Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 12.12.2004, 13:42   #1
Gangsta
 
res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe) - Standard

res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe)



Ich hab ein problem mit res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm. Mein start seite wird mit so einer e-find oder so und manchmal öffnet sich einfach ein porno seite als popup.
ich schick euch jetzt die log datei aus hijackthis1982. Hab alles gemacht aber bins nicht los geworden bitte um schnelle hilfe


Logfile of HijackThis v1.98.2
Scan saved at 14:33:20, on 12.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\System32\WCXELMS.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Nurhan\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Nurhan\LOKALE~1\Temp\kavss.exe
C:\Dokumente und Einstellungen\Nurhan\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\WINDOWS\ietlbass.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [WCXELMS] WCXELMS.exe
O4 - HKLM\..\Run: [DInfoSetup] C:\Programme\D-Info2001\SDinfo.exe /INIKEY
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [EPSON Stylus CX6600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9EE.EXE /P26 "EPSON Stylus CX6600 Series" /O6 "USB001" /M "Stylus CX6600"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: FRITZ!dsl.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing)
O9 - Extra 'Tools' menuitem: Translator - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing)
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: concept/design's onlineTV - {F8823377-DE1A-4AB0-B45F-2A7359A06873} - C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...ec47c4891aa171
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_41.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/filesharing/activex/upload.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093967269250
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{82B02D22-0D65-4A60-ADB0-B50FF350876C}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E19F705-E409-491F-A8C5-6CB9BAC65370}: NameServer = 192.168.122.252,192.168.122.253

Alt 27.12.2004, 01:15   #2
K*LLfR_G
 
res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe) - Standard

res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe)



Hallo Leute,

auch ich hab mir heute im Internetexplorer dieses Problem nach besuch einer einschlägig bekannten serial seite eingefangen.

Bin der meinung das es sich hierbei um eine neue art der Seitenentführung handelt, welche sich zwar von Adaware blocken lässt. beim Start des I-Explorers öffnen sich nun aber zwei Fenster, das erste bringt immer die Fehlermeldung und das zweite öffnet unterschiedliche Portalseiten.

Habe mit der aktuellen Version 1.99 von HiJackThis
gibt es hier:
http://tomcoyote.org/hjt/hjt199//HijackThis.exe

den Fehler auf folgende Weise beheben können.



1.) HijackThis starten:
2.) den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:

C:\WINDOWS\ietlbass.dll

4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein.

C:\WINDOWS\System32\shdoclc.dll
C:\WINDOWS\System32\tmp~2.exe
C:\WINDOWS\System32\runmsg.exe

Erst beim letzten klickst du "Yes" und startest den PC neu.

5.)Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

6.)Startseite neu eintrgen
<Systemsteuerung> --> <Internetoptionen> --> Kartei <Allgemein> --> bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> in der Kartei <Programme> --> Webeinstellungen zurücksetzen
zurück nach <Allgemein> und dort neue Startseite festlegen.

Empfehle auch eventuell eine BAT- Datei zum Löschen derTemp Dateien einzusetzten.
ich für meinen Teil habe das wie folgt gelöst.

rem -------------- Tempdel.bat --------------
@ ECHO OFF
rd C:\Temp /S/Q
md c:\Temp
rem -------------- Tempdel.bat --------------

-->c:\temp<-- entspricht dem Pfad zum Temp Ordner
in der Regel
C:\Dokumente und Einstellungen\benutzername\Lokale Einstellungen\Temp

diese dann einfach auf autostart und fertig

Ebenfalls lässt sich damit auch prima der beim Starten ein regkey importieren der die Einträge des internetexplorers
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
auf default setzt.

auch sollte man sich den Einsatz folgender Tools überlegen, sofern noch nicht vorhanden.

#AdAware (free)
http://www.lavasoft.de/support/download/
guter Tipp regelmäßig Programm Updaten!


#AboutBuster
www.malwarebytes.biz/AboutBuster.zip
http://www.spychecker.com/program/aboutbuster.html
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen,...updaten !

