Trojaner Dldr.PurScan.B.1 wird erkannt & gelöscht kommt immer wieder

#16 Hallo @hen
Nun ja, der Antivirus telefoniert mit sich selbst...
Das Kontrollprogramm kommuniziert hierbei
nur mit dem lokalen Computer unter 127.0.0.1 (localhost); es findet
keine Kommunikation mit dem Internet statt.
AVGNT.EXE (will eine Verbindung zu TCP
Port 18350 aufbauen) und die Datei AVGUARD.EXE (will als Server auf
Port 18350 "hören")
_________________________________________________________________-
Beispiel:
TCP 0.0.0.0:80 0.0.0.0:0 ABHÖREN
standardmäßig die IP-Adresse 0.0.0.0 mit Port 80 (Webseite auf Port 80) verbunden ist...hier surft man also nicht.(ABHOEREN)

es ist alles in Ordnung
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Hallo Sabina,

super dass es jetzt geschafft ist! Der Trojaner war wirklich hartnäckig!

Nochmal vielen, vielen Dank für Deine Hilfe!

#18 Hallo Sabina,
kannst mir auch sagen ob das ok ist?
Hab auch das link gedownloadet und es auch mal gemacht!
Bei mir schaut das so komisch aus!
Ich kann es leider nicht auswerten!

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP hatcem:epmap 0.0.0.0:0 ABHÖREN
TCP hatcem:microsoft-ds 0.0.0.0:0 ABHÖREN
TCP hatcem:1025 0.0.0.0:0 ABHÖREN
TCP hatcem:1026 0.0.0.0:0 ABHÖREN
TCP hatcem:5000 0.0.0.0:0 ABHÖREN
TCP hatcem:18350 0.0.0.0:0 ABHÖREN
TCP hatcem:1026 localhost:18350 HERGESTELLT
TCP hatcem:18350 localhost:1026 HERGESTELLT
UDP hatcem:microsoft-ds *:*
UDP hatcem:isakmp *:*
UDP hatcem:1030 *:*
UDP hatcem:1031 *:*
UDP hatcem:1051 *:*
UDP hatcem:1052 *:*
UDP hatcem:1053 *:*
UDP hatcem:1034 *:*
UDP hatcem:1039 *:*
UDP hatcem:1047 *:*
UDP hatcem:1270 *:*
UDP hatcem:1575 *:*
UDP hatcem:1900 *:*

#19 @Ruemeysa
Poste mal bitte das Log vom HijackThis dazu.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#20 Hallo Sabina,
danke für die schnelle Antwort!
Hier mein Logfile!
Ist das richtig gewesen das man die internet verbindung deakteviert, wenn man das mit den TCP macht?
Weil bei aktiver verbindung kommt was anderes raus!

Und noch was gestern da hatte ich keine firewall aktiviert!

Die habe ich jetzt gemacht und da kommt das hier raus:

*** netstat.exe -a - 27.08.2004 14:32:48 ***

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP hatcem:epmap 0.0.0.0:0 ABHÖREN
TCP hatcem:microsoft-ds 0.0.0.0:0 ABHÖREN
TCP hatcem:1025 0.0.0.0:0 ABHÖREN
TCP hatcem:1026 0.0.0.0:0 ABHÖREN
TCP hatcem:1027 0.0.0.0:0 ABHÖREN
TCP hatcem:5000 0.0.0.0:0 ABHÖREN
TCP hatcem:18350 0.0.0.0:0 ABHÖREN
TCP hatcem:1026 localhost:18350 HERGESTELLT
TCP hatcem:3002 0.0.0.0:0 ABHÖREN
TCP hatcem:3003 0.0.0.0:0 ABHÖREN
TCP hatcem:18350 localhost:1026 HERGESTELLT
UDP hatcem:microsoft-ds *:*
UDP hatcem:isakmp *:*
UDP hatcem:1028 *:*
UDP hatcem:3009 *:*
UDP hatcem:3017 *:*
UDP hatcem:3018 *:*
UDP hatcem:3019 *:*
UDP hatcem:3021 *:*
UDP hatcem:1900 *:*
UDP hatcem:3008 *:*
UDP hatcem:3015 *:*
UDP hatcem:3032 *:*
UDP hatcem:3062 *:*




Sondern das:

Logfile of HijackThis v1.98.2
Scan saved at 14:29:30, on 27.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\IEEE 802.11g USB Wireless LAN\IEEE 802.11g USB Wireless LAN\WlanUtil.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Rumeysa\LOKALE~1\Temp\Rar$EX00.890\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/slv/ycheck/as/*http://de.docs.yahoo.com/info/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/slv/ycheck/as/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/slv/ycheck/as/*http://search.yahoo.com/search?p=%s
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - Global Startup: IEEE 802.11g USB Wireless LAN Utility.lnk = C:\Programme\IEEE 802.11g USB Wireless LAN\IEEE 802.11g USB Wireless LAN\WlanUtil.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093192742203
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE6F5D75-03E4-4618-951D-6BA8C7019E96}: NameServer = 192.168.123.254

#21 TCP hatcem:1026 localhost:18350 HERGESTELLT
TCP hatcem:18350 localhost:1026 HERGESTELLT
der Antivirus telefoniert "mit sich selbst

TCP hatcem:1027 0.0.0.0:0 ABHÖREN
Internet-Pufferspeichers
jedoch per Firewall verwehrt, denn die Firewall soll ja nur die
ein- und ausgehenden Datenpakete des Internet-Pufferspeichers auf
REGELKONFORMITÄT prüfen, aber nicht selbst InternetDaten senden
und/oder empfangen].

TCP hatcem:5000 0.0.0.0:0 ABHÖREN...dort koennte ein Trojanerchen seine Lauscher ausgefahren haben (am Port 5000)....port 5000 (Back Door Setup, Bubbel, Ra1d, Sockets des Troie )
Man sollte unter <Diensten< den Plug&Play-Host auf manuell setzen.

am Besten, du machst mal einen PORT-Security-Scann
http://scan.sygatetech.com/

und liest dir das Bezueglich der Dienste durch
http://www.tippscout.de/Popup-Spam-unterbinden_tipp_1823.html
http://www.zdnet.de/z/itmanager/0,39023861,2103873-3,00.htm
weiter---

Ports schliessen (allgemeine Erklaerung)
http://www.emsisoft.de/de/kb/articles/tec021114/

Ansonsten kannst du zu jedem Port "googeln", das ist ein Thema , ohne Ende

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#22 Hallo Sabina,
danke dir erstmal wegen der Antwort!
Ich hab das mal mit den security scan gemacht!
Ich wusste aber nicht welches du genau meinst also habe ich mir alle durchgescannt und die jenigen rein kopiert die rot markiert sind!

Der Quick scan:#

Location Service 135 OPEN
Microsoft relies upon DCE Locator service (RPC) to remotely manage services like DHCP server, DNS server and WINS server.

NetBIOS 139 OPEN
NetBios is used to share files through your Network Neighborhood. If you are connected to the internet with this open, you could be sharing your whole hard drive with the world! This is a very dangerous port to have open.

UPnP 5000 OPEN
This is the port used by Universal Plug and Play (UPnP). If this port is open anyone on the Internet may be able to use your computer and run any malicious code on your computer.

ICMP 8 OPEN
An ICMP ping request is usually used to test Internet access. However, an attacker can use it to determine if your computer is available and what OS you are running. This gives him valuable information when he is determining what type of attack to use against you.

You are not fully protected:
We have detected that some of our probes connected with your computer.
---------------------------------------------------------------------------

Stealth Scan#

NetBIOS 139 OPEN
NetBios is used to share files through your Network Neighborhood. If you are connected to the internet with this open, you could be sharing your whole hard drive with the world! This is a very dangerous port to have open.

Server Message Block 445 OPEN
In Windows 2000, Microsoft added the possibility to run SMB directly over TCP/IP, without the extra layer of NBT.

You are not fully protected:
We have detected that some of our probes connected with your computer.
---------------------------------------------------------------------------

Trojan scann#

Trojan 5000 OPEN Bubbel, Back Door Setup, Sockets de Troie

You are not fully protected:
We have detected that some of our probes connected with your computer.
--------------------------------------------------------------------------

TCP scan#

Scanning ports 131 to 140 . . .

Location Service 135 OPEN
Microsoft relies upon DCE Locator service (RPC) to remotely manage services like DHCP server, DNS server and WINS server.

NetBIOS 139 OPEN
NetBios is used to share files through your Network Neighborhood. If you are connected to the internet with this open, you could be sharing your whole hard drive with the world! This is a very dangerous port to have open.

Scanning ports 441 to 450 . . .

Server Message Block 445 OPEN
In Windows 2000, Microsoft added the possibility to run SMB directly over TCP/IP, without the extra layer of NBT.

Scanning ports 1021 to 1024 . . .

(ab dem port ab hat es aufgehört und stand die untere nachricht!)

You are not fully protected:
We have detected that some of our probes connected with your computer.
--------------------------------------------------------------------------

UDP scan #

Testing . . .
Testing . . .
Testing . . .



We have determined that you have a firewall blocking UDP ports!
We are unable to scan any more UDP ports on IP: 80.136.142.244 . . .

You have blocked all of our probes! We still recommend running this test both with
and without Sygate Personal Firewall enabled... so turn it off and try the test again.

---------------------------------------------------------------------------

Hier bricht er ab obwohl ich die internetverbindungsfirewall deaktiviert habe um diesen scan durch zuführen!
Den letzen scan und zwar ICMP konnte ich nicht durchführen den machen sie nicht mehr!

Also im kurzen und ganzen hab ich gar nichts verstanden bin nur durcheinander habe das google durchgesucht wegen den sockets des troje aber bin zu keinem ergebnis gekommen!
Englisch kann ich auch nicht
Über diesen Port hast du was geschrieben was meinst du damit ist das ok oder nicht!

TCP hatcem:1027 0.0.0.0:0 ABHÖREN
Internet-Pufferspeichers
jedoch per Firewall verwehrt, denn die Firewall soll ja nur die
ein- und ausgehenden Datenpakete des Internet-Pufferspeichers auf
REGELKONFORMITÄT prüfen, aber nicht selbst InternetDaten senden
und/oder empfangen].

Sabina ich habe nicht viel erfahrung kannst du mir bitte sagen schrittweise was zu machen ist!
Ich wäre dir dankbar!
Wenn alles nichts nutzt dann formatiere ich die festplatte noch einmal!

#23 Hallo @Ruemeysa

Na, ich will es mal versuchen, obwohl ich (leider)kein Experte auf diesem Gebiet bin, aber ich mache mich im Net schlau.

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

#Ablagemappe
Starttyp-Empfehlung: Deaktiviert (aus Sicherheitsgründen)
"Ermöglicht der Ablagemappe, Informationen zu speichern und mit Remotecomputern auszutauschen. Wenn dieser Dienst beendet wird, wird die Ablagemappe keine Informationen mehr mit Remotecomputern austauschen können. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können."

#Automatische Updates
Starttyp-Empfehlung: Deaktiviert
"Aktiviert den Download und die Installation für wichtige Updates von Windows Update. Das Betriebssystem kann manuell über die Windows Update-Website aktualisiert werden, falls der Dienst deaktiviert wird."
Hinweis: Wenn Sie diesen Dienst deaktivieren möchten, sollten Sie zuerst die entsprechende Änderung in der Systemsteuerung vornehmen: Systemsteuerung > System > Automatische Updates > Automatische Updates deaktivieren

#FALLS DU NICHT ZU EINEM COMPUTERNETZWERK GEHOERST:
Computerbrowser
Starttyp-Empfehlung: Auf nicht-vernetzten Stand-Alone Systemen Deaktiviert
"Führt eine aktuelle Liste der Computer im Netzwerk und gibt diese an als Browser fungierende Computer weiter. Diese Liste wird nicht aktualisiert oder gewartet, falls der Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem ausschließlich Dienst abhängig sind, nicht mehr gestartet werden."

#Indexdienst
Starttyp-Empfehlung: Deaktiviert
"Indiziert Dateiinhalt und -eigenschaften auf lokalen und Remotecomputer und bietet schnellen Dateizugriff durch eine flexible Abfragesprache."

#Nachrichtendienst
Starttyp-Empfehlung: DEAKTIVIERT
"Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern.
(wird auch von Spyware-Software "gekapert"

NetMeeting-Remotedesktop-Freigabe
Starttyp-Empfehlung: Deaktiviert (aus Sicherheitsgründen)
"Ermöglicht einem autorisierten Benutzer an einem anderen Computer auf diesen Computer mit NetMeeting über ein Firmenintranet zuzugreifen. Wenn dieser Dienst beendet wird, ist die Remotedesktopfreigabe nicht mehr verfügbar. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden.

#Remote-Registrierung
Starttyp-Empfehlung: Deaktiviert (aus Sicherheitsgründen)
"Ermöglicht Remotebenutzern, Registrierungseinstellungen dieses Computers zu verändern. Wenn dieser Dienst beendet wird, kann die Registrierung nur von lokalen Benutzern dieses Computers verändert werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können.

#SSDP-Suchdienst
Starttyp-Empfehlung: Manuell
"Aktiviert die Ermittlung von UPnP-Geräten auf Heimnetzwerken.

NetBIOS 139 OPEN
#TCP/IP-NetBIOS-Hilfsprogramm
Starttyp-Empfehlung: Deaktiviert
"Ermöglicht die Unterstützung vom NetBIOS-über-TCP/IP-Dienst (NetBT) und die NetBIOS-Namensauflösung."
Hinweis: Für die meisten Netzwerkverbindungen nicht erforderlich, und zugleich ein potentielles Sicherheitsproblem. Sollten nach dieser Einstellung Netzwerkprobleme auftauchen, Einstellung zurücksetzen

#Telnet
Starttyp-Empfehlung: Deaktiviert (aus Sicherheitsgründen)
"Ermöglicht einem Remotebenutzer, sich an diesem Computer anzumelden und Programme auszuführen. Unterstützt verschiedene TCP/IP-Telnetclients, einschließlich UNIX-basierten und Windows-basierten Computern.

# TCP hatcem:5000
Universeller Plug & Play-Gerätehost
Starttyp-Empfehlung: Manuell
"Ermöglicht es, den Computer als Host für universelle Plug & Play-Geräte einzurichten."

#Windows-Zeitgeber
Starttyp-Empfehlung: Deaktiviert
"Verwaltet die Datum- und Uhrzeitsynchronisierung auf allen Clients und Servern im Netzwerk.

Notiere dir jede Veranderung.
__________________________________________________________________
#Protokoll ICMP Typ 8 offen
Ping bedeutet, daß Dein öffentlicher Port auf ICMP(Internet Control Message Protocol) Anfragen antwortet, damit kann zB. ein Hacker checken ob eine Netzwerkkarte gerade online ist.
Das sind wohl die "Portscanner ", bedeutet aber nicht, dass er gleich bei dir einbricht, nur wenn du einen Trojaner oder Backdoor beherbergst, der eine Verbindung zulaesst. (?)
Zitat:
Sorgen würde ich mir keine machen, das Einzige was ich empfehlen würde, wäre den Ping abzudrehen, damit hast Du 90 Prozent der Hacker also 100 Prozent der Möchtegernhacker ausgesperrt.
http://www.windows-netzwerke.de/cgi-bin/forum/yabb/YaBB.pl?board=8;action=display;num=1087468078

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#24 Hi,
ich hab auch so Probleme, aber konnte die Anleitung nicht umsetzen.
div. Service Packs und Sec-Updates sind schon aktiv.
Ich hab Win XP, bitte helfts mir halt: :-)

Hier mein Hijack:

Logfile of HijackThis v1.98.2
Scan saved at 02:20:29, on 28.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\crom32.exe
C:\Programme\Creative\Mouse Optical\mouse_2k.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe
C:\Programme\AntiVir\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\msdview32.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Babylon\Babylon.exe
c:\windows\temp\adware\fsg_4104.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Program Files\Altnet\Download Manager\asm.exe
C:\Program Files\Altnet\Points Manager\Points Manager.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\robert\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vjerp.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vjerp.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vjerp.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vjerp.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vjerp.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vjerp.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vjerp.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw=
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = res://mfwhq.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.surf-club.de;<local>
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {67B49BED-A2D3-932F-EB9E-2D6A37E0719B} - C:\WINDOWS\system32\ieue32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [WindowEnhancer] "C:\Programme\winex\v9\winex.EXE" /H
O4 - HKLM\..\Run: [Dpi] C:\Programme\Common Files\Dpi\dpi.exe
O4 - HKLM\..\Run: [crom32.exe] C:\WINDOWS\crom32.exe
O4 - HKLM\..\Run: [CreativeMouse ] C:\Programme\Creative\Mouse Optical\mouse_2k.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [DM_Server] C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe /onreboot
O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
O4 - HKLM\..\Run: [SysA] C:\windows\system32\winzev32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [appgg32.exe] C:\WINDOWS\system32\appgg32.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [Trickler] "c:\windows\temp\adware\fsg_4104.exe"
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O4 - HKLM\..\RunOnce: [netdm32.exe] C:\WINDOWS\system32\netdm32.exe
O4 - HKLM\..\RunOnce: [appuh32.exe] C:\WINDOWS\system32\appuh32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SoundView] C:\WINDOWS\System32\msdview32.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\RunOnce: [BullguardoptIn] C:\WINDOWS\Temp\BullGuard\bulldownload.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRxdm071
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} - http://www.addictivetechnologies.net/DM0/cab/ATPartners.cab
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://start.online-dialer.com/cax.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=4b1fb35342aede453d7d92acbf6997559e9e3fe51619010359bb38973e19599c432c83dd5982f6a56b6ce9a6c8b143e5fb6f71:cc0e6c80b387443bc8a6179139ffb119
O16 - DPF: {197AB1D7-A7DD-4C86-A938-1FCC0DB21B85} (DMProxyCtl Class) - http://dm.cometsystems.com/dm/dm_286.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversInitialSetup1.0.0.8.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll (file missing)

#25 Hallo @trixxs

Du hast einen VOELLIG verseuchten Computer, sogar zwei Dialer fehlen nicht, von dem Rest ganz zu schweigen.
Ich empfehle dir, neu zu installieren.
Wenn du die Reinigung dennoch versuchen willst:

scanne mit dem HijackThis, dann hake das hier an und <fix<, dann sofort neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vjerp.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vjerp.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vjerp.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vjerp.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vjerp.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vjerp.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vjerp.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw=
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = res://mfwhq.dll/index.html#96676

Wenn Sie die Seite 'www.surf-club.de; ' nicht kennen, sollte der Eintrag entfernt werden.
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.surf-club.

O2 - BHO: (no name) - {67B49BED-A2D3-932F-EB9E-2D6A37E0719B} - C:\WINDOWS\system32\ieue32.dll
O4 - HKLM\..\Run: [WindowEnhancer] "C:\Programme\winex\v9\winex.EXE" /H
O4 - HKLM\..\Run: [Dpi] C:\Programme\Common Files\Dpi\dpi.exe
O4 - HKLM\..\Run: [crom32.exe] C:\WINDOWS\crom32.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [DM_Server] C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe /onreboot
O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
O4 - HKLM\..\Run: [SysA] C:\windows\system32\winzev32.exe
O4 - HKLM\..\Run: [appgg32.exe] C:\WINDOWS\system32\appgg32.exe
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [Trickler] "c:\windows\temp\adware\fsg_4104.exe"
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\RunOnce: [netdm32.exe] C:\WINDOWS\system32\netdm32.exe
O4 - HKLM\..\RunOnce: [appuh32.exe] C:\WINDOWS\system32\appuh32.exe
O4 - HKCU\..\Run: [SoundView] C:\WINDOWS\System32\msdview32.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZRxdm071
DIALER (!)
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://start.online-dialer.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie
O16 - DPF: {197AB1D7-A7DD-4C86-A938-1FCC0DB21B85} (DMProxyCtl Class) - http://dm.cometsystems.com/dm
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebprodu

neustarten


#schau dir aber mal mit Kaspersky an, was du da so alles eingefangen hast: (poste es mir dann das Ergebnis )
http://www.kaspersky.com/remoteviruschk.html
C:\WINDOWS\crom32.exe
C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe
C:\WINDOWS\System32\msdview32.exe
c:\windows\temp\adware\fsg_4104.exe
C:\WINDOWS\crom32.exe
C:\windows\system32\winzev32.exe
C:\WINDOWS\system32\netdm32.exe
C:\Program Files\WindUpdates\WinUpdt.exe
C:\Programme\Common Files\Dpi\dpi.exe
C:\WINDOWS\system32\appgg32.exe
C:\Programme\winex\v9\winex.EXE

Deinstalliere:
C:\Programme\Common Files\Dpi\dpi.exe
C:\Programme\winex\v9\winex.EXE
C:\PROGRA~1\COMETS~1\DM\bin\dmserver.exe

und loesche:
C:\programme\comets~1\dm\bin\cssecure.dll
C:\programme\comets~1\dm\bin\dmproxy.dll
C:\programme\comets~1\dm\bin\dmserver.exe
C:\programme\comets~1
http://www.pestpatrol.com/pestinfo/c/comet_dmserver.asp
http://www.pctipp.ch/helpdesk/kummerkasten/archiv/viren/27935.asp

#Lade den Stinger und scanne
http://vil.nai.com/vil/stinger/

#deinstalliere den Antivirus(ist zerstoert) und lade neu
http://www.free-av.de/
Mache einen Vollscann (konfigurieren<alle Dateien und <Heuristik:mittel)

#Dann laedst du< eScan<erstelle vorher eine C:\ base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp% (

Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

Gehe unbedingt in den abgesicherten Modus (!)
http://www.bsi.de/av/texte/winsave.htm

#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.

Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal undostest du mir alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde und postest das neue Log vom HijackThis noch mal.(plus Infos von Kaspersky)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#26 Moin liebe Leute,
nun ist auch bei mir die Zeit gekommen mal nachzufragen. Bin selbst nicht ganz ohne was meinen PC angeht, aber jetzt ist Ende. Kazaa installiert sich immer wieder von alleine und lädt frei nach Schnauze alles runter was es so gibt, dann laufen super viele Prozesse die ich nicht kenne und die sich auch nicht einfach entfernen lassen. Habe über HijackThis mir die Regschlüssel gesucht und diese entfernt, sowie auch alle Datein und Ordner die damit zusammen hingen.....einmal Neustart und alles wieder da!
Kazaa lässt sich garnicht deinstallieren. Muss dazu sagen das ich auch noch NIE Kazaa genutzt habe, nicht einmal den installer hab ich mir gesaugt...von heut auf morgen da und will nicht mehr weg

Das sagt HijackThis:

Logfile of HijackThis v1.98.0
Scan saved at 19:24:38, on 03.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\Norton\navapsvc.exe
E:\Programme\Norton\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
E:\Programme\Norton\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\DG\LOKALE~1\Temp\Rar$EX00.610\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\programme\Acrobar Reader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] E:\PROGRA~1\Norton\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "E:\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html

Bin echt am verzweifeln, wer will schon Bilder von Kindern oder Musikstücke einer Musikrichtung die einem nicht zusagt?!?!
Wenn sich also jemand meiner Sache mal annehmen würde, wäre ich echt glücklich.
Ach, habe ne Neuinst. gerade vor 2 Wochen hinter mir wegen einem ähnlichen Fall. Wollte das eigentlich möglichst umgehen.

#27 Hallo @BecksGold

fixe mit dem HijackThisdann neustarten)

R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
F0 - system.ini: Shell=

neustarten

#Lade TuneUp2004 (30 Tage free) und versuche mit dem "SCHREDDER" alles von <Kazaa< zu loeschen.
http://www.tuneup.de/download/

# Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%

Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen)

3)Gehe unbedingt in den abgesicherten Modus (!)
http://www.bsi.de/av/texte/winsave.htm

#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.

4)Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#28 So, da bin ich wieder. Es sieht so aus als wären alle meine Probleme gelöst, bin angenehm überrascht. Habe vielen Dank für diese sehr hilfreichen Tips
Hier aber nochmal zur Kontrolle mein HijackThis Log und einige abschließende Fragen....
Welches AntiViren Prog kannst du empfehlen? (Hänge hinter einem Router/DSL)
Firewall?
Schließt das SP2 wirklich soviele Lücken und ist es sinnvoll zu installieren?

Logfile of HijackThis v1.98.0
Scan saved at 23:26:45, on 05.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\devldr32.exe
E:\Programme\Norton\navapsvc.exe
E:\Programme\Norton\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
E:\Programme\Norton\SAVScan.exe
E:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\DG\LOKALE~1\Temp\Rar$EX00.360\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\programme\Acrobar Reader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] E:\PROGRA~1\Norton\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html

Nochmal vielen Dank für die schnelle Hilfe aus der schönen Hansestadt Hamburg

#29 Hallo @BecksGold

Ueber SP2 gibt es geteilte Meinungen, einige sagen: installieren, andere raten noch zum Abwarten....
# Firewall :aktiviere die XP-Firewall (konfiguriere sie, dass es keine Probleme mit dem Router gibt)
#Das Log ist sauber , ich hoffe, dass die Probleme mit "Kazaa" weg sind, aber lade noch mal bitte dieses HijackThis (aktualisiert) und poste das Log noch mal.

http://www.downloads.subratam.org/hijackthis.zip
Es ist wegen dem Eintrag:F0 - system.ini: Shell=

mfg
Sabina (Gruss aus dem schoenen Lissabon)
__________
MfG Sabina

rund um die PC-Sicherheit

#30 Hatte die F0 system.ini: Shell= versucht zu fixen.....passierte aber nichts.
Jetzt nach dem Scan mit dem neuen HijackThis ist sie weg.
Mit Kazaa hat sich erledigt, hoffentlich kommt der Mist auch nicht wieder.
(Und wenn ja, weiß ich jetzt ja was ich dagegen machen kann , Danke nochmal)

Logfile of HijackThis v1.98.2
Scan saved at 17:10:37, on 06.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
E:\Programme\Norton\navapsvc.exe
E:\Programme\Norton\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
E:\Programme\Norton\SAVScan.exe
C:\Programme\Outlook Express\msimn.exe
E:\Programme\Norton\OPScan.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\DG\LOKALE~1\Temp\Rar$EX00.250\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\programme\Acrobar Reader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] E:\PROGRA~1\Norton\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html

Scheint alles im grünen Bereich zu sein.
Lissabon hört sich auch richtig gut an

B`Gold