Logfile/Registryeinträge - einfach löschen?

#0
12.08.2005, 16:20
...neu hier

Beiträge: 3
#1 Hallo zusammen!

Die ersten Sachen habe ich mit den entsprechenden Programmen schon gelöscht, wie es Sabina an anderer Stelle schon mal empfohlen hat.

Aber was mache ich mit:

- Offending value found in HKLM\Software\microsoft\downloadmanager !!!

- Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.

- System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.

Bei dem letzten hab ich mir mit regsrch mal rauskopiert, wo das denn auftaucht:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Advanced INF Setup\IE40.Browser\RegBackup\0.map]
"57c94e78eed440bb"=",33,HKLM,SOFTWARE\\Microsoft\\Internet Explorer\\Extensions\\{c95fe080-8f5d-11d2-a20b-00aa003c157a},MenuText,"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Advanced INF Setup\IE40.Browser\RegBackup\0.map]
"0529bcf0af21235f"=",33,HKLM,SOFTWARE\\Microsoft\\Internet Explorer\\Extensions\\{c95fe080-8f5d-11d2-a20b-00aa003c157a},MenuStatusBar,"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Advanced INF Setup\IE40.Browser\RegBackup\0.map]
"ae912d3d06fb2150"=",33,HKLM,SOFTWARE\\Microsoft\\Internet Explorer\\Extensions\\{c95fe080-8f5d-11d2-a20b-00aa003c157a},Script,"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Advanced INF Setup\IE40.Browser\RegBackup\0.map]
"4f2d07a7a0a4298d"=",33,HKLM,SOFTWARE\\Microsoft\\Internet Explorer\\Extensions\\{c95fe080-8f5d-11d2-a20b-00aa003c157a},clsid,"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Advanced INF Setup\IE40.Browser\RegBackup\0.map]
"4f2d07a71d61453b"=",33,HKLM,SOFTWARE\\Microsoft\\Internet Explorer\\Extensions\\{c95fe080-8f5d-11d2-a20b-00aa003c157a},Icon,"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Advanced INF Setup\IE40.Browser\RegBackup\0.map]
"ae912d3d995a8d65"=",33,HKLM,SOFTWARE\\Microsoft\\Internet Explorer\\Extensions\\{c95fe080-8f5d-11d2-a20b-00aa003c157a},HotIcon,"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Advanced INF Setup\IE40.Browser\RegBackup\0.map]
"268193927810ac06"=",33,HKLM,SOFTWARE\\Microsoft\\Internet Explorer\\Extensions\\{c95fe080-8f5d-11d2-a20b-00aa003c157a},ButtonText,"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}]

[HKEY_USERS\S-1-5-21-776561741-842925246-1708537768-500\Software\Microsoft\Internet Explorer\Extensions\CmdMapping]
"{c95fe080-8f5d-11d2-a20b-00aa003c157a}"=dword:00002000

Und jetzt? Diese Einträge kann ich doch nicht einfach löschen, oder? (So wie die anderen <- war das überhaupt richtig?)

Vielen Dank!
Seitenanfang Seitenende
12.08.2005, 23:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@help_me_

man sollte nicht so in der Registry rumloeschen

ich sehe es mir mal an ;)

HijackThis
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.08.2005, 17:35
...neu hier

Themenstarter

Beiträge: 3
#3 Hallo Sabina,

danke, Du bist meine Rettung! :-)

> man sollte nicht so in der Registry rumloeschen
Okay, danke. Ich hatte das nur irgendwie so verstanden, daß man die Einträge, die z.b. einen Trojaner verweisen (den man mit killbox gelöscht hat), löschen soll. Hoffentlich hab ich nicht noch mehr kaputt gemacht. :/

Hier ist der Inhalt der Log-Datei:

