Home » Viren, Trojaner & Malware Forum » hijackthis.log --> hab aber keine ahnung was damit anzufangen » Themenansicht

hijackthis.log --> hab aber keine ahnung was damit anzufangen
#0
05.09.2004, 11:01
chrischtbaum
Member

Beiträge: 19
#1 NEU:

hab noch ein anderes / besseres log... hab vorhin was aus probiert über ausführen-> msconfig-> systemstart und dann da sachen rausgenommen, hat mir dann immer so ein komisches fenster gebracht beim neustart. hab sie jetzt mal wieder rein getan und bekomme nun folgendes:

Logfile of HijackThis v1.98.2
Scan saved at 11:11:57, on 05.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Logitech(Maus)\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\EPFL\VPN Client\cvpnd.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DataLayer\DataLayer.exe
C:\PROGRA~1\Nokia\Nokia PC Suite 6\TrayApplication.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LuComServer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\cuxhdl.exe
C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\ServiceLayer.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Dokumente und Einstellungen\Huber\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.sg.hubermonsch.ch:3128
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\Nokia PC Suite 6\TrayApplication.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mmvmpxl] C:\WINDOWS\System32\cuxhdl.exe
O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: E-Mail.lnk = ?
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: MSN Messenger 6.2.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Juegos On Line - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\eurogamelandia\entrar.html (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/10e1d485f8899d9d4e06/netzip/RdxIE601_de.cab
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://www.pussyharem.com/stream/mmp.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {9DBAFCCF-592F-FFFF-FFFF-00608CEC297B} - http://web.net2phone.com/products/commcenter/download/bin/IXCommCenter.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697519} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_aac.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5916E459-9CE3-4021-8C8C-5FF4704944C7}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = epfl.ch
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = epfl.ch
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = epfl.ch



Danke für eure Hilfe!

chrischtbaum


ALT:

hallo zusammen!

ich hab hier mal nach einer beschreibung ein hijackthis.log erstellt weil ich das gefühl hab bei mir recht viel müll bei jedem systemstart mitgeladen wird, weil er einfach immer länger braucht um zu starten. Ad-aware hab ich schon mal drüber laufen lassen und hat auch einiges gefunden!

und weil ich einfach keine ahnung hab von dem ganzen wäre ich wirklich sehr froh wenn mir bitte jemand von euch sagen könnte, was ich jetzt mit all des Dingern anstellen muss!


hier das hijackthis.log:


Logfile of HijackThis v1.98.2
Scan saved at 10:55:33, on 05.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe
C:\Programme\EPFL\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Logitech(Maus)\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DataLayer\DataLayer.exe
C:\PROGRA~1\Nokia\Nokia PC Suite 6\TrayApplication.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\cuxhdl.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\ServiceLayer.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Winamp\Winamp 5.03\Winamp\winamp.exe
C:\Dokumente und Einstellungen\Huber\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.sg.hubermonsch.ch:3128
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\Nokia PC Suite 6\TrayApplication.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mmvmpxl] C:\WINDOWS\System32\cuxhdl.exe
O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: E-Mail.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: MSN Messenger 6.2.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Juegos On Line - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\eurogamelandia\entrar.html (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/10e1d485f8899d9d4e06/netzip/RdxIE601_de.cab
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://www.pussyharem.com/stream/mmp.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {9DBAFCCF-592F-FFFF-FFFF-00608CEC297B} - http://web.net2phone.com/products/commcenter/download/bin/IXCommCenter.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697519} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_aac.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5916E459-9CE3-4021-8C8C-5FF4704944C7}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = epfl.ch
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = epfl.ch
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = epfl.ch




DANKE!

chrischtbaum
Dieser Beitrag wurde am 05.09.2004 um 11:16 Uhr von chrischtbaum editiert.
Seitenanfang Seitenende
05.09.2004, 16:59
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo @chrischtbaum

#Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Fixe (dann neustarten)

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mmvmpxl] C:\WINDOWS\System32\cuxhdl.exe
O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe
O4 - Startup: E-Mail.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: MSN Messenger 6.2.lnk = ?
O9 - Extra button: Juegos On Line - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\eurogamelandia\entrar.html (file missing)

Wenn 'http://www.hp.com ' nicht ihr Internetanbieter oder Computerhersteller ist, sollte es gefixt werden.
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/10e1d485f8899d9d4e06/netzip/RdxIE601_de.cab
DIALER (!)
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://www.pussyharem.com/s
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab

Prüfen ob Sie diese Seite kennen und ggf. fixen.
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697519} (NsvPlayX Control) - http://www.nullsoft.com/nsv/e

