fremde Toolbar und Icons |
||
---|---|---|
#0
| ||
23.11.2005, 22:50
...neu hier
Beiträge: 1 |
||
|
||
24.11.2005, 21:49
Member
Beiträge: 4730 |
#2
Hallo KonstantinX,
zunächst setze im HJT bei folgenden Einträgen (sofern noch vorhanden) ein Häkchen und klicke auf "fix checked": O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ihmdt.dll O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ihmdt.dll O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://c:\nosuch.mht!http://2awm.com/pop/chm/nwall.chm::/webload.exe O16 - DPF: {6D5FCFCB-FA6C-4CFB-9918-5F0A9F7365F2} - http://www.gigex.com/tv/igor/gigexagent.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{19624346-FC87-4296-AB39-1925874B06CF}: NameServer = 85.255.115.91,85.255.112.137 O17 - HKLM\System\CCS\Services\Tcpip\..\{BB1B6AA4-66BD-4C9A-83C9-DC8123CF0D7D}: NameServer = 85.255.115.91,85.255.112.137 O17 - HKLM\System\CS1\Services\Tcpip\..\{19624346-FC87-4296-AB39-1925874B06CF}: NameServer = 85.255.113.149,85.255.112.11 O17 - HKLM\System\CS2\Services\Tcpip\..\{19624346-FC87-4296-AB39-1925874B06CF}: NameServer = 85.255.115.91,85.255.112.137 O17 - HKLM\System\CS3\Services\Tcpip\..\{19624346-FC87-4296-AB39-1925874B06CF}: NameServer = 85.255.115.91,85.255.112.137 Bitte gehe auf http://managor.de/killbox.htm und lade Dir das Programm Killbox herunter. Mit der dortigen Beschreibung löschst Du folgende Dateien (falls noch vorhanden): c:\nosuch.mht C:\WINDOWS\System32\ihmdt.dll Wenn der PC neugestartet ist, gehe auf http://managor.de/escan.htm und folge den Anweisungen dort. Ich würde gerne das eScan-Log haben, um zu sehen, was bei Dir noch so sein Unwesen treibt. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
27.11.2005, 19:45
...neu hier
Beiträge: 1 |
#3
Hallo,
hier ein Leidensgenosse mit dem Problem 2. Auch bei mir die Leiste mit den 6 großen Icons auf dem Arbeitsplatz rechts, wenn man mit der Maus darüberfährt, werden Menüs aus dem Web geladen. Man kann die Leise zwar mit "close" abschalten, beim Neustart ist sie aber wieder da. Begonnen hat das ganze damit, daß ein gelbes Dreieck in der Taskleiste "Spyware" signalisierte und ich zum Kauf von "Unspypc" aufgefordert wurde. Habe dann diverse Virenscanner bemüht und "sw20.exe", "balloon.wav" und "tscash.exe" gefunden. Habe alles beseitigt. Dann mit escan gesucht und "ezula Spyware/Adware" und "AdWare.ToolBar.SBSoft.h Spyware/Adware" sowie noch etwas gefunden(vergessen) Habe dann escan gekauft und alles beseitigt - und trotzdem ist Iconleiste immer noch da. Bin ratlos. Poste mal den HijackThis.log, kann selbst nichts finden. Escan ist auch sauber. Wielleicht weiß jemand Rat ?? Logfile of HijackThis v1.99.1 Scan saved at 19:42:36, on 27.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\system32\svchost.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\PROGRA~1\eScan\avpm.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\locator.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\mspmspsv.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINNT\System32\alg.exe C:\WINNT\Explorer.EXE C:\Programme\D-Link\AirPlus XtremeG\AirPlusCFG.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\Programme\QuickTime\qttask.exe C:\Programme\RFA\rfagent.exe C:\WINNT\SOUNDMAN.EXE C:\WINNT\system32\RUNDLL32.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\WINNT\system32\rundll32.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\PROGRA~1\eScan\TRAYICOS.EXE C:\PROGRA~1\eScan\AVPMWrap.EXE C:\programme\Money\System\reminder.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\WINNT\system32\ctfmon.exe C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe C:\PROGRA~1\eScan\MAILDISP.EXE C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Palm\Hotsync.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\VIA\RAID\raid_tool.exe C:\PROGRA~1\eScan\SPOOLER.EXE C:\PROGRA~1\eScan\MAILSCAN.EXE C:\PROGRA~1\eScan\kavss.exe C:\PROGRA~1\eScan\AvpM.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINNT\system32\NOTEPAD.EXE C:\WINNT\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\Sicherheit\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [D-Link AirPlus XtremeG] C:\Programme\D-Link\AirPlus XtremeG\AirPlusCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [rfagent] C:\Programme\RFA\rfagent.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE O4 - HKCU\..\Run: [Reminder] C:\programme\Money\System\reminder.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe O4 - Startup: palmOne Registration.lnk = C:\Palm\register.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: HotSync Manager.lnk = C:\Palm\Hotsync.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe Vielen Dank!! |
|
|
ich habe 2 sehr störende Probleme und hoffe man kann mir hier helfen. Ich habe bereits die Suchfunktion benutzt, bin aber aus den Threads nicht ganz schlau geworden. Wenn mir jemand in einfachen Worten erklären könnte, wie ich diese zwei Sachen beheben könnte, wäre ich sehr dankbar.
1.) Problem:
Genau wie in diesem thread http://board.protecus.de/t16894.htm?highlight=toolbar auf dem screenshot zu sehen ist, habe ich eine unerwünschte Toolbar, die ich nicht wegbekomme. Allerdings nicht nur im Internetexplorer, sondern in jedem Ordner, den ich öffne. Arbeitsplatz etc
Schritt 1 habe ich bereits gemacht, also HiJackThis geladen, entpackt und laufen lassen. Jetzt habe ich ein HiJack-Log und weiß leider nicht, was ich damit anfangen soll. Anders gesagt, ich weiß nicht, wie ich das Log "auswerten" soll.
Das Log:
Logfile of HijackThis v1.99.1
Scan saved at 22:32:29, on 23.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\T-Online\BSW4\ISDN SpeedManager\Tomcat.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Roxio\GoBack\GBPoll.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Opera7\opera.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Media Markt\Desktop\Sicherheitssoftware\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ihmdt.dll
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ihmdt.dll
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\T-Online\BSW4\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://c:\nosuch.mht!http://2awm.com/pop/chm/nwall.chm::/webload.exe
O16 - DPF: {6D5FCFCB-FA6C-4CFB-9918-5F0A9F7365F2} - http://www.gigex.com/tv/igor/gigexagent.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{19624346-FC87-4296-AB39-1925874B06CF}: NameServer = 85.255.115.91,85.255.112.137
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB1B6AA4-66BD-4C9A-83C9-DC8123CF0D7D}: NameServer = 85.255.115.91,85.255.112.137
O17 - HKLM\System\CS1\Services\Tcpip\..\{19624346-FC87-4296-AB39-1925874B06CF}: NameServer = 85.255.113.149,85.255.112.11
O17 - HKLM\System\CS2\Services\Tcpip\..\{19624346-FC87-4296-AB39-1925874B06CF}: NameServer = 85.255.115.91,85.255.112.137
O17 - HKLM\System\CS3\Services\Tcpip\..\{19624346-FC87-4296-AB39-1925874B06CF}: NameServer = 85.255.115.91,85.255.112.137
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: GBPoll - Roxio, Inc. - C:\Programme\Roxio\GoBack\GBPoll.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
2.) Problem:
Seit Kurzem habe ich eine Reihe von Icons auf meinem Desktop. Es sind 6 recht große Bilder in einer vertikalen Reihe mit so klangvollen Untertiteln wie "Gambling" "Dating" "Pharmacy" "XXX" "Spyware" und "Insurance". Wenn ich mit dem Mauszeiger darübergehe popt jeweils ein Fenster mit einer Liste auf, die wohl direkt zu links dieser "Themenbereiche" führen. Im Windows Explorer unter "Desktop" wird dieses Programm oder Pop-Up (was es genau ist, weiß ich leider nicht, kann es also auch nicht korrekt betiteln) aber nicht angezeigt. Und im msconfig -6 wird es auch nicht unter den Programmen aufgelistet, die der Pc beim Booten hochlädt. (Habe testesweise einmal alle deaktiviert)
Da die Begriffe eigentlich denen der toolbar ähneln, könnten die beiden Probleme auch auf die selbe Ursache zurückzuführen sein. Das ist aber nur eine Vermutung meinerseits.
Falls ich diese Frage in das falsche board gestellt haben sollte, tut es mir leid, bin noch neu hier und etwas desorientiert.
------------------------------
EDIT:
So, nach einigem Rumprobieren hat sich das Problem mit der Toolbar erledigt. (Habe zuerst nicht verstanden, dass das "Auswerten" automatisch bei dem Link der dort -dem Link in Sabinas Post- angegeben wurde, funktioniert )
Problem 1 ist also gegessen.
Problem 2 allerdings noch nicht. Diese interaktiven Bilder sind immer noch da und ich kriege sie nicht weg. Würde ein Screenshot meines Desktops helfen, um klar zu machen, was ich meine?