fremde Toolbar und Icons

#1 Hallo,

ich habe 2 sehr störende Probleme und hoffe man kann mir hier helfen. Ich habe bereits die Suchfunktion benutzt, bin aber aus den Threads nicht ganz schlau geworden. Wenn mir jemand in einfachen Worten erklären könnte, wie ich diese zwei Sachen beheben könnte, wäre ich sehr dankbar.


1.) Problem:

Genau wie in diesem thread http://board.protecus.de/t16894.htm?highlight=toolbar auf dem screenshot zu sehen ist, habe ich eine unerwünschte Toolbar, die ich nicht wegbekomme. Allerdings nicht nur im Internetexplorer, sondern in jedem Ordner, den ich öffne. Arbeitsplatz etc

Schritt 1 habe ich bereits gemacht, also HiJackThis geladen, entpackt und laufen lassen. Jetzt habe ich ein HiJack-Log und weiß leider nicht, was ich damit anfangen soll. Anders gesagt, ich weiß nicht, wie ich das Log "auswerten" soll.

Das Log:
Logfile of HijackThis v1.99.1
Scan saved at 22:32:29, on 23.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\T-Online\BSW4\ISDN SpeedManager\Tomcat.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Roxio\GoBack\GBPoll.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Opera7\opera.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Media Markt\Desktop\Sicherheitssoftware\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ihmdt.dll
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ihmdt.dll
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\T-Online\BSW4\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://c:\nosuch.mht!http://2awm.com/pop/chm/nwall.chm::/webload.exe
O16 - DPF: {6D5FCFCB-FA6C-4CFB-9918-5F0A9F7365F2} - http://www.gigex.com/tv/igor/gigexagent.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{19624346-FC87-4296-AB39-1925874B06CF}: NameServer = 85.255.115.91,85.255.112.137
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB1B6AA4-66BD-4C9A-83C9-DC8123CF0D7D}: NameServer = 85.255.115.91,85.255.112.137
O17 - HKLM\System\CS1\Services\Tcpip\..\{19624346-FC87-4296-AB39-1925874B06CF}: NameServer = 85.255.113.149,85.255.112.11
O17 - HKLM\System\CS2\Services\Tcpip\..\{19624346-FC87-4296-AB39-1925874B06CF}: NameServer = 85.255.115.91,85.255.112.137
O17 - HKLM\System\CS3\Services\Tcpip\..\{19624346-FC87-4296-AB39-1925874B06CF}: NameServer = 85.255.115.91,85.255.112.137
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: GBPoll - Roxio, Inc. - C:\Programme\Roxio\GoBack\GBPoll.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


2.) Problem:

Seit Kurzem habe ich eine Reihe von Icons auf meinem Desktop. Es sind 6 recht große Bilder in einer vertikalen Reihe mit so klangvollen Untertiteln wie "Gambling" "Dating" "Pharmacy" "XXX" "Spyware" und "Insurance". Wenn ich mit dem Mauszeiger darübergehe popt jeweils ein Fenster mit einer Liste auf, die wohl direkt zu links dieser "Themenbereiche" führen. Im Windows Explorer unter "Desktop" wird dieses Programm oder Pop-Up (was es genau ist, weiß ich leider nicht, kann es also auch nicht korrekt betiteln) aber nicht angezeigt. Und im msconfig -6 wird es auch nicht unter den Programmen aufgelistet, die der Pc beim Booten hochlädt. (Habe testesweise einmal alle deaktiviert)

Da die Begriffe eigentlich denen der toolbar ähneln, könnten die beiden Probleme auch auf die selbe Ursache zurückzuführen sein. Das ist aber nur eine Vermutung meinerseits.


Falls ich diese Frage in das falsche board gestellt haben sollte, tut es mir leid, bin noch neu hier und etwas desorientiert.

------------------------------

EDIT:

So, nach einigem Rumprobieren hat sich das Problem mit der Toolbar erledigt. (Habe zuerst nicht verstanden, dass das "Auswerten" automatisch bei dem Link der dort -dem Link in Sabinas Post- angegeben wurde, funktioniert )

Problem 1 ist also gegessen.

Problem 2 allerdings noch nicht. Diese interaktiven Bilder sind immer noch da und ich kriege sie nicht weg. Würde ein Screenshot meines Desktops helfen, um klar zu machen, was ich meine?

#2 Hallo KonstantinX,

zunächst setze im HJT bei folgenden Einträgen (sofern noch vorhanden) ein Häkchen und klicke auf "fix checked":

O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ihmdt.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ihmdt.dll
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://c:\nosuch.mht!http://2awm.com/pop/chm/nwall.chm::/webload.exe
O16 - DPF: {6D5FCFCB-FA6C-4CFB-9918-5F0A9F7365F2} - http://www.gigex.com/tv/igor/gigexagent.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{19624346-FC87-4296-AB39-1925874B06CF}: NameServer = 85.255.115.91,85.255.112.137
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB1B6AA4-66BD-4C9A-83C9-DC8123CF0D7D}: NameServer = 85.255.115.91,85.255.112.137
O17 - HKLM\System\CS1\Services\Tcpip\..\{19624346-FC87-4296-AB39-1925874B06CF}: NameServer = 85.255.113.149,85.255.112.11
O17 - HKLM\System\CS2\Services\Tcpip\..\{19624346-FC87-4296-AB39-1925874B06CF}: NameServer = 85.255.115.91,85.255.112.137
O17 - HKLM\System\CS3\Services\Tcpip\..\{19624346-FC87-4296-AB39-1925874B06CF}: NameServer = 85.255.115.91,85.255.112.137

Bitte gehe auf http://managor.de/killbox.htm und lade Dir das Programm Killbox herunter. Mit der dortigen Beschreibung löschst Du folgende Dateien (falls noch vorhanden):

c:\nosuch.mht
C:\WINDOWS\System32\ihmdt.dll

Wenn der PC neugestartet ist, gehe auf http://managor.de/escan.htm und folge den Anweisungen dort. Ich würde gerne das eScan-Log haben, um zu sehen, was bei Dir noch so sein Unwesen treibt.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#3 Hallo,
hier ein Leidensgenosse mit dem Problem 2.
Auch bei mir die Leiste mit den 6 großen Icons auf dem Arbeitsplatz rechts, wenn man mit der Maus darüberfährt, werden Menüs aus dem Web geladen. Man kann die Leise zwar mit "close" abschalten, beim Neustart ist sie aber wieder da.
Begonnen hat das ganze damit, daß ein gelbes Dreieck in der Taskleiste "Spyware" signalisierte und ich zum Kauf von "Unspypc" aufgefordert wurde.

Habe dann diverse Virenscanner bemüht und "sw20.exe", "balloon.wav" und "tscash.exe" gefunden. Habe alles beseitigt. Dann mit escan gesucht und "ezula Spyware/Adware" und "AdWare.ToolBar.SBSoft.h Spyware/Adware" sowie noch etwas gefunden(vergessen) Habe dann escan gekauft und alles beseitigt - und trotzdem ist Iconleiste immer noch da. Bin ratlos. Poste mal den HijackThis.log, kann selbst nichts finden. Escan ist auch sauber. Wielleicht weiß jemand Rat ??

Logfile of HijackThis v1.99.1
Scan saved at 19:42:36, on 27.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\locator.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\mspmspsv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINNT\System32\alg.exe
C:\WINNT\Explorer.EXE
C:\Programme\D-Link\AirPlus XtremeG\AirPlusCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\RFA\rfagent.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\programme\Money\System\reminder.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINNT\system32\ctfmon.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Palm\Hotsync.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\Sicherheit\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG] C:\Programme\D-Link\AirPlus XtremeG\AirPlusCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [rfagent] C:\Programme\RFA\rfagent.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [Reminder] C:\programme\Money\System\reminder.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe
O4 - Startup: palmOne Registration.lnk = C:\Palm\register.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Palm\Hotsync.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Vielen Dank!!