Desktop Hijacker auf dem PC! Vorgehensweise benötigt!

#0
07.09.2005, 12:58
...neu hier

Beiträge: 6
#1 Hi leute

ich bin verzweifelt auf der suche nach einem Computerfreak, der mir hilft diesen Hijacker zu löschen. ich habe mein HJT logfile hier, mehr weiss ich nicht wie man sonst vorzugehen hat!! #

Logfile of HijackThis v1.99.1
Scan saved at 13:02:43, on 07.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [vmcleaner] gxlib.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/retro64_loader.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F2269FC-7BA4-4E85-A370-62723BCF05D0}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Druckwarteschlange (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Wäre echt nett wenn mir jemand helfen könnte.

Mit freundlichen internetten Grüßen

ROSH
Seitenanfang Seitenende
07.09.2005, 17:16
Member
Avatar Gool

Beiträge: 4730
#2 Hallo rosh,

zunächst tu Dir den Gefallen und aktualisiere Dein Windows auf ServicePack2 mit allen verfügbaren weiteren Updates.

Fixe mit HJT (Häkchen vor den Eintrag machen und auf "fix checked" klicken):

O4 - HKLM\..\Run: [vmcleaner] gxlib.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/retro64_loader.dll

Lade Dir Killbox und entpacke es.

Starte den PC in den abgesicherten Modus.
Öffnet dort Killbox und aktiviere "Delete on Reboot". Füge folgende Dateien in das Eingabefeld ein und bestätige jeweils mit Klick auf das Kreuz rechts daneben. Die Abfrage, ob jetzt neugestartet werden soll, erst nach der letzten Datei mit JA bestätigen.

c:\windows\system32\gxlib.exe
C:\Programme\PSGuard\PSGuard.exe

Der PC wird neugestartet.

Lösche das Verzeichnis c:\Programme\PSGuard

Start -> Ausführen -> cmd

Dort einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

Es wird sich jeweils Notepad mit einer Auflistung der Dateien öffnen. Kopiere die Einträge der vergangenen zwei Wochen (vor jeder Datei steht ein Datum) hier rein.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
08.09.2005, 21:17
...neu hier

Themenstarter

Beiträge: 6
#3 Hallo managor.

ich habe es so durchgeführt wie du gesagt hast, doch musste ich feststellen dass es die dateien:

c:\windows\system32\gxlib.exe
C:\Programme\PSGuard\PSGuard.exe

nicht gibt! was soll ich jetztz tun?



mfg


Rosh
Seitenanfang Seitenende
08.09.2005, 22:38
Ehrenmitglied
Avatar Argus

Beiträge: 6028
Seitenanfang Seitenende
09.09.2005, 01:25
Member
Avatar Gool

Beiträge: 4730
#5 Fahre so fort, wie ich es empfohlen habe.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
09.09.2005, 12:43
...neu hier

Themenstarter

Beiträge: 6
#6 Hier sind die LIsten vom Notepad:

09.09.2005 12:46 0 wppp.html
09.09.2005 12:39 890 vsconfig.xml
08.09.2005 12:57 4.212 zllictbl.dat
07.09.2005 17:57 4.286 ptainfo2.ico
07.09.2005 17:57 4.286 ptainfo1.ico
05.09.2005 20:15 2.206 wpa.dbl


it
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 0C40-0014

Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp

08.09.2005 13:07 133 kb.log
05.09.2005 20:29 0 C.tmp
04.09.2005 16:28 0 7.tmp
04.09.2005 16:27 2.131.974 PSGuardInstall.exe
28.08.2005 16:23 32.768 ~DF9A7D.tmp
28.08.2005 15:17 594.709 gtb30.tmp.cab
28.08.2005 15:17 0 gtb30.tmp
06.07.2005 14:11 10.538 control.xml


Verzeichnis von C:\WINDOWS
09.09.2005 12:40 1.141 win.ini
09.09.2005 12:39 0 0.log
09.09.2005 12:38 2.048 bootstat.dat
08.09.2005 22:44 155 winamp.ini
08.09.2005 22:41 116 NeroDigital.ini
08.09.2005 13:08 384.504 ntbtlog.txt
04.09.2005 16:26 3.072 uninstIU.exe
27.08.2005 18:27 309.432 h_eJay2.inf
26.08.2005 01:15 298 cdplayer.ini

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 0C40-0014

Verzeichnis von C:\

09.09.2005 12:49 0 sys.txt
09.09.2005 12:48 7.525 system.txt
09.09.2005 12:47 218.399 systemtemp.txt
09.09.2005 12:46 89.948 system32.txt
09.09.2005 12:38 267.964.416 hiberfil.sys
09.09.2005 12:38 402.653.184 pagefile.sys

Das wars hoffentlich

Mfg

Rosh
Seitenanfang Seitenende
09.09.2005, 13:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Hallo@rosh

datfindbat (poste bitte die 4 logs, aber bitte (C:\WINDOWS\system32\) bis Mitte August und nicht schon am 5. September enden...so koennen wir nicht sehen was los ist) und kopiere bitte auch immer den Pfad oben mit ;)

http://virus-protect.org/bat/datFind.bat

Zitat

C:\WINDOWS\system32\
09.09.2005 12:46 0 wppp.html
09.09.2005 12:39 890 vsconfig.xml
08.09.2005 12:57 4.212 zllictbl.dat
07.09.2005 17:57 4.286 ptainfo2.ico
07.09.2005 17:57 4.286 ptainfo1.ico
05.09.2005 20:15 2.206 wpa.dbl

Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp

04.09.2005 16:27 2.131.974 PSGuardInstall.exe

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [vmcleaner] gxlib.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

deinstallieren: -->PSGuard
loeschen: -->gxlib.exe

smitRem TOOL (Entfernungstool)--> poste den Report
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

Lade Ewido von dieser Seite
-- poste den Report ;)
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.09.2005, 19:43
...neu hier

Themenstarter

Beiträge: 6
#8 Hallo an alle Helfer

es hat geklappt. wie weiß ich nicht genau. doch der hijakcer ist weg. ich hab alle anweisungen kreuz und quer verfolgt, von jedem etwas ;) . also danke nochmal

MFG

ROSH
Seitenanfang Seitenende