Home » Spyware & Browser Hijacker Support Forum » Internet Explorer geht nach ein paar Sekunden von selbst aus » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

Internet Explorer geht nach ein paar Sekunden von selbst aus

19.02.2005, 22:39

Rosinchen

...neu hier

Beiträge: 7

#1 Anbei meine HijackThis Log.

Logfile of HijackThis v1.99.1
Scan saved at 22:18:54, on 19.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\PROGRA~1\NORTON~2\NORTON~3\GHOSTS~2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\Program Files\AdStatus Service\AdStatServ.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\Program Files\Windows AdStatus\WinStat.exe
C:\WINDOWS\System32\gah95on6.exe
C:\Program Files\Nlud\Rsxk.exe
C:\Program Files\AdStatus Service\AdStatKeep.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\Program Files\Windows AdStatus\WinStatKeep.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe
C:\Programme\GL2422MP\WLANMON.exe
C:\WINDOWS\explorer.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Sina\Eigene Dateien\HijackThis.exe

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Programme\Etomi\Plugins\RazaWebHook.dll
O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL
O2 - BHO: BRedObj Class - {665ACD90-4541-4836-9FE4-062386BB8F05} - C:\Programme\flt\flt.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [ozad] C:\WINDOWS\ozad.exe
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [Golfczug] C:\Program Files\Nlud\Rsxk.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GL2422MP.lnk = ?
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download with &Etomi - res://C:\Programme\Etomi\Plugins\RazaWebHook.dll/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://xxxtoolbar.ath.cx/loud.chm::/bridge-c32.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/28ea6f334246e1a60118/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108324907497
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C7B05B62-C8D7-438C-840B-4994DAAA8EEE} - http://webpdp.gator.com/v3/download/pdpplugin5094_hd3ptdmgainads.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.stardialer.de/InstallationsAssistent.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B1CE333-A16D-4680-A519-CD6E1490B808}: NameServer = 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6DC5AD9-CD62-4E4C-BB28-5F4896D5913A}: NameServer = 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{2B1CE333-A16D-4680-A519-CD6E1490B808}: NameServer = 194.25.2.129
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~3\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Schon mal danke für die Hilfe

19.02.2005, 22:49

Tille

Member

Beiträge: 451

#2 Liebes Rosinchen

auch Du prüfe bitte Deinen Log vorher hier:
http://hijackthis.de/logfiles/e7c77f8185989b28515df596830cf61d.html

und fixe entsprechende Einträge, die Du nicht kennst..
__________
Anonymität im Internet ist, wenn Du keinen kennst, aber alle Dich.

19.02.2005, 23:21

Rosinchen

...neu hier

Themenstarter

Beiträge: 7

#3 Hab ich jetzt gemacht, funktioniert aber immer noch nicht. Hab nen neuen Log erstellt. Sieht jetzt so aus:

Logfile of HijackThis v1.99.1
Scan saved at 23:18:07, on 19.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\Program Files\AdStatus Service\AdStatServ.exe
C:\Program Files\Windows AdStatus\WinStat.exe
C:\WINDOWS\System32\gah95on6.exe
C:\Program Files\Nlud\Rsxk.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe
C:\Program Files\AdStatus Service\AdStatKeep.exe
C:\Program Files\Windows AdStatus\WinStatKeep.exe
C:\Programme\GL2422MP\WLANMON.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\PROGRA~1\NORTON~2\NORTON~3\GHOSTS~2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Sina\Eigene Dateien\HijackThis.exe

O2 - BHO: BRedObj Class - {665ACD90-4541-4836-9FE4-062386BB8F05} - C:\Programme\flt\flt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [Golfczug] C:\Program Files\Nlud\Rsxk.exe
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GL2422MP.lnk = ?
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download with &Etomi - res://C:\Programme\Etomi\Plugins\RazaWebHook.dll/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/28ea6f334246e1a60118/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108324907497
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B1CE333-A16D-4680-A519-CD6E1490B808}: NameServer = 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6DC5AD9-CD62-4E4C-BB28-5F4896D5913A}: NameServer = 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{2B1CE333-A16D-4680-A519-CD6E1490B808}: NameServer = 194.25.2.129
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~3\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

20.02.2005, 10:03

Heron

Member

Beiträge: 1132

#4 Hallo Rosinchen,

Lade folgende Programme herunter und update sie

AdAware
http://www.lavasoft.de/support/download/

Spybot S&D
http://www.safer-networking.org/de/download/index.html

Weiterhin herunterladen

KillBox
http://www.bleepingcomputer.com/files/killbox.php

Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren!

Gehe in den abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten), scanne mit HighjackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken)

O2 - BHO: BRedObj Class - {665ACD90-4541-4836-9FE4-062386BB8F05} - C:\Programme\flt\flt.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe

Rechner neu starten

Öffne die Killbox => Delete File on Reboot => und kopiere nacheinander die nachfolgenden Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usf. bis zur letzten Datei, dann mit "yes" antworten
C:\Programme\flt\flt.dll
C:\Program Files\AdStatus Service\AdStatServ.exe
C:\Program Files\Windows AdStatus\WinStat.exe
C:\Program Files\AdStatus Service\AdStatKeep.exe
C:\Program Files\Windows AdStatus\WinStatKeep.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe

Deaktiviere den Virenwächter und führe mit AdAware und Spybot S&D jeweils im abgesicherten und normalen Modus einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken)
(DSO Exploit im Spybot S&D kannst Du vernachlässigen, ist ein Bug im Programm. Wenn Du willst, kannst Du ihn mit dem Fix von http://www.majorgeeks.com/download4392.html beseitigen).
Virenwächter danach wieder aktivieren!

Überprüfe die folgenden Dateien bei Jotti's Malware Scan, solltest Du sie nicht kennen
http://virusscan.jotti.dhs.org/

C:\WINDOWS\System32\gah95on6.exe
C:\Program Files\Nlud\Rsxk.exe
C:\WINDOWS\System32\gah95on6.exe

Poste die Ergebnisse.

Poste das Log von AdAware und ein aktuelles HJT Log

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

Dieser Beitrag wurde am 20.02.2005 um 10:17 Uhr von Heron editiert.

20.02.2005, 12:44

Rosinchen

...neu hier

Themenstarter

Beiträge: 7

#5 Heron, du bist mein Ritter in goldener Rüstung. Danke für die Tips. Funktioniert jetzt wieder einwandfrei.

Anbei noch die Ergebis-Logs die du wolltest:

Logfile of HijackThis v1.99.1
Scan saved at 12:41:06, on 20.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\PROGRA~1\NORTON~2\NORTON~3\GHOSTS~2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\WINDOWS\System32\gah95on6.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe
C:\Programme\GL2422MP\WLANMON.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Sina\Eigene Dateien\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe"
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GL2422MP.lnk = ?
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/28ea6f334246e1a60118/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108324907497
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B1CE333-A16D-4680-A519-CD6E1490B808}: NameServer = 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6DC5AD9-CD62-4E4C-BB28-5F4896D5913A}: NameServer = 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{2B1CE333-A16D-4680-A519-CD6E1490B808}: NameServer = 194.25.2.129
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~3\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

ArchiveData(auto-quarantine- 2005-02-20 11-42-46.bckp)
Referencefile : SE1R28 16.02.2005
======================================================

ALTNETBDE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Regkey : software\classes\interface\{e813099d-5529-47f4-9b37-4afafcb00a43}
obj[1]=RegValue : software\classes\interface\{e813099d-5529-47f4-9b37-4afafcb00a43} ""
obj[2]=Regkey : software\classes\interface\{ad5bc1f0-72d8-44b3-8e3d-8e8fecce43fb}
obj[3]=RegValue : software\classes\interface\{ad5bc1f0-72d8-44b3-8e3d-8e8fecce43fb} ""
obj[4]=Regkey : software\classes\appid\{8b0fef15-54dc-49f5-8377-8172de975f75}
obj[5]=RegValue : software\classes\appid\{8b0fef15-54dc-49f5-8377-8172de975f75} ""
obj[6]=Regkey : software\altnet
obj[7]=RegValue : software\altnet "SharedMediaDir"
obj[8]=Regkey : software\classes\appid\altnet signing module.exe
obj[9]=RegValue : software\classes\appid\altnet signing module.exe "AppID"
obj[152]=Folder : C:\WINDOWS\temp\Altnet
obj[203]=File : C:\WINDOWS\Temp\Altnet\pmfiles.cab
obj[204]=File : C:\WINDOWS\temp\altnet\Atl.dll
obj[205]=File : C:\WINDOWS\temp\altnet\bdedata2.dll
obj[206]=File : C:\WINDOWS\temp\altnet\bdedownloader.dll
obj[207]=File : C:\WINDOWS\temp\altnet\bdefdi.dll
obj[208]=File : C:\WINDOWS\temp\altnet\dman25.dll
obj[209]=File : C:\WINDOWS\temp\altnet\dmanu4.cab
obj[210]=File : C:\WINDOWS\temp\altnet\dmfiles.cab
obj[211]=File : C:\WINDOWS\temp\altnet\DMinfo2.cab
obj[212]=File : C:\WINDOWS\temp\altnet\dminstall2.cab
obj[213]=File : C:\WINDOWS\temp\altnet\msvcirt.dll
obj[214]=File : C:\WINDOWS\temp\altnet\mysearch.cab
obj[215]=File : C:\WINDOWS\temp\altnet\pmexe.cab
obj[216]=File : C:\WINDOWS\temp\altnet\pmfiles.cab
obj[217]=File : C:\WINDOWS\temp\altnet\pminstall.cab
obj[218]=File : C:\WINDOWS\temp\altnet\Setup.cab
obj[219]=File : C:\WINDOWS\temp\altnet\setup.exe

BRILLIANTDIGITAL
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[10]=Regkey : appid\installman.exe
obj[11]=RegValue : appid\installman.exe "AppID"
obj[12]=Regkey : appid\{7dab5f7a-8c49-4538-a1c2-78d81fdf3f9b}
obj[13]=RegValue : appid\{7dab5f7a-8c49-4538-a1c2-78d81fdf3f9b} ""
obj[14]=Regkey : interface\{817b054a-de21-44e2-b2d5-b7bdd3f26a42}
obj[15]=RegValue : interface\{817b054a-de21-44e2-b2d5-b7bdd3f26a42} ""
obj[16]=Regkey : interface\{f2ac7a7b-dffe-4036-8561-54c88efe544a}
obj[17]=RegValue : interface\{f2ac7a7b-dffe-4036-8561-54c88efe544a} ""
obj[18]=Regkey : typelib\{74cda0ec-917b-4330-9702-6d4796d2d5ef}
obj[19]=Regkey : software\brilliant digital entertainment
obj[153]=Folder : C:\DOKUME~1\Sina\LOKALE~1\Temp\BDECache
obj[202]=File : C:\WINDOWS\Temp\Altnet\dmanu4.cab

CLARIA
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[20]=Regkey : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c}
obj[21]=RegValue : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} "GEF"
obj[22]=RegValue : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} "GMG"
obj[23]=RegValue : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} "PluginPdpSuccess"
obj[24]=RegValue : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} "uets"
obj[25]=RegValue : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} "GMI"
obj[26]=RegValue : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} "LastInstall"
obj[27]=RegValue : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} "SSeq"
obj[28]=RegValue : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} "SEvt"
obj[29]=RegValue : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} "PAK"
obj[30]=RegValue : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} "SiSeq"
obj[31]=RegValue : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} "SiH"
obj[32]=Regkey : software\gator.com
obj[220]=File : C:\WINDOWS\GatorHDPlugin.log
obj[221]=File : C:\WINDOWS\GatorPatch.log
obj[222]=File : C:\WINDOWS\GatorPdpPlugin.log
obj[223]=File : C:\WINDOWS\GatorPdpSetup.log
obj[224]=File : C:\WINDOWS\GatorUninstaller_cme.log
obj[225]=File : C:\WINDOWS\GatorUninstaller_cme_u.log

CYDOOR
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[33]=Regkey : S-1-5-21-2169616200-4019700484-2048041590-1005\software\cydoor
obj[34]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\software\cydoor "Desc2"
obj[35]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\software\cydoor "UserCode"
obj[36]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\software\cydoor "ShowChange"
obj[37]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\software\cydoor "ConnType"
obj[38]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\software\cydoor "HIS_7"
obj[39]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\software\cydoor "RHIS_7"
obj[40]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\software\cydoor "DHIS_7"
obj[41]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\software\cydoor "HIS_5"
obj[42]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\software\cydoor "RHIS_5"
obj[43]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\software\cydoor "DHIS_5"
obj[44]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\software\cydoor "HIS_6"
obj[45]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\software\cydoor "RHIS_6"
obj[46]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\software\cydoor "DHIS_6"
obj[47]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\software\cydoor "DelHistDate"
obj[48]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\software\cydoor "DHIS_0"
obj[49]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\software\cydoor "RHIS_0"
obj[50]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\software\cydoor "Errors"
obj[51]=Regkey : software\cydoor
obj[52]=RegValue : software\cydoor "AdwrCnt"
obj[53]=Regkey : S-1-5-21-2169616200-4019700484-2048041590-1005\\software\cydoor
obj[54]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\\software\cydoor "Desc2"
obj[55]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\\software\cydoor "UserCode"
obj[56]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\\software\cydoor "ShowChange"
obj[57]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\\software\cydoor "ConnType"
obj[58]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\\software\cydoor "HIS_7"
obj[59]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\\software\cydoor "RHIS_7"
obj[60]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\\software\cydoor "DHIS_7"
obj[61]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\\software\cydoor "HIS_5"
obj[62]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\\software\cydoor "RHIS_5"
obj[63]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\\software\cydoor "DHIS_5"
obj[64]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\\software\cydoor "HIS_6"
obj[65]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\\software\cydoor "RHIS_6"
obj[66]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\\software\cydoor "DHIS_6"
obj[67]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\\software\cydoor "DelHistDate"
obj[68]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\\software\cydoor "DHIS_0"
obj[69]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\\software\cydoor "RHIS_0"
obj[70]=RegValue : S-1-5-21-2169616200-4019700484-2048041590-1005\\software\cydoor "Errors"
obj[196]=File : C:\Dokumente und Einstellungen\Sina\Lokale Einstellungen\Temp\cd_clint.dll
obj[226]=File : C:\DOKUME~1\Sina\LOKALE~1\Temp\cd_clint.dll

DIALER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[71]=Regkey : typelib\{d681a72e-fecc-4002-90ad-ea8f97b377c3}

DYFUCA
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[72]=Regkey : typelib\{40b1d454-9ca4-43cc-86aa-cb175eac52fb}
obj[73]=Regkey : typelib\{0be10b0d-b4db-4693-9b1f-9aead54d17dc}
obj[74]=Regkey : interface\{1c01d150-91a4-4de0-9bf8-a35d1bdf1001}
obj[75]=RegValue : interface\{1c01d150-91a4-4de0-9bf8-a35d1bdf1001} ""
obj[76]=Regkey : dyfuca_bh.sinkobj.1
obj[77]=RegValue : dyfuca_bh.sinkobj.1 ""
obj[78]=Regkey : dyfuca_bh.sinkobj
obj[79]=RegValue : dyfuca_bh.sinkobj ""
obj[80]=Regkey : dyfuca_bh.bhobj.1
obj[81]=RegValue : dyfuca_bh.bhobj.1 ""
obj[82]=Regkey : dyfuca_bh.bhobj
obj[83]=RegValue : dyfuca_bh.bhobj ""
obj[84]=Regkey : clsid\{cea206e8-8057-4a04-ace9-ff0d69a92297}
obj[85]=RegValue : clsid\{cea206e8-8057-4a04-ace9-ff0d69a92297} ""
obj[86]=Regkey : S-1-5-21-2169616200-4019700484-2048041590-1005\software\avenue media
obj[87]=Regkey : software\microsoft\windows\currentversion\uninstall\dyfuca
obj[93]=Regkey : software\avenue media\internet optimizer
obj[94]=RegValue : software\avenue media\internet optimizer "TargetDir"
obj[95]=RegValue : software\avenue media\internet optimizer "CLS"
obj[96]=RegValue : software\avenue media\internet optimizer "RID"
obj[97]=RegValue : software\avenue media\internet optimizer "Version"
obj[98]=RegValue : software\avenue media\internet optimizer "TAC"
obj[99]=RegValue : software\avenue media\internet optimizer "ServerVisited"
obj[100]=RegValue : software\avenue media\internet optimizer "UpdateInterval"
obj[101]=RegValue : software\avenue media\internet optimizer "ID"
obj[102]=RegValue : software\avenue media\internet optimizer "InstallT"
obj[103]=RegValue : software\avenue media\internet optimizer "remember[LLT]"
obj[104]=RegValue : software\avenue media\internet optimizer "Conn"
obj[105]=RegValue : software\avenue media\internet optimizer "403"
obj[106]=RegValue : software\avenue media\internet optimizer "404"
obj[107]=RegValue : software\avenue media\internet optimizer "410"
obj[108]=RegValue : software\avenue media\internet optimizer "500"
obj[109]=RegValue : software\avenue media\internet optimizer "PendingRemoval"
obj[110]=Regkey : software\avenue media
obj[154]=Regkey : software\microsoft\windows\currentversion\uninstall\wsem update
obj[155]=RegValue : software\microsoft\windows\currentversion\uninstall\wsem update "DisplayName"
obj[156]=RegValue : software\microsoft\windows\currentversion\uninstall\wsem update "UninstallString"

FLASHTRACK
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[111]=Regkey : bredobj.bredobj
obj[112]=RegValue : bredobj.bredobj ""
obj[113]=Regkey : bredobj.bredobj.1
obj[114]=RegValue : bredobj.bredobj.1 ""
obj[115]=Regkey : interface\{6e83ae1c-f69c-4aed-af98-d23c24c6fa4b}
obj[116]=RegValue : interface\{6e83ae1c-f69c-4aed-af98-d23c24c6fa4b} ""
obj[117]=Regkey : typelib\{7955ea20-e0d6-4a77-88b6-120674d979ea}
obj[118]=Regkey : software\flt
obj[119]=RegValue : software\flt "Revision"
obj[120]=RegValue : software\flt "URLListName"
obj[121]=RegValue : software\flt "Code"
obj[122]=RegValue : software\flt "Group"
obj[123]=RegValue : software\flt "FreqTime"
obj[124]=RegValue : software\flt "Version"
obj[125]=RegValue : software\flt "CLSID"
obj[157]=Regkey : software\classes\typelib\{7955ea20-e0d6-4a77-88b6-120674d979ea}
obj[158]=Folder : C:\Programme\flt
obj[229]=File : C:\Programme\flt\P2PSecure.exe

MAINPEAN DIALER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[126]=Regkey : software\intexusdial
obj[127]=RegValue : software\intexusdial "Pre"
obj[128]=RegValue : software\intexusdial "PreNumber"
obj[129]=RegValue : software\intexusdial "DeviceName"
obj[130]=RegValue : software\intexusdial "Country"
obj[131]=RegValue : software\intexusdial "Language"
obj[132]=RegValue : software\intexusdial "Machine"
obj[133]=RegValue : software\intexusdial "InstallFlags"
obj[134]=RegValue : software\intexusdial "PassFlags"
obj[135]=RegValue : software\intexusdial "Password"
obj[230]=File : c:\log.txt

SAHAGENT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[136]=Regkey : software\winsock2\layered provider sample
obj[231]=File : C:\DOKUME~1\Sina\LOKALE~1\Temp\bundle.inf

SEARCH RELEVANCY
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[137]=Regkey : searchrelevancy
obj[138]=RegValue : searchrelevancy ""
obj[139]=Regkey : software\microsoft\windows\currentversion\uninstall\search relevancy
obj[140]=RegValue : software\microsoft\windows\currentversion\uninstall\search relevancy "DisplayName"
obj[141]=RegValue : software\microsoft\windows\currentversion\uninstall\search relevancy "UninstallString"
obj[199]=File : C:\Programme\SearchRelevant\SearchRelevant.xml

WEBDIALER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[142]=Regkey : S-1-5-21-2169616200-4019700484-2048041590-1005\software\webdialer

180SOLUTIONS
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[143]=RegValue : software\salm "partner_id"
obj[159]=Regkey : software\microsoft\internet explorer\explorer bars\{30d02401-6a81-11d0-8274-00c04fd5ae38}
obj[160]=RegValue : software\microsoft\internet explorer\explorer bars\{30d02401-6a81-11d0-8274-00c04fd5ae38} "BarSize"
obj[161]=Regkey : software\salm
obj[162]=RegValue : software\salm "last_conn_h"
obj[163]=RegValue : software\salm "last_conn_l"
obj[164]=RegValue : software\salm "we"
obj[165]=RegValue : software\salm "cdata"
obj[166]=RegValue : software\salm "TimeOffset"
obj[167]=RegValue : software\salm "action_url_version"
obj[168]=RegValue : software\salm "action_url_last_chunk"
obj[169]=RegValue : software\salm "action_url_last_full_version"
obj[170]=RegValue : software\salm "key_file"
obj[171]=RegValue : software\salm "kw_last_chunk"
obj[172]=RegValue : software\salm "geourl_last_full_version"
obj[173]=RegValue : software\salm "geourl_current_version"
obj[174]=RegValue : software\salm "actionurl_last_full_version"
obj[175]=RegValue : software\salm "actionurl_current_version"
obj[176]=RegValue : software\salm "keyword_last_full_version"
obj[177]=RegValue : software\salm "keyword_current_version"
obj[178]=RegValue : software\salm "recent_shown"
obj[179]=RegValue : software\salm "key_int_high"
obj[180]=RegValue : software\salm "key_int_low"
obj[181]=RegValue : software\salm "int_high"
obj[182]=RegValue : software\salm "int_low"
obj[183]=Regkey : software\salm
obj[184]=RegValue : software\salm "mt1"
obj[185]=RegValue : software\salm "mt2"
obj[186]=RegValue : software\salm "mt3"
obj[187]=RegValue : software\salm "gma"
obj[188]=RegValue : software\salm "gvi"
obj[189]=RegValue : software\salm "gpi"
obj[190]=RegValue : software\salm "boom"
obj[191]=RegValue : software\salm "boom_ver"
obj[192]=RegValue : software\salm "did"
obj[193]=RegValue : software\salm "duid"
obj[194]=RegValue : software\salm "product_id"
obj[195]=RegValue : software\salm "umt"
obj[197]=File : C:\Dokumente und Einstellungen\Sina\Lokale Einstellungen\Temp\Del2C.tmp
obj[198]=File : C:\Dokumente und Einstellungen\Sina\Lokale Einstellungen\Temp\Del6.tmp
obj[200]=File : C:\temp\salm.exe
obj[201]=File : C:\temp\salmhook.dll
obj[227]=File : C:\DOKUME~1\Sina\LOKALE~1\Temp\del2c.tmp
obj[228]=File : C:\DOKUME~1\Sina\LOKALE~1\Temp\del6.tmp
obj[232]=File : c:\temp\salm.log

TRACKING COOKIE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[144]=IECache Entry : Cookie:sina@www.shopathomeselect.com/
obj[145]=IECache Entry : Cookie:sina@doubleclick.net/
obj[146]=IECache Entry : Cookie:sina@hitbox.com/
obj[147]=IECache Entry : Cookie:sina@servedby.advertising.com/
obj[148]=IECache Entry : Cookie:sina@advertising.com/
obj[149]=IECache Entry : Cookie:sina@ehg-dig.hitbox.com/
obj[150]=IECache Entry : Cookie:sina@as1.falkag.de/
obj[151]=IECache Entry : Cookie:sina@maxserving.com/

OTHER
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[233]=File : C:\WINDOWS\prefetch\DEL6.TMP-296364BC.pf
obj[234]=File : C:\WINDOWS\prefetch\NSSETUP.EXE-2A57571F.pf
obj[235]=File : C:\WINDOWS\prefetch\NSSETUP.EXE-2D4537E8.pf
obj[236]=File : C:\WINDOWS\prefetch\SETUP.EXE-1735824A.pf
obj[237]=File : C:\WINDOWS\prefetch\SETUP.EXE-24311D22.pf
obj[238]=File : C:\WINDOWS\prefetch\DEL6.TMP-296364BC.pf

ArchiveData(auto-quarantine- 2005-02-20 12-07-22.bckp)
Referencefile : SE1R28 16.02.2005
======================================================

SAHAGENT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Regkey : software\winsock2\layered provider sample

ArchiveData(auto-quarantine- 2005-02-20 12-25-08.bckp)
Referencefile : SE1R28 16.02.2005
======================================================

SAHAGENT
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Regkey : software\winsock2\layered provider sample

Nochmal vielen Dank. Und hoffentlich auf nimmer Wiedersehen;-)

Gruss
Rosinchen

20.02.2005, 13:06

Heron

Member

Beiträge: 1132

#6 Hallo Rosinchen,

hattest ja ordentlich was drauf an Spyware und Dialern!

Bitte lösche noch mit der Killbox
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe

Mache auch noch Folgendes:

RegCleaner
http://www.chip.de/downloads/c_downloads_8830516.html
Lade das Programm, wähle "Deutsch" als Sprache und säubere die Registry mit Tools => Registry säubern => alles durchführen => alle gefundenen Objekte markieren => markierte entfernen (Du kannst alles Angezeigte loeschen, denn es das Programm legt eine Sicherung an, die später bei evtl. Problemen wiederhergestellt werden kann)

ClearProg 1.4.1
http://www.clearprog.de/downloads.php
Surfspuren löschen. Alle Kategorien unter Internetexplorer und Windows im rechten Fenster ankreuzen und "Löschen" drücken.

Was machen die Ergebnisse von Jotti's Malware Scan mit den angegebenen Dateien?

Zitat

Nochmal vielen Dank. Und hoffentlich auf nimmer Wiedersehen

Das liegt auch an Dir!
Konfiguriere den IE sicherer (Activex und Java sowie Javascript in der Internetzone deaktivieren) und Vorsicht beim Surfen!
Oder verwende am Besten gleich einen Alternativ-Browser (Mozilla, Firefox). Anleitungen dazu findest Du hier im Board mit der Suchfunktion.

Und ganz wichtig: Benutzerkonto mit eingeschränkten Rechten erstellen! Nur mit diesem Konto surfen, niemals als Admin!! Adminkonto nur noch zum Windows-Update benutzen.

Gruß
Heron

edit:
Fixe auch noch einmal mit HJT
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe

und poste ein aktuelles HJT Log
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

Dieser Beitrag wurde am 20.02.2005 um 14:03 Uhr von Heron editiert.

20.02.2005, 14:29

Rosinchen

...neu hier

Themenstarter

Beiträge: 7

#7 OK, hab die zwei Programme laufen lassen und die Einträge gelöscht.

C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
hab ich mit der Killbox gelöscht.

O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
hab ich gefixt.

O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
wurde im HJT nicht mehr angezeigt.

Jottis Malware Scan sagt folgendes: Bei C:\Program Files\Nlud\Rsxk.exe kommt folgende Meldung:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

Bei C:\WINDOWS\System32\gah95on6.exe sagt er folgendes:
Service load: 0% 100%

File: gah95on6.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: None

AntiVir No viruses found (0.79 seconds taken)
Avast No viruses found (1.53 seconds taken)
AVG Antivirus No viruses found (0.46 seconds taken)
BitDefender No viruses found (0.50 seconds taken)
ClamAV No viruses found (1.34 seconds taken)
Dr.Web not a virus Adware.SAHAgent (1.65 seconds taken)
F-Prot Antivirus No viruses found (0.18 seconds taken)
Fortinet No viruses found (0.78 seconds taken)
Kaspersky Anti-Virus not-a-virus:AdWare.Sahat.l (1.97 seconds taken)
mks_vir .Sahat.Gahon (0.41 seconds taken)
NOD32 No viruses found (0.91 seconds taken)
Norman Virus Control ShopAtHome.B (0.42 seconds taken)

Statistics
Last piece of malware found was W32/Dialer.gen in dlctrl2.oc_, detected by:

Scanner Malware name Time taken
AntiVir TR/Dldr.Pornet.C.1 1.60 seconds
Avast Win32

ialer-304 3.02 seconds
AVG Antivirus Dialer.15.J 0.78 seconds
BitDefender X 1.02 seconds
ClamAV Dialer.gen-69 0.83 seconds
Dr.Web X 1.39 seconds
F-Prot Antivirus W32/Qdialer.G 0.21 seconds
Fortinet X 1.24 seconds
Kaspersky Anti-Virus Trojan.Win32.Dialer.cx 3.93 seconds
mks_vir Dialer.Cx 1.14 seconds
NOD32 X 1.99 seconds
Norman Virus Control W32/Dialer.gen 0.32 seconds

Service statistics:

10700 files (7096 of those unique) have been uploaded & scanned since 14/02/2005, the day of the last database purge.
1965 of those 7096 files contained a virus or any other form of malware.
This page has been visited 18611 times in this time period.
This service managed to spot 166 pieces of malware no vendor used knew about at the time of uploading.
The service also warned against 1277 suspicious files without any help from scanner results.
However, 0 files reported to be OK were found out to be malware later (this is checked daily).
As far as can be told, all this together makes this service 100.00% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism.

No I am not sitting still! A new, better version of this service is being developed.
If you have suggestions and/or comments, please send me them!
Most popular malware:

Rank Malware name Uploaded Last known filename
1 trojan.spy.agent.y 194 times s_Powerminer.exe
2 trojan.arun 90 times arun.exe
3 worm/robobot 74 times install.exe
4 trojan-downloader.win32.agent.bq 57 times ntek32.exe
5 tr/agent.bd 48 times Mikes_AimbotUpdate_Pluss.rar
6 tr/startpage.tj 39 times addsu32.exe
7 backdoor.inpru 36 times img1.gif
8 win32:trojan-gen. {other} 36 times inst_vac_god_bypass.exe
9 win32.worm.bropia.m 31 times MS-DOS_executable_rar.tar
10 tr/psw.ldpinch.jm1 31 times UberVac__1_.29_w_bypasser.exe
11 bds/mosucker.07a.2 27 times UDS.exe
12 trojan.clicker.small.dm 25 times 1312887.exe
13 tr/madtol.a.10 22 times Proshot_EvD___Swear__2_.zip
14 trojan.muldrop.668 22 times obelix.vbs
15 eicar-test-signature 21 times Virus_Test_File.exe

So, zum Schluss noch die aktuelle HJT:

Logfile of HijackThis v1.99.1
Scan saved at 14:19:14, on 20.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\WINDOWS\System32\gah95on6.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\GL2422MP\WLANMON.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\PROGRA~1\NORTON~2\NORTON~3\GHOSTS~2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Sina\Eigene Dateien\Anwendungen\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GL2422MP.lnk = ?
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/28ea6f334246e1a60118/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108324907497
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B1CE333-A16D-4680-A519-CD6E1490B808}: NameServer = 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6DC5AD9-CD62-4E4C-BB28-5F4896D5913A}: NameServer = 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{2B1CE333-A16D-4680-A519-CD6E1490B808}: NameServer = 194.25.2.129
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~3\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Werd mich noch nach dem Firefox-Browser umschauen und ein seperates Benutzerkonto einrichten.

Gruss
Rosinchen

20.02.2005, 15:11

Heron

Member

Beiträge: 1132

#8 O.K. sieht schon besser aus!

Bitte noch mit HJT fixen
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe

und mit der Killbox löschen
C:\WINDOWS\System32\gah95on6.exe

So, dann kommt die vorläufig letzte Runde (nach wie vor bei deaktivierter Systemwiderherstellung!):

eScan Erkennungstool
http://www.mwti.net/antivirus/free_utilities.asp

erstelle einen Ordner c:\bases
das Programm in den Ordner c:\bases entpacken und danach Update mit kavupd.exe durchführen (kann eine Weile dauern)

Starte den Rechner im abgesicherten Modus (F8 drücken beim Booten)

Das Programm mit "mwav.exe"(oder: "mwavscan.com") starten. Überall die Häkchen setzen bei:
All Files, Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder C:\WINDOWS, Include Subdirectories
=> und dann "Scan" klicken.
Nach abgeschlossenem Scan öffne das Log und suche (Bearbeiten => Suchen) nach Zeilen mit "infected" (ohne die Anführungszeichen). Jede einzelne Zeile, die Du findest, abkopieren und posten. Am Ende des Log steht die Zusammenfassung, die bitte auch posten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

Dieser Beitrag wurde am 20.02.2005 um 15:25 Uhr von Heron editiert.

20.02.2005, 17:48

Rosinchen

...neu hier

Themenstarter

Beiträge: 7

#9 So, hat ne Weile gedauert. Also gah95on6.exe hab ich gefixt und gelöscht. Brauchst du da nochmal ne aktuelle HJT?

Beim Scan mit dem Programm kam folgendes raus:

File C:\WINDOWS\70tovmto.exe infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\2b3fsk0h.dll infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\bln02nqv.exe infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\05EC32A3 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\05EF5C9F infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\05F2069B infected by "not-a-virus

orn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\11403F5B infected by "not-a-virus

orn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\12161E8A infected by "not-a-virus

orn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\14D32F1E infected by "not-a-virus:AdWare.WinAD.s" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\14D6591A infected by "not-a-virus:AdWare.WinAD.u" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\2780300E infected by "Trojan-Downloader.Win32.Dyfuca.dp" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\27845A0B infected by "Trojan-Downloader.Win32.Dyfuca.dp" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\27870407 infected by "not-a-virus:AdWare.WinAD.r" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\278A2E03 infected by "not-a-virus:AdWare.WinAD.p" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\278E5800 infected by "Trojan-Downloader.Win32.Dyfuca.gen" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\442D3BE6 infected by "not-a-virus:AdWare.Gator.4010" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\4D714017 infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\4D746A14 infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\57DE7C89 infected by "not-a-virus:AdWare.Gator.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\593958FE infected by "Trojan-Downloader.Win32.Dyfuca.dt" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\59402CF7 infected by "Trojan-Downloader.Win32.Dyfuca.dt" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\65964E13 infected by "not-a-virus

orn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
File C:\Programme\Pinnacle\Studio 8\OEM\hfx46studiosilent.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\SearchRelevant\SearchRelevant.dll infected by "not-a-virus:AdWare.Relevance.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\70tovmto.exe infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\2b3fsk0h.dll infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\bln02nqv.exe infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\70tovmto.exe infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\2b3fsk0h.dll infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\bln02nqv.exe infected by "not-a-virus:AdWare.Sahat.l" Virus. Action Taken: No Action Taken.

Sun Feb 20 17:45:50 2005 => ***** Checking for specific ITW Viruses *****
Sun Feb 20 17:45:50 2005 => Checking for Welchia Virus...
Sun Feb 20 17:45:50 2005 => Checking for LovGate Virus...
Sun Feb 20 17:45:50 2005 => Checking for CodeRed Virus...
Sun Feb 20 17:45:50 2005 => Checking for OpaServ Virus...
Sun Feb 20 17:45:50 2005 => Checking for Sobig.e Virus...
Sun Feb 20 17:45:50 2005 => Checking for Winupie Virus...
Sun Feb 20 17:45:50 2005 => Checking for Swen Virus...
Sun Feb 20 17:45:50 2005 => Checking for JS.Fortnight Virus...
Sun Feb 20 17:45:50 2005 => Checking for Novarg Virus...
Sun Feb 20 17:45:50 2005 => Checking for Pagabot Virus...
Sun Feb 20 17:45:50 2005 => Checking for Parite.b Virus...
Sun Feb 20 17:45:50 2005 => Checking for Parite.a Virus...

Sun Feb 20 17:45:50 2005 => ***** Scanning complete. *****
Sun Feb 20 17:45:50 2005 => Total Files Scanned: 98276
Sun Feb 20 17:45:50 2005 => Total Virus(es) Found: 30
Sun Feb 20 17:45:50 2005 => Total Disinfected Files: 0
Sun Feb 20 17:45:50 2005 => Total Files Renamed: 0
Sun Feb 20 17:45:50 2005 => Total Deleted Files: 0
Sun Feb 20 17:45:50 2005 => Total Errors: 17
Sun Feb 20 17:45:50 2005 => Time Elapsed: 01:57:05
Sun Feb 20 17:45:50 2005 => Virus Database Date: 2005/02/20
Sun Feb 20 17:45:50 2005 => Virus Database Count: 118934

Sun Feb 20 17:45:50 2005 => Scan Completed.

Gruß
Rosinchen

20.02.2005, 18:18

Heron

Member

Beiträge: 1132

#10 Soweit, so gut! Du siehst was Du Dir alles auf den Rechner geholt hast.

NAV hat schon eine Menge davon abgefangen und in die Quarantäne gesteckt. Öffne die Quarantänesektion bei NAV und lösche die darin befindlichen Dateien.

Lösche mit der Killbox
File C:\WINDOWS\70tovmto.exe
File C:\WINDOWS\system32\2b3fsk0h.dll
File C:\WINDOWS\system32\bln02nqv.exe
File C:\Programme\SearchRelevant\SearchRelevant.dll
File C:\WINDOWS\70tovmto.exe
File C:\WINDOWS\system32\2b3fsk0h.dll
File C:\WINDOWS\system32\bln02nqv.exe
File C:\WINDOWS\70tovmto.exe
File C:\WINDOWS\system32\2b3fsk0h.dll
File C:\WINDOWS\system32\bln02nqv.exe

Fixe noch mit HJT
O4 - Global Startup: GL2422MP.lnk = ?

Erstelle und poste ein aktuelles HJT Log

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

Dieser Beitrag wurde am 20.02.2005 um 18:21 Uhr von Heron editiert.

20.02.2005, 18:35

Rosinchen

...neu hier

Themenstarter

Beiträge: 7

#11 Hat sich über die Zeit echt viel angesammelt.

Anbei noch die neue HJT:

Logfile of HijackThis v1.99.1
Scan saved at 18:33:15, on 20.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\PROGRA~1\NORTON~2\NORTON~3\GHOSTS~2.EXE
C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\GL2422MP\WLANMON.exe
C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Sina\Eigene Dateien\Anwendungen\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRA~1\PANICW~1\POP-UP~1\dpps2.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GL2422MP.lnk = ?
O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/28ea6f334246e1a60118/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108324907497
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B1CE333-A16D-4680-A519-CD6E1490B808}: NameServer = 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6DC5AD9-CD62-4E4C-BB28-5F4896D5913A}: NameServer = 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{2B1CE333-A16D-4680-A519-CD6E1490B808}: NameServer = 194.25.2.129
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~3\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Das ist passiert als ich O4 - Global Startup: GL2422MP.lnk = ?
fixen wollte:

Unexpected error occurred!
Error #52 (Dateiname oder -nummer falsch) in Sub GetLongPath(?.exe).

Please send a report to merijn@spywareinfo.com, mentioning what you were doing, and what version of Windows you have.

This message has been copied to your clipboard.
Gruß
Rosinchen

Dieser Beitrag wurde am 20.02.2005 um 18:39 Uhr von Rosinchen editiert.

20.02.2005, 18:48

Heron

Member

Beiträge: 1132

#12 Das macht nichts. Der Eintrag ist eh nicht gefährlich, sondern nur unnötig!
Schicke die Meldung einfach an merijn.org

Ansonsten sieht der Log jetzt sauber aus. Ich denke wir haben es gemeinsam geschafft :yo

so long
knight in shining armour alias Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

20.02.2005, 18:50

Rosinchen

...neu hier

Themenstarter

Beiträge: 7

#13 Dann nochmal vielen, vielen Dank!!!!!!

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1