Home Search Startseite ..bekomme es nicht bereinigt..

#0
21.06.2004, 16:28
Member

Beiträge: 11
#1 Hier mein Hijack Log FIle:


Logfile of HijackThis v1.97.7
Scan saved at 05:10:25, on 21.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\ieou32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\netik32.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
C:\WINDOWS\System32\Grxp4exe.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Timm\Desktop\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ogmnp.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ogmnp.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ogmnp.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ogmnp.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ogmnp.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ogmnp.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
O2 - BHO: (no name) - {6B014825-F801-F6B3-8BFB-8D1EDD53C72E} - C:\WINDOWS\system32\apppj.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Gravis Xperience Driver Support] Grxp4exe.exe /init
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [netik32.exe] C:\WINDOWS\netik32.exe
O4 - HKCU\..\Run: [System Update4] c:\dokume~1\timm\anwend~1\winspool.exe
O4 - HKLM\..\RunOnce: [atlwe.exe] C:\WINDOWS\system32\atlwe.exe
O4 - HKLM\..\RunOnce: [apinv32.exe] C:\WINDOWS\apinv32.exe
O4 - HKLM\..\RunOnce: [ntwy32.exe] C:\WINDOWS\system32\ntwy32.exe
O4 - HKLM\..\RunOnce: [sysbe.exe] C:\WINDOWS\system32\sysbe.exe
O4 - HKLM\..\RunOnce: [apppk32.exe] C:\WINDOWS\apppk32.exe
O4 - HKLM\..\RunOnce: [addhw32.exe] C:\WINDOWS\addhw32.exe
O4 - HKLM\..\RunOnce: [javaaj32.exe] C:\WINDOWS\system32\javaaj32.exe
O4 - HKLM\..\RunOnce: [ntiw.exe] C:\WINDOWS\system32\ntiw.exe
O4 - HKLM\..\RunOnce: [msue32.exe] C:\WINDOWS\system32\msue32.exe
O4 - HKLM\..\RunOnce: [winsg.exe] C:\WINDOWS\system32\winsg.exe
O4 - HKLM\..\RunOnce: [sdkxu32.exe] C:\WINDOWS\sdkxu32.exe
O4 - HKLM\..\RunOnce: [d3jr32.exe] C:\WINDOWS\d3jr32.exe
O4 - HKLM\..\RunOnce: [d3me.exe] C:\WINDOWS\d3me.exe
O4 - HKLM\..\RunOnce: [winwo32.exe] C:\WINDOWS\system32\winwo32.exe
O4 - HKLM\..\RunOnce: [sysqf32.exe] C:\WINDOWS\system32\sysqf32.exe
O4 - HKLM\..\RunOnce: [ntwp32.exe] C:\WINDOWS\system32\ntwp32.exe
O4 - HKLM\..\RunOnce: [appvx.exe] C:\WINDOWS\system32\appvx.exe
O4 - HKLM\..\RunOnce: [apime32.exe] C:\WINDOWS\system32\apime32.exe
O4 - HKLM\..\RunOnce: [sysle.exe] C:\WINDOWS\system32\sysle.exe
O4 - HKLM\..\RunOnce: [javazw.exe] C:\WINDOWS\system32\javazw.exe
O4 - HKLM\..\RunOnce: [atlko.exe] C:\WINDOWS\atlko.exe
O4 - HKLM\..\RunOnce: [appeu32.exe] C:\WINDOWS\appeu32.exe
O4 - HKLM\..\RunOnce: [netke32.exe] C:\WINDOWS\system32\netke32.exe
O4 - HKLM\..\RunOnce: [d3vi32.exe] C:\WINDOWS\d3vi32.exe
O4 - HKLM\..\RunOnce: [ipzy32.exe] C:\WINDOWS\ipzy32.exe
O4 - HKLM\..\RunOnce: [javaad.exe] C:\WINDOWS\javaad.exe
O4 - HKLM\..\RunOnce: [netvd.exe] C:\WINDOWS\system32\netvd.exe
O4 - HKLM\..\RunOnce: [winud32.exe] C:\WINDOWS\winud32.exe
O4 - HKLM\..\RunOnce: [msae.exe] C:\WINDOWS\msae.exe
O4 - HKLM\..\RunOnce: [appqj32.exe] C:\WINDOWS\appqj32.exe
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
Seitenanfang Seitenende
21.06.2004, 17:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Fixe mit dem HijackThis

