O4 - HKCU\..\RunOnce: [TV Media] C:\Programme\TV Media\Tvm.exe

#1 Das was ich im Betreff hab, zeigt der mir als Böse an, ich fixe es, und beim nächsten Scan ist es wieder dabei *HILFE*
Danke schon im Voraus...
Tascha
----

Logfile of HijackThis v1.98.0
Scan saved at 16:31:24, on 31.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\McAfee\McAfee VirusScan\VsStat.exe
C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\soundman.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\McAfee\McAfee VirusScan\VsStat.exe
C:\WINDOWS\System32\mwbmoc.exe
C:\WINDOWS\System32\ippngine.exe
C:\Programme\ScannerU\AM32.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Yahoo!\Messenger\ypager.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\tascha\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\HijackThis.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe
C:\PROGRA~1\INCRED~1\bin\IncMail.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aislin.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.aislin.net/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.mediamarkt.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Programme\TV Media\TvmBho.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [soundmanager] soundman.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe
O4 - HKLM\..\Run: [VirusScanMSC] "C:\Programme\McAfee\McAfee VirusScan\VsStat.exe" /EMBEDDING
O4 - HKLM\..\Run: [xgeqfbpwcpj] C:\WINDOWS\System32\mwbmoc.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKLM\..\RunOnce: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\RunOnce: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - Global Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_01) -
O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -

#2 Du musst alles von tvmedia erwischen:

R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Programme\TV Media\TvmBho.dll
O4 - HKLM\..\RunOnce: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\RunOnce: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\Run: [xgeqfbpwcpj] C:\WINDOWS\System32\mwbmoc.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Starte neu und schicke bitte diese Datei C:\WINDOWS\System32\mwbmoc.exe an virus@protecus.de und loesche noch dieses Verzeichniss: C:\Programme\TV Media

Danach solltest du dich auch noch hier durcharbeiten:
http://board.protecus.de/t9373.htm
__________
MfG Ralf
SEO-Spam Hunter

#3 Hey...

Danke für die Antwort, Problem konnte ich schon beheben... Konnte den Ordner erst nicht löschen, über regedit musste ich dann gehen und selbst da hat er sich erst immer wieder neu installiert, aber nun ist dieser Ordner endlich weg und auch bei Hijack zeigt der mir nun nichts mehr an...

Danke nochmals für die Hilfe!!!
Tascha

#4 Super, hattest du diese Datei noch eingeschickt, oder gleich geloescht:
C:\WINDOWS\System32\mwbmoc.exe
__________
MfG Ralf
SEO-Spam Hunter

#5 Die hatte ich schon gelöscht, als du das geschrieben hattest...

Ist das schlimm?

#6 Nein, war nur neugierig. Wichtig ist eigentlich nur, das es "weg" ist.
__________
MfG Ralf
SEO-Spam Hunter

#7 Gut und weg ist jetzt alles... Aber wie schon mein 'Helferlein' sagte... Für heute... Als ich sagte, dass wär ja sehr motivierend, meinte er, er wäre Realist und kein Motivationskünstler *grins* Aber Recht hat er...

Zum Glück gibt es Leute wie euch

Tascha