msnarrator.exe <- Trojaner?

#1 Hi Leute!
Ich habe ein riesiges Problem.Ich habe seit einigen Tagen in meinem Taskmanager eine Anwendung namens "msnarrator.exe".
Sie hat sich direkt bei Windows eingenistet.Einmal als .exe direkt im Windowsordner und einmal im Windows/Prefetch Ordner als PF Datei.Ich habe sie auch schon mehrfach gelöscht,aber das Teil kommt immer wieder.
Die .exe klinkt sich immer dann ein,wenn ich den Internetexplorer starte.Nach ca 5 min sind im Taskmanager meist 4 Internetexplorer auf.Gestern waren es sogar 14!Dies ist aber nur im Taskmanager.In der Taskleiste ist aber nichts zu sehen.
Ich habe auch schon meinen Virenscanner (Antivir) drüberlaufen lassen,aber er findet nichts (ausser einem anderen Trojaner).
msnarrator hat sich auch in die Registry eingeschrieben,ich kann ihn da aber nicht rauslöschen,da ich den Schlüssel nicht kenne.
Ist das ein trojaner?Hat jemand von euch schonmal msnarrator gehabt?
Wie bekomme ich das wieder runter?
Ich bin für jede Hilfe dankbar!

PS:Ich habe Win XP Pro

#2 Poste hier mal ein HijackThis-Log.
Programm und Anleitung findest du hier: http://board.protecus.de/t9391.htm
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#3 Habs mir runtergeladen und gescannt.Und nu?Den ganzen Logtext hierrein posten?

#4 Ja. Ist hier in letzter Zeit schon zum Volkssport geworden...
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#5 Ok,dann werd ich mich auch ma sportlich betätigen.

Logfile of HijackThis v1.97.7
Scan saved at 18:41:42, on 01.01.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
F:\T3 Desktop\wbload.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
F:\Maus von Stefan\lwbwheel.exe
F:\cfos\cFos.v5.0.5.2641.WIN.2k.XP.by.NightElf\cFosDNT.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
E:\Medal of Honor\The All-Seeing Eye\eye.exe
F:\PopUp Blocker\NoPopUp 2003\nopopup.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\msnarrator.exe
C:\Dokumente und Einstellungen\Robert.ANGEL_OF_DEATH\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?hkcu
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.9/index.php?v=1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=129192
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default-homepage-network.com/start.cgi?hklm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?hklm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.web.de/
O1 - Hosts: 81.211.105.6 www.0190-dialer.com
O1 - Hosts: 81.211.105.6 www.22469.com
O1 - Hosts: 81.211.105.6 www.3wisp.com
O1 - Hosts: 81.211.105.6 www.adult-cinema.org
O1 - Hosts: 81.211.105.6 www.adultfreehosting.com
O1 - Hosts: 81.211.105.6 www.adulthosting.com
O1 - Hosts: 81.211.105.6 www.adultlinks1.com
O1 - Hosts: 81.211.105.6 www.adultmegamovies.com
O1 - Hosts: 81.211.105.6 www.adultsexmovie.net
O1 - Hosts: 81.211.105.6 www.adultwall.com
O1 - Hosts: 81.211.105.6 www.afro-sex.com
O1 - Hosts: 81.211.105.6 www.agreathost.net
O1 - Hosts: 81.211.105.6 www.alehina.com
O1 - Hosts: 81.211.105.6 www.allnichestgp.com
O1 - Hosts: 81.211.105.6 www.allowednet.com
O1 - Hosts: 81.211.105.6 www.amateurlips.com
O1 - Hosts: 81.211.105.6 www.amateurnudephoto.com
O1 - Hosts: 81.211.105.6 www.amateursgonebad.com
O1 - Hosts: 81.211.105.6 www.ambersamateurhardcore.com
O1 - Hosts: 81.211.105.6 www.anyamateur.com
O1 - Hosts: 81.211.105.6 www.apornhost.com
O1 - Hosts: 81.211.105.6 www.findmodels.com
O1 - Hosts: 81.211.105.6 www.asianscum.com
O1 - Hosts: 81.211.105.6 www.awethumbs.com
O1 - Hosts: 81.211.105.6 www.badassxxx.com
O1 - Hosts: 81.211.105.6 www.badbimbo.com
O1 - Hosts: 81.211.105.6 www.beautifulbondage.com
O1 - Hosts: 81.211.105.6 www.bestpornhost.com
O1 - Hosts: 81.211.105.6 www.biggestdickinporn.net
O1 - Hosts: 81.211.105.6 www1.3wisp.com
O1 - Hosts: 81.211.105.6 www1.kinghost.com
O1 - Hosts: 81.211.105.6 www1.ndhosting.com
O1 - Hosts: 81.211.105.6 www1.sexls.com
O1 - Hosts: 81.211.105.6 www1.smutserver.com
O1 - Hosts: 81.211.105.6 www1.toptgphost.com
O1 - Hosts: 81.211.105.6 www1.xfreehosting.com
O1 - Hosts: 81.211.105.6 www10.kinghost.com
O1 - Hosts: 81.211.105.6 www10.smutserver.com
O1 - Hosts: 81.211.105.6 www11.kinghost.com
O1 - Hosts: 81.211.105.6 www11.smutserver.com
O1 - Hosts: 81.211.105.6 www12.kinghost.com
O1 - Hosts: 81.211.105.6 www12.smutserver.com
O1 - Hosts: 81.211.105.6 www13.smutserver.com
O1 - Hosts: 81.211.105.6 www14.smutserver.com
O1 - Hosts: 81.211.105.6 www15.smutserver.com
O1 - Hosts: 81.211.105.6 www16.smutserver.com
O1 - Hosts: 81.211.105.6 www17.smutserver.com
O1 - Hosts: 81.211.105.6 www18.smutserver.com
O1 - Hosts: 81.211.105.6 www19.smutserver.com
O1 - Hosts: 81.211.105.6 www2.3wisp.com
O1 - Hosts: 81.211.105.6 www2.kinghost.com
O1 - Hosts: 81.211.105.6 www2.ndhosting.com
O1 - Hosts: 81.211.105.6 www2.smutserver.com
O1 - Hosts: 81.211.105.6 www2.toptgphost.com
O1 - Hosts: 81.211.105.6 www2.xfreehosting.com
O1 - Hosts: 81.211.105.6 www2.zpornstars.com
O1 - Hosts: 81.211.105.6 www20.smutserver.com
O1 - Hosts: 81.211.105.6 www21.smutserver.com
O1 - Hosts: 81.211.105.6 www22.smutserver.com
O1 - Hosts: 81.211.105.6 www23.smutserver.com
O1 - Hosts: 81.211.105.6 www24.smutserver.com
O1 - Hosts: 81.211.105.6 www25.smutserver.com
O1 - Hosts: 81.211.105.6 www26.smutserver.com
O1 - Hosts: 81.211.105.6 www27.smutserver.com
O1 - Hosts: 81.211.105.6 www28.smutserver.com
O1 - Hosts: 81.211.105.6 www29.smutserver.com
O1 - Hosts: 81.211.105.6 www3.kinghost.com
O1 - Hosts: 81.211.105.6 www3.ndhosting.com
O1 - Hosts: 81.211.105.6 www3.smutserver.com
O1 - Hosts: 81.211.105.6 www3.xfreehosting.com
O1 - Hosts: 81.211.105.6 www3.zpornstars.com
O1 - Hosts: 81.211.105.6 www30.smutserver.com
O1 - Hosts: 81.211.105.6 www31.smutserver.com
O1 - Hosts: 81.211.105.6 www32.smutserver.com
O1 - Hosts: 81.211.105.6 www4.kinghost.com
O1 - Hosts: 81.211.105.6 www4.smutserver.com
O1 - Hosts: 81.211.105.6 www4.xfreehosting.com
O1 - Hosts: 81.211.105.6 www4.zpornstars.com
O1 - Hosts: 81.211.105.6 www5.kinghost.com
O1 - Hosts: 81.211.105.6 www5.smutserver.com
O1 - Hosts: 81.211.105.6 www6.kinghost.com
O1 - Hosts: 81.211.105.6 www6.smutserver.com
O1 - Hosts: 81.211.105.6 www7.kinghost.com
O1 - Hosts: 81.211.105.6 www7.smutserver.com
O1 - Hosts: 81.211.105.6 www8.kinghost.com
O1 - Hosts: 81.211.105.6 www8.smutserver.com
O1 - Hosts: 81.211.105.6 www9.kinghost.com
O1 - Hosts: 81.211.105.6 www9.smutserver.com
O1 - Hosts: 81.211.105.6 www.bigmovies.com
O1 - Hosts: 81.211.105.6 www.bigpornvideos.com
O1 - Hosts: 81.211.105.6 www.big-xxx-movies.com
O1 - Hosts: 81.211.105.6 www.samplehosting.com
O1 - Hosts: 81.211.105.6 www.blinghosting.com
O1 - Hosts: 81.211.105.6 www.blitz-hosting.com
O1 - Hosts: 81.211.105.6 www.boyanxxx.com
O1 - Hosts: 81.211.105.6 www.bustyx.com
O1 - Hosts: 81.211.105.6 www.cleanadulthost.com
O1 - Hosts: 81.211.105.6 www.cleanpornhost.com
O1 - Hosts: 81.211.105.6 www.cyberxxxhost.com
O1 - Hosts: 81.211.105.6 www.dialcom.com
O1 - Hosts: 81.211.105.6 www.eldererotica.tv
O2 - BHO: (no name) - {000000DA-0786-4633-87C6-1AA7A4429EF1} - C:\WINDOWS\System32\emesx.dll
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - (no file)
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file)
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - F:\Downloadmanager\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Acrobat Reader\Adobe Reader 6.0\Deutsch\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6085FB5B-C281-4B9C-8E5D-D2792EA30D2F} - C:\WINDOWS\System32\NetPal.dll (file missing)
O2 - BHO: Clear Search - {947E6D5A-4B9F-4CF4-91B3-562CA8D03313} - C:\Programme\ClearSearch\IE_ClrSch.DLL
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-5F8507C5F4E9} - C:\WINDOWS\iempg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FLMBROWSERMOUSE] F:\\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] F:\\KbdAp32A.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [LWBMOUSE] F:\Maus von Stefan\lwbwheel.exe
O4 - HKLM\..\Run: [cFosDNT] F:\cfos\cFos.v5.0.5.2641.WIN.2k.XP.by.NightElf\cFosDNT.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Internet Explorer Updater] C:\WINDOWS\system32\lexbac.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [msnarrator] C:\WINDOWS\msnarrator.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKLM\..\RunOnce: [SpyBotSnD] "F:\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\RunOnce: [ICQ] F:\ICQ\ICQ\Icq.exe -trayboot
O8 - Extra context menu item: &Download with &DAP - F:\DOWNLO~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - F:\DOWNLO~1\DAP\dapextie2.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: BINGOOO (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O10 - Broken Internet access because of LSP provider 'lsp.dll' missing
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37875.2111226852
O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} - http://www.whenusearch.com/WUInstSEWC.cab
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} - http://cdn.climaxbucks.com/mt/dialers/fc/UniDistIO.CAB
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/crack.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB6D1D68-7C74-421D-BEEE-A57F7389F727}: NameServer = 213.191.74.18 213.191.74.19

Sind die ganzen Pornolinks das Resultat von nem Dialer oder Pop Ups?Weil ich kenn die Seiten nich.

#6 Puh, wo fangen wir da an und wo hoeren wir denn da auf? 8-)

"Fix"e mal alles was unter "01" steht, starte neu und installiere dir Adaware(www.lavasoft.de) und SpybotSD(security.kolla.de) installiere und update es. Lasse die gefundenen Sachen reinigen und poste ein neues Log.
__________
MfG Ralf
SEO-Spam Hunter

#7 Folgende Prozesse/Dateien sagen mir nix, und sind damit erstmal potentiell verdächtig:
F:\T3 Desktop\wbload.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
F:\Maus von Stefan\lwbwheel.exe
F:\cfos\cFos.v5.0.5.2641.WIN.2k.XP.by.NightElf\cFosDNT.exe
C:\WINDOWS\msnarrator.exe

Die Datein aus dieser Liste, die du selber nicht kennst bzw. als vertrauenswürdig einstufst (z.B. die msnarrator.exe), solltest du mal hier scannen lassen, und das Ergebnis hier posten:
http://www.kaspersky.com/remoteviruschk.html


Zusatz zu raman's Posting: da du ja offensichtlich 'Spybot S&D' schon installiert hast, du aber trotzdem offenbar ziemlich viel Spyware-Mist auf dem Rechner hast, frage ich mich, ob du das Programm auch immer brav updatest...?
Also, Spybot S&D updaten und damit den Rechner scannen (zusätzlich zu dem oben genannten)!
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#8 Hallo forge,

suche mal hier http://www.sysinfo.org/startuplist.php
Die Datei Cfosdnt.exe ist ein Fossiltreiber (fuer ISDN/DSL).
Obwohl: Diese Datei wollte ich auch wohl haben: C:\WINDOWS\msnarrator.exe !
__________
MfG Ralf
SEO-Spam Hunter

#9 @forge
Die Pfade,die du aufgelistet hast,sind mir alle bekannt,bis auf msnarrator.exe.
Habe die exe ma mit Kaspersky gescannt und das kam als Ergebnis:
Current object: msnarrator.exe
msnarrator.exe Packed: UPX
msnarrator.exe Infected: TrojanClicker.Win32.Rotarran

Und wie bekomme ich den nu weg?Habe auch nochma mit Antivir gescannt und dabei hat er noch nen Virus Namens TR/Stubby gefunden.Er konnte den aber nich löschen.Wie kann man da vorgehen?

@raman
Wie und womit kann ich das Fixen?Habe leider absolut keine Ahnung von sowas.;-(

#10 Ganz einfach, du startest hijackthis drueckst "scan", dann markierst( anhaken) du alles was mit "01", "R" anfaengt und zusaetzlich noch das hier:
O4 - HKLM\..\Run: [msnarrator] C:\WINDOWS\msnarrator.exe
O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} - http://www.whenusearch.com/WUInstSEWC.cab
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} - http://cdn.climaxbucks.com/mt/dialers/fc/UniDistIO.CAB
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/*hier nicht*.CAB

Danach drueckst du auf "fix checked" (rechts neben dem save log Button), neustarten und dann geht es mit der Spybotsd und Adaware installation weiter. Wenn du Spybot und Hijackthis updaten und dein System ueberpruefen und reinigen lassen hast, poste bitte ein neues Hijackthis Log.
__________
MfG Ralf
SEO-Spam Hunter

#11 So,habe das ma gemacht.Nur die Updates nich.Von Spybot habe ich die aktuellste Version und bei Hijackthis weiss ich nicht,wo das geht.;-(
Jedenfalls nochma mit Hijackthis gescannt und hier nu der Log:
Logfile of HijackThis v1.97.7
Scan saved at 18:33:04, on 02.01.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
F:\T3 Desktop\wbload.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
F:\Maus von Stefan\lwbwheel.exe
F:\cfos\cFos.v5.0.5.2641.WIN.2k.XP.by.NightElf\cFosDNT.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Dokumente und Einstellungen\Robert.ANGEL_OF_DEATH\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O1 - Hosts: 81.211.105.12 www.globe-finder.cc
O1 - Hosts: 81.211.105.12 globe-finder.cc
O1 - Hosts: 81.211.105.12 searchscout.com
O1 - Hosts: 81.211.105.12 www.searchscout.com
O1 - Hosts: 81.211.105.12 193.125.201.50
O1 - Hosts: 81.211.105.12 206.161.200.105
O1 - Hosts: 81.211.105.12 209.66.114.130
O1 - Hosts: 81.211.105.12 216.200.3.32
O1 - Hosts: 81.211.105.12 64.124.45.181
O1 - Hosts: 81.211.105.12 66.250.130.194
O1 - Hosts: 81.211.105.12 66.40.16.131
O1 - Hosts: 81.211.105.12 alfa-search.com
O1 - Hosts: 81.211.105.12 allhyperlinks.com
O1 - Hosts: 81.211.105.12 approvedlinks.com
O1 - Hosts: 81.211.105.12 bestcrawler.com
O1 - Hosts: 81.211.105.12 ewebsearch.net
O1 - Hosts: 81.211.105.12 global-finder.com
O1 - Hosts: 81.211.105.12 idgsearch.com
O1 - Hosts: 81.211.105.12 ie-search.com
O1 - Hosts: 81.211.105.12 itseasy.us
O1 - Hosts: 81.211.105.12 jetseeker.com
O1 - Hosts: 81.211.105.12 martfinder.com
O1 - Hosts: 81.211.105.12 rightfinder.net
O1 - Hosts: 81.211.105.12 runsearch.com
O1 - Hosts: 81.211.105.12 search.unipages.cc
O1 - Hosts: 81.211.105.12 search.xrenoder.com
O1 - Hosts: 81.211.105.12 search-2003.com
O1 - Hosts: 81.211.105.12 searchdot.net
O1 - Hosts: 81.211.105.12 searchv.com
O1 - Hosts: 81.211.105.12 searchxp.com
O1 - Hosts: 81.211.105.12 seekwell.net
O1 - Hosts: 81.211.105.12 slawsearch.com
O1 - Hosts: 81.211.105.12 srch-us6.hpwis.com
O1 - Hosts: 81.211.105.12 start-space.com
O1 - Hosts: 81.211.105.12 searchmyrequest.com
O1 - Hosts: 81.211.105.12 therealsearch.com
O1 - Hosts: 81.211.105.12 topsearcher.com
O1 - Hosts: 81.211.105.12 unipages.cc
O1 - Hosts: 81.211.105.12 webcoolsearch.com
O1 - Hosts: 81.211.105.12 worldnet.att.net
O1 - Hosts: 81.211.105.12 yourbookmarks.ws
O2 - BHO: (no name) - {000000DA-0786-4633-87C6-1AA7A4429EF1} - C:\WINDOWS\System32\emesx.dll
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - (no file)
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Acrobat Reader\Adobe Reader 6.0\Deutsch\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6085FB5B-C281-4B9C-8E5D-D2792EA30D2F} - C:\WINDOWS\System32\NetPal.dll (file missing)
O2 - BHO: Clear Search - {947E6D5A-4B9F-4CF4-91B3-562CA8D03313} - C:\Programme\ClearSearch\IE_ClrSch.DLL
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-5F8507C5F4E9} - C:\WINDOWS\iempg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FLMBROWSERMOUSE] F:\\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] F:\\KbdAp32A.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [LWBMOUSE] F:\Maus von Stefan\lwbwheel.exe
O4 - HKLM\..\Run: [cFosDNT] F:\cfos\cFos.v5.0.5.2641.WIN.2k.XP.by.NightElf\cFosDNT.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Internet Explorer Updater] C:\WINDOWS\system32\lexbac.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVPCC] "F:\Kaspersky Anti-Virus Personal v4.5.0.94 Regged-Pleasuredome101\avpcc.exe" /wait
O4 - HKLM\..\Run: [msnarrator] C:\WINDOWS\msnarrator.exe
O4 - HKLM\..\Run: [SpybotSnD] "F:\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &Download with &DAP - F:\DOWNLO~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - F:\DOWNLO~1\DAP\dapextie2.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: BINGOOO (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O10 - Broken Internet access because of LSP provider 'lsp.dll' missing
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37875.2111226852

Habe im Taskmanager gesehen,das msnarrator immernoch da is.;-(

#12 Hm, da ist immer noch so einiges. Fixe mal das:
O10 - Broken Internet access because of LSP provider 'lsp.dll' missing
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O2 - BHO: (no name) - {000000DA-0786-4633-87C6-1AA7A4429EF1} - C:\WINDOWS\System32\emesx.dll
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - (no file)
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file)
O2 - BHO: (no name) - {6085FB5B-C281-4B9C-8E5D-D2792EA30D2F} - C:\WINDOWS\System32\NetPal.dll (file missing)
O2 - BHO: Clear Search - {947E6D5A-4B9F-4CF4-91B3-562CA8D03313} - C:\Programme\ClearSearch\IE_ClrSch.DLL
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-5F8507C5F4E9} - C:\WINDOWS\iempg.dll
O4 - HKLM\..\Run: [Internet Explorer Updater] C:\WINDOWS\system32\lexbac.exe
O4 - HKLM\..\Run: [msnarrator] C:\WINDOWS\msnarrator.exe
O4 - HKLM\..\Run: [AVPCC] "F:\Kaspersky Anti-Virus Personal v4.5.0.94 Regged-Pleasuredome101\avpcc.exe" /wait
und natuerlich alles unter "01"
__________
MfG Ralf
SEO-Spam Hunter

#13 Wenn der Eintrag "O4 - HKLM\..\Run: [msnarrator] C:\WINDOWS\msnarrator.exe" trotz des Fixens immer wieder kommt, solltest du vor dem Fixen den Prozess "msnarrator.exe" via Win-Taskmanager beenden.
Könnte nämlich sein, dass der Prozess den Eintrag sonst immer wieder herstellt...

Hast du den Rechner mal komplett mit Kaspersky (das du dir ja offenbar schon "besorgt" hast... ) gescannt?
Wenn nein, mach das auch mal zwischendurch, schalte aber vor dem Scan den Antivir-Wächter aus.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#14 So,nochma alles gescannt.Ich wäre ja fast ausgerastet!!!Habe Neustart gemacht.Dann hat Spybot erstma seinen Scan gemacht,im Anschluss aufgehängt und als ich Spybot endlich beenden konnte,bin ich nirgendwo mehr raufgekommen und konnte nichts machen!!!Habe mindestens 3mal neugestartet.Jedesmal das gleiche!*grrrrr*
Jedenfalls hat es jetzt geklappt.msnarrator.exe war beim Systemstart nicht mehr im Taskmanager drin sondern nur bei Windoof.Habe es gelöscht und den Papierkorb auch gleich geleert.Ma gucken,ob die .exe beim nächsten Systemstart wieder da is und ob es dann wieder solange dauert,bis er komplett hochgefahren ist.Habe jedenfalls eben nochma Hijackthis scannen lassen,hier nun die Logfile:
Logfile of HijackThis v1.97.7
Scan saved at 19:50:03, on 02.01.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
F:\T3 Desktop\wbload.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
F:\Maus von Stefan\lwbwheel.exe
F:\cfos\cFos.v5.0.5.2641.WIN.2k.XP.by.NightElf\cFosDNT.exe
C:\WINDOWS\System32\ctfmon.exe
F:\Kaspersky Anti-Virus Personal v4.5.0.94 Regged-Pleasuredome101\avpm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Robert.ANGEL_OF_DEATH\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Acrobat Reader\Adobe Reader 6.0\Deutsch\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FLMBROWSERMOUSE] F:\\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] F:\\KbdAp32A.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [LWBMOUSE] F:\Maus von Stefan\lwbwheel.exe
O4 - HKLM\..\Run: [cFosDNT] F:\cfos\cFos.v5.0.5.2641.WIN.2k.XP.by.NightElf\cFosDNT.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &Download with &DAP - F:\DOWNLO~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - F:\DOWNLO~1\DAP\dapextie2.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: BINGOOO (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37875.2111226852
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB6D1D68-7C74-421D-BEEE-A57F7389F727}: NameServer = 213.191.74.18 213.191.74.19