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ogmnp.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ogmnp.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ogmnp.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ogmnp.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ogmnp.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ogmnp.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

Ueberpruefe den Proxy...falls nicht korrekt...fixen

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80

O2 - BHO: (no name) - {6B014825-F801-F6B3-8BFB-8D1EDD53C72E} - C:\WINDOWS\system32\apppj.dll

O4 - HKLM\..\Run: [netik32.exe] C:\WINDOWS\netik32.exe
O4 - HKCU\..\Run: [System Update4] c:\dokume~1\timm\anwend~1\winspool.exe
O4 - HKLM\..\RunOnce: [atlwe.exe] C:\WINDOWS\system32\atlwe.exe
O4 - HKLM\..\RunOnce: [apinv32.exe] C:\WINDOWS\apinv32.exe
O4 - HKLM\..\RunOnce: [ntwy32.exe] C:\WINDOWS\system32\ntwy32.exe
O4 - HKLM\..\RunOnce: [sysbe.exe] C:\WINDOWS\system32\sysbe.exe
O4 - HKLM\..\RunOnce: [apppk32.exe] C:\WINDOWS\apppk32.exe
O4 - HKLM\..\RunOnce: [addhw32.exe] C:\WINDOWS\addhw32.exe
O4 - HKLM\..\RunOnce: [javaaj32.exe] C:\WINDOWS\system32\javaaj32.exe
O4 - HKLM\..\RunOnce: [ntiw.exe] C:\WINDOWS\system32\ntiw.exe
O4 - HKLM\..\RunOnce: [msue32.exe] C:\WINDOWS\system32\msue32.exe
O4 - HKLM\..\RunOnce: [winsg.exe] C:\WINDOWS\system32\winsg.exe
O4 - HKLM\..\RunOnce: [sdkxu32.exe] C:\WINDOWS\sdkxu32.exe
O4 - HKLM\..\RunOnce: [d3jr32.exe] C:\WINDOWS\d3jr32.exe
O4 - HKLM\..\RunOnce: [d3me.exe] C:\WINDOWS\d3me.exe
O4 - HKLM\..\RunOnce: [winwo32.exe] C:\WINDOWS\system32\winwo32.exe
O4 - HKLM\..\RunOnce: [sysqf32.exe] C:\WINDOWS\system32\sysqf32.exe
O4 - HKLM\..\RunOnce: [ntwp32.exe] C:\WINDOWS\system32\ntwp32.exe
O4 - HKLM\..\RunOnce: [appvx.exe] C:\WINDOWS\system32\appvx.exe
O4 - HKLM\..\RunOnce: [apime32.exe] C:\WINDOWS\system32\apime32.exe
O4 - HKLM\..\RunOnce: [sysle.exe] C:\WINDOWS\system32\sysle.exe
O4 - HKLM\..\RunOnce: [javazw.exe] C:\WINDOWS\system32\javazw.exe
O4 - HKLM\..\RunOnce: [atlko.exe] C:\WINDOWS\atlko.exe
O4 - HKLM\..\RunOnce: [appeu32.exe] C:\WINDOWS\appeu32.exe
O4 - HKLM\..\RunOnce: [netke32.exe] C:\WINDOWS\system32\netke32.exe
O4 - HKLM\..\RunOnce: [d3vi32.exe] C:\WINDOWS\d3vi32.exe
O4 - HKLM\..\RunOnce: [ipzy32.exe] C:\WINDOWS\ipzy32.exe
O4 - HKLM\..\RunOnce: [javaad.exe] C:\WINDOWS\javaad.exe
O4 - HKLM\..\RunOnce: [netvd.exe] C:\WINDOWS\system32\netvd.exe
O4 - HKLM\..\RunOnce: [winud32.exe] C:\WINDOWS\winud32.exe
O4 - HKLM\..\RunOnce: [msae.exe] C:\WINDOWS\msae.exe
O4 - HKLM\..\RunOnce: [appqj32.exe] C:\WINDOWS\appqj32.exe

neustarten


#stelle den Proxy neu ein

#mache einen Onlinescann
http://www.bitdefender.com/scan/license.php

#lade die mwav.exe...30 Tage free und scanne
http://www.mwti.net/antivirus/free_utilities.asp