Kennen Sie die IP oder die Domäne 'epfl.ch ' nicht, fixen.
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = epfl.ch
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = epfl.ch
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = epfl.ch

neustarten

#Loesche:
C:\WINDOWS\System32\cuxhdl.exe

#Loesche den Inhalt folgender Ordner:
• C:\Windows\Temp\
• C:\Documents and Settings\<Your Profile>\Local Settings\Temp\
• C:\Documents and Settings\<All other users Profile>\Local Settings\Temp\
• C:\Documents and Settings\<Your Profile>\Local Settings\Temporary Internet Files\ <---This will delete your internet cache--including cookies. This is recommended and strongly suggested.
• C:\Documents and Settings\<All other users Profile>\Local Settings\Temporary Internet Files\
• Empty your "Recycle Bin"

#Lade AdAware (free) scanne <alle Dateien<
http://www.lavasoft.de/support/download/

#Lade <eScan< (in C:\base entpacken, den du vorher erstellst)
http://www.mwti.net/antivirus/free_utilities.asp
# "kavupd.exe" suchen und anklicken.
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
#den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Clean-Scan" klicken.

#Dann kopiere aus dem Viewer alles ab, was <no action taken< ist, weil das manuell geloescht werden muss.
UND postest das neue Log vom HijackThis noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.09.2004 um 17:05 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.09.2004, 18:27
chrischtbaum
Member

Themenstarter

Beiträge: 19
#3 als ich jetzt den 2. scan ausführte stellte plötzlich der laptop aus... von einer zur anderen sekunde...



ich habs jetzt nochmals versucht und er hat wieder ausgestellt... was soll ich machen?

muss vielleicht noch sagen, dass ich vorhin 5 dateien nicht löschen konnte

~DF13FD.tmp
~DF94D6.tmp
~DF2359.tmp
~DFAA2F.tmp alle in C:\Dokumente und Einstellungen\Huber\Lokale Einstellungen\Temp


und

Perflib_Perfdata_6e0.dat in C:\WINDOWS\Temp
Dieser Beitrag wurde am 05.09.2004 um 18:50 Uhr von chrischtbaum editiert.
Seitenanfang Seitenende
05.09.2004, 19:08
Cidre
Member

Beiträge: 441
#4

Zitat

~DF13FD.tmp ~DF94D6.tmp ~DF2359.tmp ~DFAA2F.tmp
Dürften alles normale Temp Dateien, also kein Grund zur Besorgnis

Zitat

Perflib_Perfdata_6e0.dat
Das ist die Temporär-Datei des Systemmonitors, also ebenso kein Grund....

Probier den Scan im abgesicherten Modus und poste danach das Ergebnis:
http://www.bsi.de/av/texte/winsave.htm
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Dieser Beitrag wurde am 05.09.2004 um 19:09 Uhr von Cidre editiert.
Seitenanfang Seitenende
05.09.2004, 23:29
chrischtbaum
Member

Themenstarter

Beiträge: 19
#5 habs im abgesicherten modus versucht... bin dann kurz weg und als ich jetzt wieder kam war der laptop wieder aus... sprich auch das geht nicht! was soll ich denn nun machen?

ach ja und die cuxhdl.exe war schon wieder drinnen. die hat das programm noch gefunden bevor er ausstellte und auch files aus dem backup des hijackthis



danke für eure hilfe
chrischtbaum
Seitenanfang Seitenende
05.09.2004, 23:34
Cidre
Member

Beiträge: 441
#6 Welche Stromversorgung verwendest du, Netz oder Batterie?
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
05.09.2004, 23:49
chrischtbaum
Member

Themenstarter

Beiträge: 19
#7 netz natürlich, batterie wäre ja wohl ein wenig dämlich
Seitenanfang Seitenende
05.09.2004, 23:58
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo @chrischtbaum

"nCase" verbraucht ...80-100MB Speicher.

Gehe in die Registry
Start<Ausfuehren<regedit
loesche auf der rechten Seite der Registry

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\msbb'
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nCASE, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msbb HKEY_CURRENT_USER\Software\180solutions.

neustarten

#Loesche:
C:\WINDOWS\System32\cuxhdl.exe
Msbb.exe
delmsbb.exe,
dnxf.exe
delmsbb.exe
ncmyb.dll

#suche nach allen Eintraegen von : nCase (mit der Suchfunktion von Windows) und loesche sie.
.............................................................................................................
Deaktiviere mal den Symantec und versuche noch mal mit mwav.exe im abgesicherten Modus (ohne Internetverbindung) zu scannen. Notiere dir dann den Pfad, wo die Dialer sind, damit sie manuell geloescht werden koennen)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.09.2004 um 00:16 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.09.2004, 00:14
DonM
...neu hier

Beiträge: 4
#9 Hallo zusammen,

wäre jemand so nett meine hijackthis logfile auf eventuelle Fehler zu überprüfen? Besten Dank im Voraus!

Ach ja, genaue Hinweise wie ich bei Fehlern vorzugehen habe wären sehr hilfreich.

Logfile of HijackThis v1.98.2
Scan saved at 00:02:38, on 06.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\PROGRA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Micha\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gericom.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093426366406
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?322
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF4B7DD1-73F8-438C-ACC7-5BD4DB940F7A}: NameServer = 217.237.150.97 194.25.2.129
Seitenanfang Seitenende
06.09.2004, 00:17
Cidre
Member

Beiträge: 441
#10 @ DonM

Warum Doppelpost?
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
06.09.2004, 00:29
DonM
...neu hier

Beiträge: 4
#11 Habe in 2 Foren gepostet, da ich nicht wusste wie die Betreuung der Foren läuft. Offensichtlich schnell :-)

Habe den Verdacht, dass etwas mit meinem Rechner nicht stimmt, da seit Neuestem Programme wie Zonealarm und AntiVir (letzteres teilweise auch urplötzlich 'inactive') beim Hochfahren nicht direkt gestartet werden und meine T-Online Startsoftware enorm verspätet reagiert. Zudem zeigt Spybot immer den DSO Exploit an, entfernt ihn, beim nächsten Scan ist er wieder da. Warum?

Und, kannst Du mir was zu meiner logfile sagen? Alles ok?

Danke!
Seitenanfang Seitenende
06.09.2004, 00:44
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 @DonM
Obwohl das nicht dein Thread ist ;) ......das Log ist sauber.
Hast du schon mal mit Antivirus im abgesicherten Modus gescannt ?

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.09.2004 um 00:46 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.09.2004, 00:48
Cidre
Member

Beiträge: 441
#13 @ DonM

Dein Log-File ist bis auf diese Einträge soweit sauber.

Fixe:
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?322


Zitat

Zudem zeigt Spybot immer den DSO Exploit an, entfernt ihn, beim nächsten Scan ist er wieder da.
Das ist eine Sicherheitslücke im Internet Explorer die inzwischen geschlossen wurde, vorausgesetzt das dein System mit den entsprechenden Updates versorgt worden ist. Wenn Spybot Search & Destroy diese Meldung noch bringt, dann ist das ein Bug von Spybot.

Eine ausführliche Erklärung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=959
oder
du benutzt ein Tool wie "dsostop":
http://www.nsclean.com/dsostop.html

Zu deinem Problem:
Hast du irgendwelche Programme deinstalliert oder installiert?
Wie scharf hast du den AntiVir Guard eingestellt (Suchen bei Lesen und Schreiben)?
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
06.09.2004, 00:58
DonM
...neu hier

Beiträge: 4
#14 AVGuard sucht beim Lesen und Schreiben.

Habe einige Spiele deinstalliert, um Platz zu schaffen. Zuletzt habe ich Java Web Start installiert, um einen Online Virenscan durchzuführen. Sinnvoll?

Kann es durch Programme wie Tune Up Utilities oder Advanced Registry Optimizer zu Problemen kommen? Habe damit meine Registry bereinigt und defragmentiert.

Reichen Antivir & Zonealarm aus? Benutze außerdem regelmäßig AdAware, Spybot & McAffee Avert Stinger. Ist das ok, oder gibt es bessere Alternativen?

Wie genau fixe ich die angebenen Probleme?
Seitenanfang Seitenende
06.09.2004, 01:07
Cidre
Member

Beiträge: 441
#15 Ein Online Virenscan ist immer sinnvoll.
Defragmentiere auch mal deine Festplatte.
Mit den besagten Registry Cleaner kann es hin und wieder zu Problemen kommen.
Deaktiviere zum Testen einfach AntiVir und beobachte dann ob sich eine Verbesserung einstellt.

Zitat

Reichen Antivir & Zonealarm aus? Benutze außerdem regelmäßig AdAware, Spybot & McAffee Avert Stinger. Ist das ok, oder gibt es bessere Alternativen?
Alternativen gibt es genügend, siehe hier:
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

Fixen:
Haken setzten bei den von mir genannten Einträgen und auf Fix Checked klicken.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Dieser Beitrag wurde am 06.09.2004 um 01:17 Uhr von Cidre editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123