K*LLfR_G
__________________


Alt 27.12.2004, 08:48   #3
chaosman
 
res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe) - Standard

res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe)



@Gangsta
diese datei C:\WINDOWS\explorer.exe hier überprüfen lassen
http://virusscan.jotti.org/de
poste das ergebnis
update bitte dein system und IE
gebe HJT einen eigenen ordner

wechsle in den abgesicherten modus und fixe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\WINDOWS\ietlbass.dll
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing)
O9 - Extra 'Tools' menuitem: Translator - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f... c47c4891aa171
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
danach manuell löschen
C:\Program Files\Windows AdControl\WinAdCtl.exe
neu starten und ein neues HJT logfile posten
chaosman
__________________
__________________

Alt 10.01.2005, 20:47   #4
Jokernight
 
res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe) - Standard

res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe)



Mein Vater hat auch das Problem!

Aber an 2 Rechnern die an einem Router hängen! Er hat jetzt keine Möglichkeit mehr online zu gehen. und ich wohne 200 KM entfernt!

was macht man jetzt?!

Alt 17.01.2005, 13:37   #5
Zappelfred
 
res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe) - Standard

res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe)



Hallo miteinander

Auch mich hat es erwischt. Ich habe aber auch schon alle oben genannten Prozeduren durchgeführt, und habe auch die meisten Dateien von meinem System entfernen können. Was allerdings bleibt, egal wie ich es lösche ist dieser http://default.home in der reg.
Bei mir taucht auch eine andere Datei immer wieder auf und zwar die wtlbass32.dll. Auch diese Datei konnte ich nicht mal mit HijackThis 1.99 dauerhaft löschen.
Da ich nun schon eine ganze Weile an dem Sche... herumbastle würde ich mich freuen, wenn mir jemand einen Tip geben kann.
Ein Problem ist auch, daß ich den Explorer wenn ich eine neue Startadresse in den Internetoptionen eingebe dann einmal mit dieser Adresse benutzen kann, wenn ich dann aber das Fenster schließe und den Explorer erneut nutzen will bekomme ich eine Fehlermeldung und in den Internetoptionen steht wieder http://default.home.
Hier noch zum Schluß mein logfile von HijackThis

Logfile of HijackThis v1.99.0
Scan saved at 14:25:20, on 17.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
d:\Programme\CPUCooL\CooLSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\htpatch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\CTFMONSS.EXE
C:\WINDOWS\System32\CSRSSW.EXE
C:\Programme\AudioSystem EWX 2496\EwxCpl.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Dokumente und Einstellungen\Fred\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - D:\Programme\DAP\DAPBHO.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINDOWS\wtlbass32.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - D:\Programme\DAP\DAPIEBar.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: SToolbar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\stoolbd.dll
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [EM_EXEC] d:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\RunOnce: [ws_uninst] C:\DOKUME~1\Fred\LOKALE~1\Temp\ws_uninst.exe -s
O4 - HKLM\..\RunOnce: [kilasic17142053.exe] C:\DOKUME~1\Fred\LOKALE~1\Temp\kilasic17142053.exe /kill
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [CTFMONSS] C:\WINDOWS\System32\CTFMONSS.EXE
O4 - HKCU\..\Run: [CSRSSW] C:\WINDOWS\System32\CSRSSW.EXE
O4 - Global Startup: EWX 2496 ControlPanel.lnk = C:\Programme\AudioSystem EWX 2496\EwxCpl.exe
O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - D:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv157/x.chm::/load.exe
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104765825682
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/soft...ch/alaunch.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/v...fo/webscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0621801A-7F47-4C60-AD1F-33DE9EAE94CB}: NameServer = 62.26.136.136 195.185.185.195
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: CPUCooLServer Service - Unknown - d:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC-cillin PersonalFirewall - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Trend NT Realtime Service - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - d:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: Ulead Burning Helper - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Bin schon etwas verzweifelt Danke für die Hilfe im voraus


Alt 17.01.2005, 15:18   #6
chaosman
 
res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe) - Standard

res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe)



@Zappelfred
lade dir escan download
anleitung hier
mache es genauso wie beschrieben wird
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
btw ein scan dauert mindestens 1 stunde
chaosman
__________________
--> res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe)

Alt 17.01.2005, 23:46   #7
Zappelfred
 
res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe) - Standard

res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe)



Hallo Leute

Erstmal danke für die schnelle Antwort. Ich habe alles so gemacht wie ihr mir geraten habt, und hier also die Ergebnisse des eScans.
(Eben noch in meinem Computer und nun auf der Showbühne ;-) )

File C:\WINDOWS\stoolbd.dll infected by "not-a-virus:AdWare.ToolBar.FastLook.a" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Fred\Desktop\hijackthis.log infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\Programme\NavExcel\NavHelper\v2.0.4c\NHelper.dll infected by "not-a-virus:AdWare.NavExcel.f" Virus. Action Taken: No Action Taken.
File C:\Programme\NavExcel\NavHelper\v2.0.4c\NHUninstaller.exe infected by "not-a-virus:AdWare.NavExcel" Virus. Action Taken: No Action Taken.
File C:\Programme\NavExcel\NavHelper\v2.0.4c\NHUpdater.exe infected by "not-a-virus:AdWare.NavExcel.b" Virus. Action Taken: No Action Taken.
File C:\Programme\NavExcel\NavHelper\v2.0.4c\v2.0.4c.b.cab infected by "not-a-virus:AdWare.NavExcel.f" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\31842A07.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\31875404.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\32275D54.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\stoolbd.dll infected by "not-a-virus:AdWare.ToolBar.FastLook.a" Virus. Action Taken: No Action Taken.
D:\Musik Programme\Logic Audio Platinum 5.30\Plug-In Settings\Es2\User Patches\069 Motions\035 VSequ-Infected_RyB.PST
File D:\Programme\DAP\Temp\LDN62.tmp infected by "Trojan.Win32.Dialer.dc" Virus. Action Taken: No Action Taken.
File E:\Downloads\Software\burn4free_setup.exe infected by "not-a-virus:AdWare.NavExcel.d" Virus. Action Taken: No Action Taken.
File E:\Downloads\Software\iMeshV4.exe infected by "not-a-virus:AdWare.Gator.4104" Virus. Action Taken: No Action Taken.
File E:\Downloads\Software\southpm2.exe infected by "not-a-virus:AdWare.ShowBehind.a" Virus. Action Taken: No Action Taken.
File E:\Downloads\Software\southpm2.zip infected by "not-a-virus:AdWare.ShowBehind.a" Virus. Action Taken: No Action Taken.
File E:\Downloads\Stuff\Patches\Spellforce\SPELL.FORCE.ORDER.OF.DAWN.V1.11.ENG.GIMPSRUS.NOCD.ZIP infected by "Trojan.Win32.Patcher.a" Virus. Action Taken: No Action Taken.
File E:\Kazaa Lite++ Downloads\CloneCD all-versions key generator.exe infected by "Worm.P2P.Sytro.g" Virus. Action Taken: No Action Taken.
File E:\Kazaa Lite++ Downloads\download11059770777368562.dat infected by "TrojanDropper.Win32.Delf.fd" Virus. Action Taken: No Action Taken.
File E:\Kazaa Lite++ Downloads\iMeshV4.exe infected by "not-a-virus:AdWare.Gator.4104" Virus. Action Taken: No Action Taken.

So das waren alle "infected" files. Ich hoffe ihr könnt was damit anfangen und ich damit mein Explorer-Problem lösen.

Danke im voraus


So hier gibt's noch einen kleinen Nachtrag:

Warum auch immer, aber mein Explorer funtioniert wieder tadellos und auch im HijackThis Scan, tauchen die zu Beginn erwähnten links bzw. Dateien nicht mehr auf. Falls das durch den fast 2 stündigen escan gestern passiert ist, is es gut. Aber eigentlich hat der ja nur gescannt und nichts verändert.
Na sei es wie es sei, mein Internet Explorer funzt wieder und ich bin glücklich. Falls es doch noch was gibt, melde ich mich wieder.
Trotzdem nochmal Danke für die rasche Hilfe :aplaus:

Geändert von Zappelfred (18.01.2005 um 10:18 Uhr)

Alt 03.02.2005, 08:17   #8
allstar
 
res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe) - Standard

res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe)



Hi Leute, habe auch dieses Startseiten Problem. Mein WinXP ist neu
installiert, dann war ich auf 1 fragwürdigen Seite und dann dieser Mist:

System32\CSRSSW.EXE infected by "Trojan-Dropper.Win32.Small.qv" Virus.
Action Taken: No Action Taken.

File C:\WINDOWS\System32\CTFMONSS.EXE infected by "Trojan-Dropper.Win32.Small.qv" Virus.
Action Taken: No Action Taken.

File C:\WINDOWS\System32\CSRSSW.EXE infected by "Trojan-Dropper.Win32.Small.qv" Virus.
Action Taken: No Action Taken.

File C:\WINDOWS\System32\CTFMONSS.EXE infected by "Trojan-Dropper.Win32.Small.qv" Virus.
Action Taken: No Action Taken.

File C:\WINDOWS\WTLBUI.exe infected by "Trojan.Win32.StartPage.ig" Virus.
Action Taken: No Action Taken.


Ad-Aware und Spybot bringt nichts, hoffe Ihr könnt mir helfen.

Geändert von allstar (03.02.2005 um 08:24 Uhr)

Alt 15.02.2005, 09:21   #9
ForbiddenMinds
 
res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe) - Standard

res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe)



Hallo liebe Profis!

auch ich bin seit dem Wochenende mit folgender Meldung im Internet Explorer (IE6 + SP1) konfrontiert:

res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm


Sprich: Meine Startseite wird mit so einer e-finder.cc und manchmal einem porno-pop-up geöffnet. Das Ändern der Startseite z.B. auf http://www.google.de bringt nichts.

Ich denke, daß auch ich mir dieses Problem nach Besuch einer einschlägig bekannten Serialseite eingefangen habe.

Nachdem ich als Laie Eure vorangegangenen Tip gelesen habe, bin ich jedoch ehrlich gesagt auch nicht wirklich schlauer.

Wie von Euch beschrieben habe ich mit HijackThis v1.99.0 die Logfiles angesehen, und auch versucht diverse dieser Dinge dort zu "fixen" (Ihr meint wohl zu löschen, oder?). Doch leider sind diese "Dateien" beim nächsten Scan mit HijackThis wieder da.

Was soll ich nun machen? Bin euch für Eure Hilfe sehr dankbar!

Gruss,
ForbiddenMinds

Alt 26.03.2005, 01:57   #10
maiZe
 
res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe) - Böse

res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe)



Hallo,

Ich habe mir heute auch etwas eingefangen, beim surfen auf anscheinend unsicheren Seiten:

Zuerst hatte ich bei jeder Internetseite die ich eingegeben habe die Warnung: Warning: Virus Infektion. Danach hat sich automatisch ein Security Guide auf meinem Rechner installiert, der irgendwie was von Scannen usw. angezeigt hat. Nunja, nach der ersten Ad-Aware Behandlung ging es dann auch wieder, aber die res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm Startseite blieb bestehen und ich habe immer ein schwer zu schließendes Popup am Anfang wenn ich den IE Aufmache. Auch der ms antispy konnte zwar einige Dateien löschen, aber nicht alle. Und immer wenn ich Ad-Aware scannen lasse und nach ADS scanne kommen immer die selber 5 DaterMiner und ADS Dateien zum Vorschein.

Da ich nicht den größten Know How im Bereich von Software habe bitte ich mir schnell zu helfen wie ich den Rest nun auch noch wegbekomme.

PS: Bitte nicht so kompliziert *gg*

MFG

Chris.

Alt 26.03.2005, 02:17   #11
maiZe
 
res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe) - Standard

res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe)



Zitat:
Zitat von maiZe
Hallo,

Ich habe mir heute auch etwas eingefangen, beim surfen auf anscheinend unsicheren Seiten:

Zuerst hatte ich bei jeder Internetseite die ich eingegeben habe die Warnung: Warning: Virus Infektion. Danach hat sich automatisch ein Security Guide auf meinem Rechner installiert, der irgendwie was von Scannen usw. angezeigt hat. Nunja, nach der ersten Ad-Aware Behandlung ging es dann auch wieder, aber die res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm Startseite blieb bestehen und ich habe immer ein schwer zu schließendes Popup am Anfang wenn ich den IE Aufmache. Auch der ms antispy konnte zwar einige Dateien löschen, aber nicht alle. Und immer wenn ich Ad-Aware scannen lasse und nach ADS scanne kommen immer die selber 5 DaterMiner und ADS Dateien zum Vorschein.

Da ich nicht den größten Know How im Bereich von Software habe bitte ich mir schnell zu helfen wie ich den Rest nun auch noch wegbekomme.

PS: Bitte nicht so kompliziert *gg*

MFG

Chris.
EDIT////

Habe das schon mit HijackThis usw ausprobiert, es hilft nichts.

HIER NUN DIE HIJACK LOG:

Logfile of HijackThis v1.99.1
Scan saved at 03:27:34, on 26.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Fujitsu\Application Panel\QuickTouch.exe
C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
C:\Programme\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
C:\WINDOWS\Logi_MwX.Exe
C:\WINDOWS\System32\emitray.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\M-Audio Ozone\Install\Ozinst.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Games\Steam.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\ALGU.EXE
C:\WINDOWS\System32\SPOOLSV32.EXE
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\M-Audio Ozone\OZTask.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://letgohome.com/sp.htm?id=33464
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=33464
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=33464
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\zoommer\zoommer.dll
O2 - BHO: ATDP Class - {E3D3AFEE-2172-4ef5-8509-1638AFFF0374} - C:\WINDOWS\atlass.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\Programme\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\Programme\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Games\Steam.exe -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ALGU] C:\WINDOWS\System32\ALGU.EXE
O4 - HKCU\..\Run: [SPOOLSV32] C:\WINDOWS\System32\SPOOLSV32.EXE
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: M-Audio Ozone Control Panel Launcher.lnk = C:\Programme\M-Audio Ozone\OZTask.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Microsoft AntiSpyware helper - {969F3492-9B1E-4936-84B2-ADE233428647} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {969F3492-9B1E-4936-84B2-ADE233428647} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {C25E0D69-5AC9-4D7E-9E7E-43D3E9EF964C} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {C25E0D69-5AC9-4D7E-9E7E-43D3E9EF964C} - (no file) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O20 - AppInit_DLLs: fro5c2og5x7edc.dll.dll.dll.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Emagic USB System Tray Service (emitray) - Emagic Soft- und Hardware GmbH - C:\WINDOWS\System32\emitray.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: Ozone Installer (OzoneInstallerService) - Nemesis - C:\Programme\M-Audio Ozone\Install\Ozinst.exe

Geändert von maiZe (26.03.2005 um 02:27 Uhr)

Alt 26.03.2005, 18:39   #12
chaosman
 
res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe) - Standard

res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe)



@maiZe
du hast den hier im system
http://www.sophos.de/virusinfo/analy...2agobotfm.html
C:\WINDOWS\System32\SPOOLSV32.EXE

deswegen kann ich dir leider nur empfehlen dein system neuaufzusetzen
(formatC)
hier eine anleitung
http://www.trojaner-board.de/showpos...28&postcount=2


sry
chaosman
__________________
Bonus vir semper tiro

Alt 07.04.2005, 09:40   #13
djdem
 
res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe) - Standard

res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe)



@chaosman

ist formatC wirklich die einzige Lösung bei SPOOLSV32.EXE ??
hab mir auch das ding eingefangen...

Alt 11.04.2005, 17:08   #14
djdem
 
res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe) - Standard

res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe)



hat sich erledigt - PC neu aufgesetzt !

Alt 27.07.2006, 13:08   #15
diabol
 
res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe) - Standard

res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe)



Kan mir irgend jemand hilfen? Ich weis nicht was ich machen soll.

Logfile of HijackThis v1.99.1
Scan saved at 13:56:15, on 27.7.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\ishost.exe
C:\WINNT\system32\isnotify.exe
C:\WINNT\system32\ismon.exe
C:\WINNT\system32\issearch.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINNT\system32\zstatus.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINNT\System32\svchost.exe
C:\Documents and Settings\User1\Plocha\Nová složka\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINNT\system32\ixt0.dll
O4 - HKLM\..\Run: [hp 1000 firmware] C:\Program Files\hp LaserJet 1000\fwdl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - Global Startup: hp psc 1000 series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153826862968
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF6C0175-BDDB-404B-996A-0BEB241DB49C}: Domain = inaros.sk
O17 - HKLM\System\CCS\Services\Tcpip\..\{F39657B4-CBD3-477B-81A2-EAC9F0A22ED6}: NameServer = 213.215.94.33 62.168.96.4
O20 - Winlogon Notify: winzdn32 - C:\WINNT\SYSTEM32\winzdn32.dll
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: WindowsNT (MicsNT) - Unknown owner - C:\WINNT\winat.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

Antwort

Themen zu res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe)
antivirus, antivirus scan, bho, browser, desktop, drivers, dsl, einstellungen, excel, explorer, file missing, hijack, hijackthis, icqtoolbar, internet, internet explorer, log datei, nvcpl.dll, object, problem, programme, registry, rundll, software, symantec, system, tcpip, temp, urlsearchhook, usb, windows, windows xp, windows\system32\drivers, öffnet



Ähnliche Themen: res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe)


  1. Avira meldet TR/Sirefef.BV.2 -- C:\\windows\system32\ac97inctc.ddl und nach Quarantäne c:\\windows\system32\persfw.dll
    Plagegeister aller Art und deren Bekämpfung - 12.12.2012 (4)
  2. Malware-gen in C:\Windows\System32\services.exe Windows 7 Service Pack 1 x86 NTFS
    Log-Analyse und Auswertung - 11.11.2012 (13)
  3. incredibar eingefangen/ DLL C:\Windows\system32\MSCTF.dll ist keine gültige windows datei
    Plagegeister aller Art und deren Bekämpfung - 22.10.2012 (22)
  4. Trojaner C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt: FQ10 Fehler in C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt:
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (19)
  5. @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\windows\System32\alg.exe
    Plagegeister aller Art und deren Bekämpfung - 17.04.2011 (1)
  6. /Windows/system32/config/system - Fehler mit Windows und beim Starten des PCs.
    Alles rund um Windows - 25.04.2010 (4)
  7. was für ein Problem res://ieframe.dll/navcancl.htm#xxxx://wi
    Log-Analyse und Auswertung - 23.11.2008 (2)
  8. kein Internetzugang mehr, c:/Windows/system32/shdoclc.dll/dnserror.html
    Log-Analyse und Auswertung - 17.10.2007 (1)
  9. F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\n
    Log-Analyse und Auswertung - 05.10.2007 (10)
  10. navcancl downloaden?
    Log-Analyse und Auswertung - 25.05.2007 (2)
  11. res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe)
    Log-Analyse und Auswertung - 27.07.2006 (1)
  12. res://C:\WINDOWS\SYSTEM\SHDOCLC.DLL/navcancl.htm
    Log-Analyse und Auswertung - 22.02.2005 (0)
  13. res://C:\WINDOWS\SYSTEM\SHDOCLC.DLL/dnserror.htm#http://searchmiracle.com/ads/ad.php?
    Log-Analyse und Auswertung - 15.02.2005 (4)
  14. res://c:\windows\system32\shdoclc.dll\navcancl.htm
    Log-Analyse und Auswertung - 14.02.2005 (0)
  15. res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm
    Log-Analyse und Auswertung - 03.02.2005 (2)
  16. shdoclc.dll/navcancl.htm
    Log-Analyse und Auswertung - 26.01.2005 (1)
  17. Hilfe ! Keine Internetstartseite - shdoclc.dll/dnerror
    Log-Analyse und Auswertung - 20.10.2004 (2)

Zum Thema res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe) - Ich hab ein problem mit res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm. Mein start seite wird mit so einer e-find oder so und manchmal öffnet sich einfach ein porno seite als popup. ich schick euch jetzt - res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe)...
Archiv
Du betrachtest: res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm (BITTTEEEEEE UM HHHHHIIIILLLFFEe) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.