOnce: [javaik32.exe] C:\WINDOWS\javaik32.exe

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab


ist nicht \bad, schreibt sich aber bei Anwendung wieder ein....FIXE ES BITTE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe"

Neustarten
und in den abgesicherten Modus gehen

Nun das ganze Spielchen noch einmal.>>
deaktiviere deinen Virenscanner oder deinstalliere ihn gleich...er ist zerstoert..kannst ihn spaeter wieder laden
Aktualisiere den Antivirus !!!!!!updaten !!!!!!!!!
Konfiguriere den Antivirus AVGCtrl

Automatischen Scan stoppen,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)

und mache einen Vollscann mit dem Antivirus.
..............................................................................................................
normal neustarten

#Lade AdAware free...updaten und \alle Dateien scannen\
http://www.lavasoft.de/

..........................................................................................................
#mit ClearProg
http://www.shtools.de/downloads.php
Loesche die TemporaryInternetFiles

Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
......usw....

...........................................................................................
#und stelle eine neue Startseite im IE ein

#Dann lade Firefox als Alternetivbrowser...ist sicherer und surfe nur mit ihm.!!!!!!!!!!!!!!!!!!
http://www.firebird-browser.de/


#lade Spywareblaster
http://www.javacoolsoftware.com/spywareblaster.html

#Lade Spywarguard
http://www.javacoolsoftware.com/sgdownload.html

#Lade mwav.exe...scanne alle Dateien
http://www.mwti.net/antivirus/free_utilities.asp
poste dann, was die mwav.exe gefunden hat!!!!!!!!!!!!!

Dann poste das Log noch mal..uff....wo holst du dir nur die ganzen Startseiten Trojaner?????

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 11.07.2004 um 19:31 Uhr von Sabina editiert.
Seitenanfang Seitenende
12.07.2004, 09:25
...neu hier

Beiträge: 6
#59 Hi Sabina

Antivirus ergab erneut wie bei den letzten 2 Scans diese 3 Virenmeldungen:

C:\WINDOWS
javaik32.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.Z.2
WURDE GELÖSCHT!
C:\WINDOWS\system32
crzx.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Agent.Z.2
WURDE GELÖSCHT!
geweh.dat
[FUND!] Ist das Trojanische Pferd TR/Dldr.WinSh.AC.02
WURDE GELÖSCHT!

mwav.exe fand keine Fehler

Logfile of HijackThis v1.98.0
Scan saved at 09:13:24, on 12.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Normanav\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Virtual CD v4\System\vcdsecs.exe
C:\WINDOWS\wanmpsvc.exe
C:\NORMANAV\NORMAN\nvc\BIN\NJEEVES.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\NORMANAV\NORMAN\nvc\BIN\ZLH.EXE
C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\SETI@home\SETI@home.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\NORMANAV\NORMAN\nvc\BIN\NYMSE.EXE
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Virtual CD v4\System\VCDTray.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
c:\Programme\Microsoft Works\MSWorks.exe
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMANAV\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [VCDPlayer] C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [seticlient] C:\Programme\SETI@home\SETI@home.exe -min
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: ubisoft register.lnk = C:\Programme\Ubi Soft\Register\schedule.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\CompuServeOffice\Netscape\Communicator\Program\AIM\aim.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll


Das scheints jetzt gebracht zu haben – bin seid ner viertel Stunde im Netz und noch kamen keine Spy-Warnungen oder Werbe pop ups und die home search Startseite ist auch weg. Hoffe das bleibt so.
DANKE !!
Seitenanfang Seitenende
12.07.2004, 09:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#60 mfranke37

Ja, es schient, diesmal hast du ihn erwischt.
Es ist wichtig, den Scann mit Antivir. im abgesicherten Modus zu machen !!

fixe und loesche dann im abgesicherten Modus :
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll

#Ueberpruefe mit Kaspersky
http://www.kaspersky.com/scanforvirus
C:\WINDOWS\msopt.dll
#und mache, was @Raman im folgenden Thread gepostet hat.


#Falls sie als <BAD< erkannt wird :
in der Registry SUCHEN : und loeschen
Start<Ausfuehren<regedit
{4A8DADD4-5A25-4D41-8599-CB7458766220}msopt.dll
schliesse die Registry
#benenne die dll um in msopt.dl und loesche,
erst dann durfte Ruhe sein...... ;)

#Dann surfe nur mit dem Firefox...ist sicherer
http://www.firebird-browser.de/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 12.07.2004 um 09:44 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: