vermutlich mehrere Malware auf PC - Hijackthis File

#0
20.05.2006, 14:25
...neu hier

Beiträge: 7
#1 Hallo!

Ich hab seit ungefär 5-6 Wochen Probleme mit meinem Laptop. Erst gingen einige Hotkeys, wie Lautstärkeregler, nicht und jetzt gehen z.B. smilys im MSN Messenger nicht. Hab mal HijackThis geladen und einen Scan gemacht. Kenn mich aber nicht gut genug um es zu deuten!

Vielleicht könnt ihm mir ja helfen:

Logfile of HijackThis v1.99.1
Scan saved at 15:20:42, on 20.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: XBTP00885 - {54F33362-1828-4181-9CC7-4BC727C38B78} - C:\PROGRA~1\MEINPO~1\MEINPO~1.DLL
O3 - Toolbar: Mein PONSline - {A6F74643-242A-A7A4-8DD5-AB40B9E25345} - C:\Programme\Mein PONSline\MeinPONSline.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.com/de/download/NpFv415.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

Dankeschön!
bigmo23[b]
Dieser Beitrag wurde am 20.05.2006 um 15:07 Uhr von bigmo23 editiert.
Seitenanfang Seitenende
20.05.2006, 16:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Mein PONSline

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.05.2006, 17:28
...neu hier

Themenstarter

Beiträge: 7
#3 Hallo!
Also, hab gescannt und hier das Ergebnis:
REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 20.05.2006 18:20:25 for strings:
; 'mein ponsline
mein ponsline
mein ponsline
mein ponsline
mein ponsline
mein ponsline
mein ponsline'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


und jetzt?!?!!?

Danke
Seitenanfang Seitenende
20.05.2006, 20:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4
gib ein:


1.
{54F33362-1828-4181-9CC7-4BC727C38B78}

2.
{A6F74643-242A-A7A4-8DD5-AB40B9E25345}

3.
MeinPONSline
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.05.2006, 23:23
...neu hier

Themenstarter

Beiträge: 7
#5 Hier das Ergebnis:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 21.05.2006 00:23:45 for strings:
; '{54f33362-1828-4181-9cc7-4bc727c38b78}'
; '{a6f74643-242a-a7a4-8dd5-ab40b9e25345}'
; 'meinponsline'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{54F33362-1828-4181-9CC7-4BC727C38B78}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{54F33362-1828-4181-9CC7-4BC727C38B78}\InprocServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{54F33362-1828-4181-9CC7-4BC727C38B78}\ProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{54F33362-1828-4181-9CC7-4BC727C38B78}\Programmable]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{54F33362-1828-4181-9CC7-4BC727C38B78}\TypeLib]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{54F33362-1828-4181-9CC7-4BC727C38B78}\VersionIndependentProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}\Implemented Categories]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}\InprocServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}\InprocServer32]
@="C:\\Programme\\Mein PONSline\\MeinPONSline.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}\ProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}\Programmable]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}\TypeLib]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}\VersionIndependentProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ToolBand.XBTP00885\CLSID]
@="{54F33362-1828-4181-9CC7-4BC727C38B78}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ToolBand.XBTP00885.1\CLSID]
@="{54F33362-1828-4181-9CC7-4BC727C38B78}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0F4DC27C-263A-4D3E-A348-9C363F0A54BE}\1.0\0\win32]
@="C:\\Programme\\Mein PONSline\\MeinPONSline.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\XBTB00885.IEToolbar\CLSID]
@="{A6F74643-242A-A7A4-8DD5-AB40B9E25345}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\XBTB00885.IEToolbar.1\CLSID]
@="{A6F74643-242A-A7A4-8DD5-AB40B9E25345}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\XBTB00885.XBTB00885\CLSID]
@="{A6F74643-242A-A7A4-8DD5-AB40B9E25345}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\XBTB00885.XBTB00885.1\CLSID]
@="{A6F74643-242A-A7A4-8DD5-AB40B9E25345}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
; Contents of value:
;
"{A6F74643-242A-A7A4-8DD5-AB40B9E25345}"=hex:00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{54F33362-1828-4181-9CC7-4BC727C38B78}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XBTB00885.XBTB00885Toolbar]
"UninstallString"="regsvr32 /u /s \"C:\\Programme\\Mein PONSline\\MeinPONSline.dll\" "

[HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
; Contents of value:
; cf÷¦*$¤§Õ«@¹âse{24a7168c-5e41-4a8a-af96-afb39df2061e}
"{A6F74643-242A-A7A4-8DD5-AB40B9E25345}"=hex:43,46,f7,a6,2a,24,a4,a7,8d,d5,ab,\
40,b9,e2,53,45,7b,32,34,41,37,31,36,38,43,2d,35,45,34,31,2d,34,61,38,61,2d,\
41,46,39,36,2d,41,46,42,33,39,44,46,32,30,36,31,45,7d,00

[HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
; Contents of value:
; cf÷¦*$¤§Õ«@¹âse{24a7168c-5e41-4a8a-af96-afb39df2061e}
"{A6F74643-242A-A7A4-8DD5-AB40B9E25345}"=hex:43,46,f7,a6,2a,24,a4,a7,8d,d5,ab,\
40,b9,e2,53,45,7b,32,34,41,37,31,36,38,43,2d,35,45,34,31,2d,34,61,38,61,2d,\
41,46,39,36,2d,41,46,42,33,39,44,46,32,30,36,31,45,7d,00

[HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{54F33362-1828-4181-9CC7-4BC727C38B78}]

[HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{54F33362-1828-4181-9CC7-4BC727C38B78}\iexplore]

[HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}]

[HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}\iexplore]

[HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\XBTB00885\Toolbar]
"firstURL"="http://www.pons.de/aktiv/onlinewb/meinponsline/gewinnspiel.htm"
"updateUrl"="http://www.ponsline.de/suchleisten/IE/MeinPONSline.cab"
"urlAfterUpdate"="http://www.pons.de/aktiv/onlinewb/meinponsline/nachupdate.htm"
"urlAfterUninstall"="http://www.pons.de/aktiv/onlinewb/meinponsline/nachdeinstallation.htm"

; End Of The Log...


und nun??
danke
Seitenanfang Seitenende
21.05.2006, 12:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 bigmo23

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{54F33362-1828-4181-9CC7-4BC727C38B78}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0F4DC27C-263A-4D3E-A348-9C363F0A54BE}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{A6F74643-242A-A7A4-8DD5-AB40B9E25345}"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{54F33362-1828-4181-9CC7-4BC727C38B78}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XBTB00885.XBTB00885Toolbar]

[-HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{54F33362-1828-4181-9CC7-4BC727C38B78}]
[-HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}]
[-HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\XBTB00885\Toolbar]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ToolBand.XBTP00885\CLSID]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ToolBand.XBTP00885.1\CLSID]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\XBTB00885.IEToolbar\CLSID]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\XBTB00885.IEToolbar.1\CLSID]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\XBTB00885.XBTB00885\CLSID]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\XBTB00885.XBTB00885.1\CLSID]

2.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

3.
PC neustarten

4.
deinstallieren
C:\\Programme\\Mein PONSline

------------

5.
poste noch mal die Logs von:

gib ein:

1.
{54F33362-1828-4181-9CC7-4BC727C38B78}

2.
{A6F74643-242A-A7A4-8DD5-AB40B9E25345}

3.
MeinPONSline
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.05.2006, 16:42
...neu hier

Themenstarter

Beiträge: 7
#7 Hallo!
Also, hab die schritte vollzogen, hier das Ergebnis. Myponsline konnte ich nicht finden um es sauber zu deinstallieren, deshalb hab ich es neu installiert und deinstalliert unter Systemsteuerung --> Programme.
Hier das Logfile:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 21.05.2006 17:38:17 for strings:
; '{54f33362-1828-4181-9cc7-4bc727c38b78}'
; '{a6f74643-242a-a7a4-8dd5-ab40b9e25345}'
; 'meinponsline'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
; Contents of value:
; cf÷¦*$¤§Õ«@¹âse{24a7168c-5e41-4a8a-af96-afb39df2061e}
"{A6F74643-242A-A7A4-8DD5-AB40B9E25345}"=hex:43,46,f7,a6,2a,24,a4,a7,8d,d5,ab,\
40,b9,e2,53,45,7b,32,34,41,37,31,36,38,43,2d,35,45,34,31,2d,34,61,38,61,2d,\
41,46,39,36,2d,41,46,42,33,39,44,46,32,30,36,31,45,7d,00

[HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
; Contents of value:
; cf÷¦*$¤§Õ«@¹âse{5ede7817-6020-4e06-b70d-a978f6d203ad}
"{A6F74643-242A-A7A4-8DD5-AB40B9E25345}"=hex:43,46,f7,a6,2a,24,a4,a7,8d,d5,ab,\
40,b9,e2,53,45,7b,35,45,44,45,37,38,31,37,2d,36,30,32,30,2d,34,65,30,36,2d,\
42,37,30,44,2d,41,39,37,38,46,36,44,32,30,33,41,44,7d,00

[HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{54F33362-1828-4181-9CC7-4BC727C38B78}]

[HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{54F33362-1828-4181-9CC7-4BC727C38B78}\iexplore]

[HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}]

[HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}\iexplore]

[HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"D:\\Downloads\\MeinPONSline.exe"="MeinPONSline"

; End Of The Log...


Danke
mo
Seitenanfang Seitenende
21.05.2006, 20:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1.
loesche manuell:

D:\Downloads\MeinPONSline.exe

----------------------------------------
2.
Start - Ausfuehren - regedit

bearbeiten - suchen
reinkopieren:

{A6F74643-242A-A7A4-8DD5-AB40B9E25345}
{54F33362-1828-4181-9CC7-4BC727C38B78}

loesche alles, was du findest und starte den PC neu.

-----------------
3.
berichte, ob es noch Probleme mit dem Rechner gibt
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.05.2006, 21:29
...neu hier

Themenstarter

Beiträge: 7
#9 Hab ich alles gemacht, aber selbe probleme!
Hotkeys, die nicht funktionieren, Smileys, die nicht erkannt werden, ein Mousepad, das nicht richtig funktioniert.

Was kann ich denn sonst noch machen?

bigmo23
Seitenanfang Seitenende
21.05.2006, 23:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 TuneUp 2006 (30 Tage free) Shareware
http://virus-protect.org/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner

dann berichte, wie es laueft
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.05.2006, 14:20
...neu hier

Themenstarter

Beiträge: 7
#11 Hallo!
Hab TuneUp laufen lassen, hat 927 Probleme gefunden und behoben aber immernoch die gleichen Probleme.

Was nun?

bigmo
Seitenanfang Seitenende
27.05.2006, 14:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12

Zitat

Hotkeys, wie Lautstärkeregler, nicht und jetzt gehen z.B. smilys im MSN Messenger nicht.
an Viren kann es nicht liegen... ich kann dir nicht weiterhelfen. Sorry
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.05.2006, 19:30
...neu hier

Themenstarter

Beiträge: 7
#13 OK, danke dir füe deine Mühe!!!!!!

Bigmo23
Seitenanfang Seitenende