Logfile of HijackThis v1.99.1
Scan saved at 17:36:10, on 14.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\Explorer.EXE
C:\WINNT\ESSD.exe
C:\WINNT\system32\Atiptaxx.exe
C:\Programme\Hewlett-Packard\HP Presentation Ready\PresRdy.exe
C:\PROGRA~1\HPONE-~1\OneTouch.EXE
C:\WINNT\system32\USBMonit.exe
C:\Programme\Lycos\Lycos Client\Sniffy.exe
C:\PROGRA~1\HPONE-~1\KCodeMsg.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\hijack this\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://abcsearch4u.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://abcsearch4u.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://abcsearch4u.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://abcsearch4u.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 100.0.0.1:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ESS Daemon] C:\WINNT\ESSD.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [HPPresentationReady] C:\Programme\Hewlett-Packard\HP Presentation Ready\PresRdy.exe -r
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPONE-~1\OneTouch.EXE
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINNT\system32\USBMonit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [WordPerfect Office 1215] C:\Programme\WordPerfect Office 12\Programs\Registration.exe /title="WordPerfect Office 12" /date=081805 Seri*hier nicht!*=WS12WTX-9999998-UYR lang=EN
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [idhjutl] c:\winnt\pdgjvws.exe
O4 - HKCU\..\Run: [vamjyvk] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [xixdtvk] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [bubwhpi] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [monaxlh] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [uxvnaii] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [guwyxuy] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [jisbhyg] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [oiwylfs] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [veohjbj] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [gjtylwy] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [eluwfrh] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [pbouewx] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [fqtvfjy] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [hfflhpy] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [ipnvuqo] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [ainqaxa] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [htjyrtc] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [dkqducl] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [pqioiaa] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [nneiipv] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [cfprdwg] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [fefmlek] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [rbxceyw] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [veymcmx] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [uqqalua] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [orsdfqy] c:\winnt\ojqcuwy.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Bild mit InternetSammler &speichern - res://C:\PROGRA~1\INTERN~2\isshell.dll/#101
O8 - Extra context menu item: Bild mit InternetSammler ein&ordnen/speichern... - res://C:\PROGRA~1\INTERN~2\isshell.dll/#108
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Link-Adresse mit InternetSammler &notieren... - res://C:\PROGRA~1\INTERN~2\isshell.dll/#110
O8 - Extra context menu item: Markierung mit InternetSammler &speichern - res://C:\PROGRA~1\INTERN~2\isshell.dll/#104
O8 - Extra context menu item: Markierung mit InternetSammler ein&ordnen/speichern... - res://C:\PROGRA~1\INTERN~2\isshell.dll/#109
O8 - Extra context menu item: Seitenbereich (Frame) mit InternetSammler &speichern - res://C:\PROGRA~1\INTERN~2\isshell.dll/#102
O8 - Extra context menu item: Seitenbereich (Frame) mit InternetSammler ein&ordnen/speichern... - res://C:\PROGRA~1\INTERN~2\isshell.dll/#106
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C: oo.mht!http://vxiframe.biz//adverts//096//targ.chm::/win32.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.170.82/e9xr2.chm::/file.exe
O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} (DownloadManager Control) - http://download.akamaitools.com.edgesuite.net/dlmanager/live/code/IE_1070/DownloadManager.cab
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Boingo Monitor Service (BoingoMonitor) - Boingo Wireless, Inc. - C:\Programme\Boingo\WENGINE\wmonitor.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZONELABS\vsmon.exe

Echt, vielen Dank!!
LG help_me_
Seitenanfang Seitenende
14.08.2005, 20:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@help_me_

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://abcsearch4u.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://abcsearch4u.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://abcsearch4u.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://abcsearch4u.com/

O4 - HKLM\..\Run: [WordPerfect Office 1215] C:\Programme\WordPerfect Office 12\Programs\Registration.exe /title="WordPerfect Office 12" /date=081805 Seri*hier nicht!*=WS12WTX-9999998-UYR lang=EN

O4 - HKCU\..\Run: [idhjutl] c:\winnt\pdgjvws.exe
O4 - HKCU\..\Run: [vamjyvk] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [xixdtvk] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [bubwhpi] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [monaxlh] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [uxvnaii] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [guwyxuy] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [jisbhyg] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [oiwylfs] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [veohjbj] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [gjtylwy] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [eluwfrh] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [pbouewx] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [fqtvfjy] c:\winnt\fikhsox.exe
O4 - HKCU\..\Run: [hfflhpy] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [ipnvuqo] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [ainqaxa] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [htjyrtc] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [dkqducl] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [pqioiaa] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [nneiipv] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [cfprdwg] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [fefmlek] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [rbxceyw] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [veymcmx] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [uqqalua] c:\winnt\ojqcuwy.exe
O4 - HKCU\..\Run: [orsdfqy] c:\winnt\ojqcuwy.exe

O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C: oo.mht!http://vxiframe.biz//adverts//096//targ.chm::/win32.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.170.82/e9xr2.chm::/file.exe

PC neustarten

loesche:
c:\winnt\pdgjvws.exe
c:\winnt\fikhsox.exe
c:\winnt\ojqcuwy.exe

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

scanne mit ewido (im abgesicherten Modus)+ poste mir den Report vom Scan
http://virus-protect.org/antivirenfree.html

Onlinescan panda (poste auch den Report)
http://virus-protect.org/onlinescan.html

neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
+
poste das neue Log vom HijackThis ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.08.2005, 00:19
...neu hier

Themenstarter

Beiträge: 3
#5 Hallo Sabina,

sorry daß ich so lange gebraucht hab. Also, hier die Ergebnisse:


__________________________________________________
ewido security suite online scanner
http://www.ewido.net
__________________________________________________


Name: Spyware.Cookie.Ivwbox
Path: C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ivwbox[1].txt
Risk: Medium

Name: Spyware.Cookie.Onestat
Path: C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@stat.onestat[2].txt
Risk: Medium

Name: Trojan.Agent.eo
Path: HKLM\SOFTWARE\Classes\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}
Risk: High

Name: Spyware.ISTBar
Path: HKLM\SOFTWARE\Classes\ISTx.Installer
Risk: High

Name: Spyware.ISTBar
Path: HKLM\SOFTWARE\Classes\ISTx.Installer\CLSID
Risk: High

Name: Spyware.Alexa
Path: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Risk: High


- - - - - - - -


Panda Active Scan

No viruses or other malicious software have been found!Scan finished F:Scan reportSelect a device to scan...
My Computer
Local Disks
Floppy Disk
My Documents
Email
Other Media
Detected Disinfected
Virus 0 0
Spyware 0 0
Hacking Tools 0 0
Dialers 0 0
Security Risks 0 0
Suspicious files 0 0


- - - - - - - -

Logfile of HijackThis v1.99.1
Scan saved at 00:18:55, on 31.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Boingo\WENGINE\wmonitor.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\ESSD.exe
C:\WINNT\system32\Atiptaxx.exe
C:\PROGRA~1\HPONE-~1\OneTouch.EXE
C:\WINNT\system32\USBMonit.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\RaConfig2500.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\PROGRA~1\HPONE-~1\KCodeMsg.EXE
C:\Programme\Boingo\Boingo.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\hijack this\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ESS Daemon] C:\WINNT\ESSD.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [HPPresentationReady] C:\Programme\Hewlett-Packard\HP Presentation Ready\PresRdy.exe -r
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPONE-~1\OneTouch.EXE
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINNT\system32\USBMonit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [RaConfig2500.EXE] RaConfig2500.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Boingo Monitor Service (BoingoMonitor) - Boingo Wireless, Inc. - C:\Programme\Boingo\WENGINE\wmonitor.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZONELABS\vsmon.exe

Mhm, bei den drei Sachen bin ich mir unsicher, was das ist:
C:\WINNT\system32\Atiptaxx.exe
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\ati2evxx.exe

Also noch einmal vielen Dank, daß Du mir hilfst!
Seitenanfang Seitenende
31.08.2005, 00:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@help_me_ (der in den Ferien war .... ;) )

bitte abarbeiten (alle zwei Durchgaenge+ alles posten)

http://virus-protect.org/L2mfix.html

•AboutBuster --> poste mir das Log vom Scan (txt)
http://virus-protect.org/antispywaretools.html
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm (im abgesicherten Modus) ausführen.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »