Smitfraud! Windows-Explorer streikt.

#0
27.07.2005, 22:11
...neu hier

Beiträge: 6
#1 Also, ich hab schon alles durch an den Tips vom Trojaner-Board: die zum löschen empfohlenen Dateien sind gelöscht (kill-box), hoster, clean-up und escan sind durch, die bereitgestellten registrierungs-reparierer installiert, und auch SmitRem hab ich drübergelassen.
Aber immer noch kommt im 2-Sec Takt die Fehlermeldung: Explorer.exe hat Fehler verursacht und wird geschlossen... !!

Kann mir bitte jemand helfen?
Hier mein Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:58:19, on 27.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\gearsec.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ad-watch] "C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [spywatch] C:\Dokumente und Einstellungen\Flavio\Desktop\SpywareRemover\SpyWatch.exe /STARTUP
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122410987110
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1122411123476
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O20 - Winlogon Notify: style2 - C:\WINNT\q9270730_disk.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINNT\system32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
27.07.2005, 22:26
Member
Avatar Gool

Beiträge: 4730
#2 Mach das weg:
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [spywatch] C:\Dokumente und Einstellungen\Flavio\Desktop\SpywareRemover\SpyWatch.exe /STARTUP
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O20 - Winlogon Notify: style2 - C:\WINNT\q9270730_disk.dll

internat.exe -> Suchen! Wenn sie sich nicht im Ordner Windows\System32 befindet, dann ist sie böse (trotzdem, egal wo sie gefunden wurde, bei http://www.virustotal.com prüfen!). Ansonsten muss sie nicht im Autorun stehen.

Spywatch solltest Du nicht verwenden. Ist wohl ein zimelich schlechtes Programm.

Logitech Desktop Messenger muss nicht beim Start geladen werden.

Ansonsten halte Dich an die Tipps in den übrigen Threads.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
27.07.2005, 23:08
...neu hier

Themenstarter

Beiträge: 6
#3 Hey, es hat sich was getan!!

Und zwar funktioniert der Explorer wieder (dafür hab ich aber wieder diese Desktopveränderung mit der gefakten Viruswarnung), und der Spywatch warnte mich vor Registrierungsangriffen von etwa 5 Programmen, unter anderem Internat.exe (Danke Blueslayah!), welche ich abblocken konnte.

Jetz mal ne blöde Frage: die Dateien ich mit HiJack "gefixt" habe, muss ich die nun alle noch suchen und nochmals löschen? Hab den Schei... deshalb noch immer drin?
Seitenanfang Seitenende
28.07.2005, 01:02
Member
Avatar Gool

Beiträge: 4730
#4 Ok, wie ich gesehen habe, war die internat.exe doch nicht so harmlos. Gut, dass wir nachgeschaut haben ;)

Als (wesentlich bessere) Alternativen zu SpyWatch würde ich Spybot S&D sowie das Anti-Spy-Programm von Microsoft verwenden.
http://www.microsoft.com/athome/security/spyware/software/default.mspx

AdAware hast Du ja bereits.

Die internat.exe wirst Du vermutlich nicht ohne weiteres los. Die verursacht vermutlich auch den von mir oben rot markierten Eintrag.

Halte dich bitte mal an folgende Anleitung:
http://virus-protect.org/escan.html
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
29.07.2005, 01:08
...neu hier

Themenstarter

Beiträge: 6
#5 Hallo Leute. nach 2Tagen intensivem Kampf gegen verschiedene Viren/Trojaner (Smitfraud, Internat.exe, PSguard.exe) und ein paar Würmer, glaube ich ist mein System langsam wieder sauber.
E-Scan hat noch folgende 2 Viren gefunden, welche ich sofort im angegebenen Pfad mit Killbox löschte. Leider finde ich keine weiteren Infos zu den 2 Übeltätern. Sind die nun schon geschlagen?

(im folgenden der E-scan log und mein aktueller Hijack-log)



--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Thu Jul 28 18:46:45 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------

1: Thu Jul 28 18:43:21 2005 => File C:\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
2: Thu Jul 28 18:53:08 2005 => File C:\Programme\Games\Snap\Uninstal.exe tagged as not-a-virus:Monitor.Win32.ChatWatch.252. No Action Taken.

--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------

1: Thu Jul 28 18:27:02 2005 => ERROR!!! Invalid Entry {EF99BD32-C1FB-11D2-892F-0090271D4F88} = C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (in key SOFTWARE\Microsoft\Internet Explorer\Toolbar). No Action Taken.
2: Thu Jul 28 18:27:02 2005 => ERROR!!! Invalid Entry {B212D577-05B7-4963-911E-4A8588160DFA} = C:\WINNT\q9270730_disk.dll (in key Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler). No Action Taken.
3: Thu Jul 28 18:27:13 2005 => ERROR!!! Invalid Entry \??\C:\DOKUME~1\Fred1\LOKALE~1\Temp\jbridgep.sys in SYSTEM\CurrentControlSet\Services\jbridgep...
4: Thu Jul 28 18:27:15 2005 => ERROR!!! Invalid Entry \??\C:\DOKUME~1\Fred1\LOKALE~1\Temp\PCD57X2.sys in SYSTEM\CurrentControlSet\Services\PCD57X2...
5: Thu Jul 28 18:28:59 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe\Photoshop Album\Kataloge\My Catalog.psa". Action Taken: No Action Taken.
6: Thu Jul 28 18:29:00 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Gemeinsame Dateien\Real\Toolbar\BarControl.dll". Action Taken: No Action Taken.
7: Thu Jul 28 18:29:00 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Gemeinsame Dateien\Real\Toolbar\RealBar.dll". Action Taken: No Action Taken.
8: Thu Jul 28 18:29:00 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINNT\system32\AVSDAM.DLL". Action Taken: No Action Taken.
9: Thu Jul 28 18:29:02 2005 => Entry "HKCR\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}" refers to invalid object "C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll". Action Taken: No Action Taken.
10: Thu Jul 28 18:29:02 2005 => Entry "HKCR\CLSID\{04F3168F-5AFC-4531-B3B4-16CA93720415}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
11: Thu Jul 28 18:29:04 2005 => Entry "HKCR\CLSID\{187A8428-BD94-470D-A178-A2347F940519}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
12: Thu Jul 28 18:29:04 2005 => Entry "HKCR\CLSID\{1E3B0C5A-E844-452B-88DB-46A483D14CEF}" refers to invalid object "C:\Programme\Games\Quiz\QuizControls.dll". Action Taken: No Action Taken.
13: Thu Jul 28 18:29:04 2005 => Entry "HKCR\CLSID\{2865930B-4588-4FF3-8227-6D4F66C92C7A}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
14: Thu Jul 28 18:29:04 2005 => Entry "HKCR\CLSID\{2AAC13EA-4214-4C2D-91B0-70EE5A74ED72}" refers to invalid object "C:\Programme\Games\Quiz\QuizControls.dll". Action Taken: No Action Taken.
15: Thu Jul 28 18:29:04 2005 => Entry "HKCR\CLSID\{2FE2EDC0-9E62-4F34-8A73-BC66DAE48EF3}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
16: Thu Jul 28 18:29:05 2005 => Entry "HKCR\CLSID\{3567731D-14F6-4E0B-AE96-39C849F45ABC}" refers to invalid object "C:\Programme\Games\Quiz\QuizControls.dll". Action Taken: No Action Taken.
17: Thu Jul 28 18:29:05 2005 => Entry "HKCR\CLSID\{3A3A8C24-8FF0-4140-9731-54D9483EA70B}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
18: Thu Jul 28 18:29:05 2005 => Entry "HKCR\CLSID\{3A906593-B4BD-48ED-84B0-3249BED65EF9}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
19: Thu Jul 28 18:29:05 2005 => Entry "HKCR\CLSID\{49B72A72-01F5-4AE8-BBD7-DAA67F1E303B}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
20: Thu Jul 28 18:29:07 2005 => Entry "HKCR\CLSID\{6374A802-459E-4675-929D-99661D155E1F}" refers to invalid object "C:\Programme\Games\Quiz\QuizControls.dll". Action Taken: No Action Taken.
21: Thu Jul 28 18:29:07 2005 => Entry "HKCR\CLSID\{6AE3ACA6-1BE3-4443-98DD-EFFCFA793D35}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
22: Thu Jul 28 18:29:07 2005 => Entry "HKCR\CLSID\{7491F08C-9C8A-4EB3-9366-D63E581C6687}" refers to invalid object "C:\Programme\Games\Quiz\QuizControls.dll". Action Taken: No Action Taken.
23: Thu Jul 28 18:29:08 2005 => Entry "HKCR\CLSID\{787DEC39-69D0-40B3-B173-E0411C59B300}" refers to invalid object "C:\Programme\PSGuard\WndLayer.dll". Action Taken: No Action Taken.
24: Thu Jul 28 18:29:08 2005 => Entry "HKCR\CLSID\{788A0290-BB91-408A-9960-2766AC14CCC4}" refers to invalid object "C:\Programme\Games\Quiz\QuizControls.dll". Action Taken: No Action Taken.
25: Thu Jul 28 18:29:08 2005 => Entry "HKCR\CLSID\{79DDF2EF-D881-464B-B2AF-5AF8816A3964}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
26: Thu Jul 28 18:29:08 2005 => Entry "HKCR\CLSID\{7E752AAA-5A32-40AD-B150-4A2E85768E4D}" refers to invalid object "D:\BIN\WIN32\omgdwrap.dll". Action Taken: No Action Taken.
27: Thu Jul 28 18:29:08 2005 => Entry "HKCR\CLSID\{813C8E86-4C90-4617-B59E-E130CC068140}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
28: Thu Jul 28 18:29:08 2005 => Entry "HKCR\CLSID\{84684937-AC4D-415B-BB5C-E700D6F42AFE}" refers to invalid object "C:\Programme\Games\Quiz\QuizControls.dll". Action Taken: No Action Taken.
29: Thu Jul 28 18:29:08 2005 => Entry "HKCR\CLSID\{89133BCE-57D0-4D2B-AFAF-A97B74AD704E}" refers to invalid object "C:\Programme\PSGuard\WndLayer.dll". Action Taken: No Action Taken.
30: Thu Jul 28 18:29:08 2005 => Entry "HKCR\CLSID\{8F40CC34-FE77-4618-AA3D-BD2EFACAA8DC}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
31: Thu Jul 28 18:29:09 2005 => Entry "HKCR\CLSID\{929D34BB-3BFF-482F-86F3-5758B20FECC4}" refers to invalid object "C:\Programme\Games\Quiz\QuizControls.dll". Action Taken: No Action Taken.
32: Thu Jul 28 18:29:09 2005 => Entry "HKCR\CLSID\{9869EFB4-18E9-11D3-A837-00104B9E30B5}" refers to invalid object "C:\DOKUME~1\Fred1\LOKALE~1\Temp\CMDLIN~1.DLL". Action Taken: No Action Taken.
33: Thu Jul 28 18:29:09 2005 => Entry "HKCR\CLSID\{99180163-DA16-101A-935C-444553540000}" refers to invalid object "recncl.dll". Action Taken: No Action Taken.
34: Thu Jul 28 18:29:09 2005 => Entry "HKCR\CLSID\{9F89E240-06A6-4E1C-BA84-F267DE7DB391}" refers to invalid object "C:\Programme\PSGuard\WndLayer.dll". Action Taken: No Action Taken.
35: Thu Jul 28 18:29:09 2005 => Entry "HKCR\CLSID\{A4845882-333F-11D0-B724-00AA0062CBB7}" refers to invalid object "C:\WINNT\System32\WBEM\WBEMSTUB.DLL". Action Taken: No Action Taken.
36: Thu Jul 28 18:29:09 2005 => Entry "HKCR\CLSID\{A88326DD-32A9-4D40-BBFA-2E10AEA418D9}" refers to invalid object "C:\Programme\Games\Quiz\QuizControls.dll". Action Taken: No Action Taken.
37: Thu Jul 28 18:29:09 2005 => Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.
38: Thu Jul 28 18:29:10 2005 => Entry "HKCR\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}" refers to invalid object "C:\WINNT\q9270730_disk.dll". Action Taken: No Action Taken.
39: Thu Jul 28 18:29:10 2005 => Entry "HKCR\CLSID\{B60A0E56-548D-40AE-9383-D752531F653F}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
40: Thu Jul 28 18:29:10 2005 => Entry "HKCR\CLSID\{B67B0756-2528-4996-B4BD-C993614CC0B6}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
41: Thu Jul 28 18:29:10 2005 => Entry "HKCR\CLSID\{BCC51EA9-6340-4EBE-8736-13A752ECB0BE}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
42: Thu Jul 28 18:29:11 2005 => Entry "HKCR\CLSID\{D95DEB2F-4A47-467C-A78B-5D3038D089D5}" refers to invalid object "D:\BIN\WIN32\omgdbp.ocx". Action Taken: No Action Taken.
43: Thu Jul 28 18:29:11 2005 => Entry "HKCR\CLSID\{D98E820F-6ACD-4dc0-921E-9841E3D8B4A7}" refers to invalid object "D:\player\WMMP.EXE". Action Taken: No Action Taken.
44: Thu Jul 28 18:29:12 2005 => Entry "HKCR\CLSID\{E07D3492-32B5-11D0-B724-00AA0062CBB7}" refers to invalid object "C:\WINNT\System32\WBEM\WBEMSTUB.DLL". Action Taken: No Action Taken.
45: Thu Jul 28 18:29:12 2005 => Entry "HKCR\CLSID\{E9719D38-EC55-4C8B-9DF0-080ADE95A9FA}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
46: Thu Jul 28 18:29:12 2005 => Entry "HKCR\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}" refers to invalid object "C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll". Action Taken: No Action Taken.
47: Thu Jul 28 18:29:13 2005 => Entry "HKCR\CLSID\{F4B3E25A-33B4-4647-9A78-B627DDE211A6}" refers to invalid object "C:\Programme\PSGuard\AVECore.dll". Action Taken: No Action Taken.
48: Thu Jul 28 18:29:13 2005 => Entry "HKCR\CLSID\{F4C6D6E0-A8FB-4281-BE24-1662D646FE2B}" refers to invalid object "D:\player\WMMP.EXE". Action Taken: No Action Taken.
49: Thu Jul 28 18:29:13 2005 => Entry "HKCR\CLSID\{FB0B55A1-B10E-4764-A2C3-6240BA4C1242}" refers to invalid object "C:\Programme\Games\Quiz\QuizControls.dll". Action Taken: No Action Taken.
50: Thu Jul 28 18:29:13 2005 => Entry "HKCR\CLSID\{FBE840E5-13A5-4cff-B2A9-4D1E64A17FF2}" refers to invalid object "D:\player\WMMP.EXE". Action Taken: No Action Taken.
51: Thu Jul 28 18:29:16 2005 => Entry "HKCR\ActMsg.Session" refers to invalid object "{3FA7DEB3-6438-101B-ACC1-00AA00423326}". Action Taken: No Action Taken.
52: Thu Jul 28 18:29:17 2005 => Entry "HKCR\CDDBControlApple.CddbFullName.1" refers to invalid object "{63338267-37c4-44cf-8e46-756fbe9c8fdc}". Action Taken: No Action Taken.
53: Thu Jul 28 18:29:17 2005 => Entry "HKCR\CDDBControlApple.FullName" refers to invalid object "{63338267-37c4-44cf-8e46-756fbe9c8fdc}". Action Taken: No Action Taken.
54: Thu Jul 28 18:29:21 2005 => Entry "HKCR\MailFileAtt" refers to invalid object "{00020D05-0000-0000-C000-000000000046}". Action Taken: No Action Taken.
55: Thu Jul 28 18:29:21 2005 => Entry "HKCR\mapifvbx.object" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.
56: Thu Jul 28 18:29:21 2005 => Entry "HKCR\mapifvbx.object.1" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.

--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\mIRC\mirc.exe => tagged:Client-IRC.Win32.mIRC.616.
2: C:\Programme\Games\Snap\Uninstal.exe => tagged:Monitor.Win32.ChatWatch.252.
Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Thu Jul 28 19:03:33 2005 => Total Objects Scanned: 88375
Thu Jul 28 19:03:33 2005 => Total Virus(es) Found: 3
Thu Jul 28 19:03:33 2005 => Total Errors: 56
Thu Jul 28 19:03:33 2005 => Virus Database Date: 2005/07/28
Thu Jul 28 19:03:33 2005 => Virus Database Count: 140415


Logfile of HijackThis v1.99.1
Scan saved at 01:02:55, on 29.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\gearsec.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ad-watch] "C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122410987110
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1122411123476
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINNT\system32\gearsec.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
29.07.2005, 01:17
...neu hier

Themenstarter

Beiträge: 6
#6 Danke Blueslayah!
Das Gute hat gesiegt....
Seitenanfang Seitenende
29.07.2005, 12:16
Member
Avatar Gool

Beiträge: 4730
#7 Hört sich so an, als seist Du das Problem los? Bitte Poste nochmal ein HJT-Log.

Nachtrag: Schon ok, habs gerade entdeckt. Bitte das nächste mal ne Antwort posten und kein neues Thema erstellen ;)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Dieser Beitrag wurde am 29.07.2005 um 12:19 Uhr von blueslayah editiert.
Seitenanfang Seitenende
29.07.2005, 12:18
Member
Avatar Gool

Beiträge: 4730
#8 Gehört mit dem Thread zusammen:
http://board.protecus.de/t18564.htm

Olli, es sieht soweit alles gut aus. Nur noch folgendes fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.oneclicksearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.oneclicksearches.com/search.php?qq=%1

Und möglichst nicht mehr den Internet Explorer nutzen.

Achja, und die Registry mit einem Programm säubern. RegCleander bietet sich hier an, oder auch die TuneUp Utilities (ich glaub, die waren es, die hier schon öfters erwähnt wurden)
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Dieser Beitrag wurde am 29.07.2005 um 12:21 Uhr von blueslayah editiert.
Seitenanfang Seitenende
31.07.2005, 20:21
...neu hier

Themenstarter

Beiträge: 6
#9 OK. Vielen Dank für dein Hilfe!!
Internet Explorer brauch ich nur noch für die Microsoft Security Updates. Des klappt nicht mit Mozilla.

PS:
Hab mir jetzt eine Hardware-Firewall (im Wireless-Router) reingezogen. Sollte denk ich besser funzen.
Seitenanfang Seitenende