#Lade AdAware free
http://www.lavasoft.de/

#Lade CWHredder
http://www.spywareinfo.com/~merijn/downloads.html

.........................................................................................
Denke ueber einen Wechsel des Virenscanners nach.
Deinstalliere ihn und lade Antivir,
http://www.free-av.de/

stelle ein \alle Dateien scannen\

Gehe in den abgesicherten Modus...F8 beim Hochfahren druecken und mache einen Vollscann

#loesche C:\WINDOWS\system32\apppj.dll

normal neustarten


#Wenn alles sauber ist, aktualisiere den IE auf IE 6 Sp1
http://www.microsoft.com/windows/ie_intl/de/ie6sp1.mspx
#loesche unter InternetOptionen die TemporaryInernetFiles

Dann poste das Log noch einmal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.06.2004 um 17:20 Uhr von Sabina editiert.
Seitenanfang Seitenende
21.06.2004, 23:05
Member

Themenstarter

Beiträge: 11
#3 Okay..ich werde das morgen mal ausprobieren.

Kannst du mir sagen was du mit Proxy überprüfen meinst?

Was muss ich wo einstellen?



Sorry das ich soviel fragenmuss..aber nur wer fragt kann dazu lernen ;)


Danke für deine Hilfe

MfG
Timm
Seitenanfang Seitenende
22.06.2004, 07:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Fixe diesen ProxyEintrag
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80

brauchst nichts zu ueberpruefen.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.06.2004, 15:25
Member

Themenstarter

Beiträge: 11
#5 Was muss ich denn beim Proxy einstellen beim nach dem Neustart?
Seitenanfang Seitenende
24.06.2004, 16:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Lass den Proxy...reinige erst mal den Comp. laut Anweisungen und poste dann das Log noch mal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.06.2004, 21:45
Member

Themenstarter

Beiträge: 11
#7 Logfile of HijackThis v1.97.7
Scan saved at 21:43:33, on 24.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
C:\WINDOWS\System32\Grxp4exe.exe
C:\WINDOWS\system32\ipkl.exe
C:\WINDOWS\system32\winbh32.exe
C:\Dokumente und Einstellungen\Timm\Desktop\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\prdal.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://prdal.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://prdal.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\prdal.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://prdal.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\prdal.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {88F0B4E2-69B2-6CA5-7ADE-EE3BF0432FD0} - C:\WINDOWS\system32\crsv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Gravis Xperience Driver Support] Grxp4exe.exe /init
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ipkl.exe] C:\WINDOWS\system32\ipkl.exe
O4 - HKLM\..\RunOnce: [winbh32.exe] C:\WINDOWS\system32\winbh32.exe
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab




Jetzt heisst die Zeile anders als vorher...

:-(
Seitenanfang Seitenende
25.06.2004, 10:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Fixe mit dem HijackThis


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\prdal.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://prdal.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://prdal.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\prdal.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://prdal.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\prdal.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

O2 - BHO: (no name) - {88F0B4E2-69B2-6CA5-7ADE-EE3BF0432FD0} - C:\WINDOWS\system32\crsv.dll

O4 - HKLM\..\Run: [ipkl.exe] C:\WINDOWS\system32\ipkl.exe
O4 - HKLM\..\RunOnce: [winbh32.exe] C:\WINDOWS\system32\winbh32.exe

neustarten

Gehe in den abgesicherten Modus...F8 beim Hochfahren druecken

1. Gehe in die Registry loesche auf der rechten Seite
Start<Ausfuehren<regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

[ipkl.exe]
[winbh32.exe]


HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\prdal.dll/sp.html#96676
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://prdal.dll/index.html#96676
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://prdal.dll/index.html#96676
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\prdal.dll/sp.html#96676
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://prdal.dll/index.html#96676
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\prdal.dll/sp.html#96676

schliesse die Registry

#Loesche
C:\WINDOWS\system32\ipkl.exe
C:\WINDOWS\system32\winbh32.exe

C:\WINDOWS\system32\crsv.dll
C:\WINDOWS\prdal.dll


normal neustarten


#arbeite das durch
http://www.rokop-security.de/main/article.php?sid=703

#LOesche unter InternetOptionen die TemporaryInternetFiles und stelle eine neue Startseite ein.

#surfe nur mit dem Firefox..ist ein bisschen sicherer als der IE
http://www.firebird-browser.de/

#Mache die WindowsUpdates unter Start<Programme<
dabei wird auch der IE auf IE 6 SP1 aktualisiert

http://www.microsoft.com/windows/ie_intl/de/ie6sp1.mspx

Dann poste das Log noch einmal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.06.2004 um 10:39 Uhr von Sabina editiert.
Seitenanfang Seitenende
25.06.2004, 14:43
Member

Themenstarter

Beiträge: 11
#9 Logfile of HijackThis v1.97.7
Scan saved at 14:39:58, on 25.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\netzf.exe
C:\WINDOWS\netco32.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
C:\WINDOWS\System32\Grxp4exe.exe
C:\Dokumente und Einstellungen\Timm\Desktop\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\iudvm.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://iudvm.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\iudvm.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://iudvm.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\iudvm.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {FC63D9CF-DCCE-3054-EA0A-50C22E2E4287} - C:\WINDOWS\netco32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Gravis Xperience Driver Support] Grxp4exe.exe /init
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [netco32.exe] C:\WINDOWS\netco32.exe
O4 - HKLM\..\RunOnce: [netzf.exe] C:\WINDOWS\system32\netzf.exe
O4 - HKLM\..\RunOnce: [apidv.exe] C:\WINDOWS\apidv.exe
O4 - HKLM\..\RunOnce: [atlbo32.exe] C:\WINDOWS\atlbo32.exe
O4 - HKLM\..\RunOnce: [d3uu32.exe] C:\WINDOWS\system32\d3uu32.exe
O4 - HKLM\..\RunOnce: [appvw32.exe] C:\WINDOWS\appvw32.exe
O4 - HKLM\..\RunOnce: [iepa32.exe] C:\WINDOWS\iepa32.exe
O4 - HKLM\..\RunOnce: [winjx32.exe] C:\WINDOWS\system32\winjx32.exe
O4 - HKLM\..\RunOnce: [d3wi32.exe] C:\WINDOWS\system32\d3wi32.exe
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38162.5337847222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab

:-(

Mir ist aufgefallen das ich in der Registry die beiden Exe-Dateien nicht drin stehen hatte.Hab die Dateien wie du gesagt hast alle von der Platte gelöscht usw..

Ad-Aware 6 findet jedesmal DSO EXPLOIT was immer das ist.
Hat das was mit dem Problem zutun?


Und es gehen zwischen durch wenn der IE offen ist immer die Werbefenster auf...BLABLA von wegen Spyware detected usw und sofort in der Titelleiste des Fensters steht Only the Best..vielleicht hilft uns bzw dir das weiter..

Hoffe nerve nicht zu heftig
Seitenanfang Seitenende
25.06.2004, 14:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\iudvm.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://iudvm.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\iudvm.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://iudvm.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\iudvm.dll/sp.html#96676

O2 - BHO: (no name) - {FC63D9CF-DCCE-3054-EA0A-50C22E2E4287} - C:\WINDOWS\netco32.dll

O4 - HKLM\..\Run: [netco32.exe] C:\WINDOWS\netco32.exe
O4 - HKLM\..\RunOnce: [netzf.exe] C:\WINDOWS\system32\netzf.exe
O4 - HKLM\..\RunOnce: [apidv.exe] C:\WINDOWS\apidv.exe
O4 - HKLM\..\RunOnce: [atlbo32.exe] C:\WINDOWS\atlbo32.exe
O4 - HKLM\..\RunOnce: [d3uu32.exe] C:\WINDOWS\system32\d3uu32.exe
O4 - HKLM\..\RunOnce: [appvw32.exe] C:\WINDOWS\appvw32.exe
O4 - HKLM\..\RunOnce: [iepa32.exe] C:\WINDOWS\iepa32.exe
O4 - HKLM\..\RunOnce: [winjx32.exe] C:\WINDOWS\system32\winjx32.exe
O4 - HKLM\..\RunOnce: [d3wi32.exe] C:\WINDOWS\system32\d3wi32.exe

neustarten



Gehe in den abgesicherten Modus...F8 beim Hochfahren druecken


Loesche im abgesicherten Modus

C:\WINDOWS\netco32.dll
C:\WINDOWS\system32\iudvm.dll


und in der registry


StartAusfuehren<regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

[netzf.exe]
[apidv.exe]
[atlbo32.exe]
[d3uu32.exe]
[appvw32.exe]
[iepa32.exe]
[winjx32.exe]
[d3wi32.exe]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[netco32.exe]


HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\iudvm.dll/sp.html#96676
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://iudvm.dll/index.html#96676
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\iudvm.dll/sp.html#96676
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://iudvm.dll/index.html#96676
R HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\iudvm.dll/sp.html#96676


schliesse die Registry

Loesche

C:\WINDOWS\netco32.exe
C:\WINDOWS\system32\netzf.exe
C:\WINDOWS\apidv.exe
C:\WINDOWS\atlbo32.exe
C:\WINDOWS\system32\d3uu32.exe
C:\WINDOWS\appvw32.exe
C:\WINDOWS\iepa32.exe
C:\WINDOWS\system32\winjx32.exe
C:\WINDOWS\system32\d3wi32.exe



neustarten


#aktualisiere den IE , soll heissen, mache die WindowsUpdates.
Falls dein XP nicht so ganz legal ist, mache alle CritcalUpdates ausser dem ServicePack1

#lade a2
http://www.emsisoft.de/de/software/free/

Lade mwav.exe...30 Tage free und scanne.
Poste dann das Endergebnis..
http://www.mwti.net/antivirus/free_utilities.asp

#loesche wieder die TemporaryInternetFiles unter InternetOptionen und poste das Endergebnis vom mwav.exe sowie das neue Log.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.06.2004 um 15:00 Uhr von Sabina editiert.
Seitenanfang Seitenende
02.07.2004, 08:23
...neu hier

Beiträge: 2
#11 Habe dasselbe Problem mit dieser Homesearch-Seite ... wäre nett, wenn mir einer helfen könnte, was ich bei HijackThis fixen muss! :)

edit: Hab ad-aware, spybot & co schon durchprobiert, leider ohne Erfolg. :(


Logfile of HijackThis v1.98.0
Scan saved at 08:22:29, on 02.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\crtu.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
C:\Programme\CyberLink\PowerVCRII\Agent.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\javayg32.exe
C:\Dokumente und Einstellungen\Weich\Desktop\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Weich\Eigene Dateien\Downloads\für Graphik und Internet\HiJack-This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kmtsj.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://kmtsj.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://kmtsj.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\kmtsj.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kmtsj.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://kmtsj.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {EF02D695-F38A-DE2E-1FF2-A228263D2819} - C:\WINDOWS\system32\atlzz.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\CyberLink\PowerVCRII\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] C:\Programme\CyberLink\PowerVCRII\RemoteAgent.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [ntvy.exe] C:\WINDOWS\system32\ntvy.exe
O4 - HKLM\..\Run: [netsp.exe] C:\WINDOWS\system32\netsp.exe
O4 - HKLM\..\Run: [javayg32.exe] C:\WINDOWS\javayg32.exe
O4 - HKLM\..\RunOnce: [crtu.exe] C:\WINDOWS\system32\crtu.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/dj/qdiagh.cab?223
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll
Dieser Beitrag wurde am 02.07.2004 um 08:27 Uhr von Problemfall editiert.
Seitenanfang Seitenende
02.07.2004, 12:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 @Problemfall


Deaktiviere die Wiederherstellung

Fixe mit dem HijackThis

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kmtsj.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://kmtsj.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://kmtsj.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\kmtsj.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kmtsj.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://kmtsj.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

O2 - BHO: (no name) - {EF02D695-F38A-DE2E-1FF2-A228263D2819} - C:\WINDOWS\system32\atlzz.dll

O4 - HKLM\..\Run: [ntvy.exe] C:\WINDOWS\system32\ntvy.exe
O4 - HKLM\..\Run: [netsp.exe] C:\WINDOWS\system32\netsp.exe
O4 - HKLM\..\Run: [javayg32.exe] C:\WINDOWS\javayg32.exe
O4 - HKLM\..\RunOnce: [crtu.exe] C:\WINDOWS\system32\crtu.exe


neustarten


Loesche:
C:\WINDOWS\system32\kmtsj.dll
C:\WINDOWS\system32\atlzz.dll
C:\WINDOWS\system32\javayg32.dll

oder manuell oder versuche es mit diesem Tool Dll-Fix
http://www.zerosrealm.com/index.php?page=dllfix
.................................................................................................
#Lade mwav.exe ....scanne <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp

#Lade AdAware free...updaten vor dem Scannen !!! und Spybot von dieser Site
http://www.rokop-security.de/main/article.php?sid=703

#lade Spysweeper free
http://www.spysweeper.com/

#Lade Cwshredder
http://www.spywareinfo.com/~merijn/cwschronicles.html

#Lade SP
http://www.rokop-security.de/main/article.php?sid=746

Lade ClearProg und loesche die TemporaryInternetFiles und die Cookies
http://www.clearprog.de/

#Surfe nur mit Firefox...ist sicherer
http://www.firebird-browser.de/


Stelle im Firefox und im InternetOptionen eine neue Startseite ein und poste das Log noch mal.

mFg
Sabina
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 02.07.2004 um 12:20 Uhr von Sabina editiert.
Seitenanfang Seitenende
02.07.2004, 12:32
...neu hier

Beiträge: 4
#13 Hi Sabina,

könntest du bitte auch mein LOG ansehen.

Danke


Logfile of HijackThis v1.98.0
Scan saved at 12:23:59, on 02.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QKeys\QKeys.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\atlvh32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\mfczn32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Stefan\Desktop\HIJACK\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bessi.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://bessi.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://bessi.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\bessi.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bessi.dll/sp.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://bessi.dll/index.html#37680
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {E66033D3-0B56-750C-2254-9C91038A086C} - C:\WINDOWS\system32\appjo.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QKeys] C:\Programme\QKeys\QKeys.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [atlvh32.exe] C:\WINDOWS\system32\atlvh32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\RunOnce: [ipjn.exe] C:\WINDOWS\ipjn.exe
O4 - HKLM\..\RunOnce: [javaqg32.exe] C:\WINDOWS\system32\javaqg32.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for ¸æZ: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{78051B56-0398-4E02-B902-2D5E7D2130FC}: NameServer = 195.70.224.45 213.90.38.3
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)
Seitenanfang Seitenende
02.07.2004, 13:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 @josie

Fixe mit dem HijackThis

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bessi.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://bessi.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://bessi.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\bessi.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bessi.dll/sp.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://bessi.dll/index.html#37680

O2 - BHO: (no name) - {E66033D3-0B56-750C-2254-9C91038A086C} - C:\WINDOWS\system32\appjo.dll

O4 - HKLM\..\Run: [atlvh32.exe] C:\WINDOWS\system32\atlvh32.exe
O4 - HKLM\..\RunOnce: [ipjn.exe] C:\WINDOWS\ipjn.exe
O4 - HKLM\..\RunOnce: [javaqg32.exe] C:\WINDOWS\system32\javaqg32.exe

neustarten


#Loesche
C:\WINDOWS\system32\appjo.dll
C:\WINDOWS\bessi.dll

#Lade dieses Tool DLLFix
http://www.zerosrealm.com/index.php?page=dllfix

#Lade mwav.exe ....scanne <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp

#Lade AdAware free...updaten vor dem Scannen !!! und Spybot von dieser Site
http://www.rokop-security.de/main/article.php?sid=703

#lade Spysweeper free
http://www.spysweeper.com/

#Lade Cwshredder
http://www.spywareinfo.com/~merijn/cwschronicles.html

#Lade SP
http://www.rokop-security.de/main/article.php?sid=746

Lade ClearProg und loesche die TemporaryInternetFiles und die Cookies
http://www.clearprog.de/

#Surfe nur mit Firefox...ist sicherer
http://www.firebird-browser.de/


Stelle im Firefox und im InternetOptionen eine neue Startseite ein und poste das Log noch mal.


MfG
Sabina
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 02.07.2004 um 13:17 Uhr von Sabina editiert.
Seitenanfang Seitenende
02.07.2004, 14:08
...neu hier

Beiträge: 2
#15 Danke für die schnelle und fachkundige Hilfe!!!

Die Datei javayg32.dll war leider nich zu finden, trotz eingeblendeter versteckter und Systemdateien usw. ... aber scheint ja auch so funktioniert zu haben!

meine neue logdatei ;)
___

Logfile of HijackThis v1.98.0
Scan saved at 14:05:45, on 02.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
C:\Programme\CyberLink\PowerVCRII\Agent.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\wanmpsvc.exe
C:\Dokumente und Einstellungen\Weich\Eigene Dateien\Downloads\für Graphik und Internet\HiJack-This\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kmtsj.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://kmtsj.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\kmtsj.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kmtsj.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://kmtsj.dll/index.html#96676
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\CyberLink\PowerVCRII\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] C:\Programme\CyberLink\PowerVCRII\RemoteAgent.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/dj/qdiagh.cab?223
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll
___


Die Probleme sind weg, keine dummen Popups und keine besch.....eidene Startseite mehr!!! DANKE DAFÜR
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: