gncuhofb.exe?!?!?!?

Pablo Escobar · 03.07.2007, 15:47

Logfile of HijackThis v1.99.1
Scan saved at 16:43:24, on 03.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\gncuhofb.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Dokumente und Einstellungen\Jules\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\hbqixqsl.dll",realset
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://p0t-head.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C35F5F0-7C53-4CF5-B0C1-ADDF4116D45F}: NameServer = 217.237.148.70 217.237.150.115
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: ,
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe (file missing)
O23 - Service: DomainService - - C:\WINDOWS\system32\gncuhofb.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

worauf ich nicht klarkomme ist, dass plötzlich ein komplett unbekannter prozess namens gncuhofb.exe aufgetaucht ist...

myrtille · 03.07.2007, 16:23

Nur einer?

Benenn Hijackthis,exe bitte mal in abc.exe um und poste ein neues logfile.

lg myrtille

Pablo Escobar · 03.07.2007, 20:55

häh? meinst du im logfile selber oder die .exe datei von hijack? und zu welchem zwekc?

cosinus · 03.07.2007, 21:10

Zitat:

Zitat von Pablo Escobar

häh? meinst du im logfile selber oder die .exe datei von hijack? und zu welchem zwekc?

Die hijackthis.exe wird gemeint. Benenn die aber gleich in abc.com um.
manche aktive Schädlinge verhindern das Starten von HijackThis wenn "hijackthis.exe" aufgerufen wird, daher die Umbennerei. Denkbar wäre auch, dass bestimmte Einträge vor HJT versteckt werden und das durch das Umbenennen unterbunden wird.
Ich kann mir aber noch schlimmere Szenarien vorstellen...

Pablo Escobar · 03.07.2007, 23:55

ok leuchtet mir ein, hier also das log:

Logfile of HijackThis v1.99.1
Scan saved at 00:54:21, on 04.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\gncuhofb.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\LVComsX.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Jules\Desktop\tu padre.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {04FB360F-3E0B-477B-B0FF-96D04AAB2909} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1400834E-31B2-416F-9FFE-8B9040F9ED74} - C:\WINDOWS\system32\vtsts.dll
O2 - BHO: (no name) - {2613F461-49CE-43BF-ADA4-9127B3AD255A} - (no file)
O2 - BHO: (no name) - {28438C8D-9732-4E01-B519-59535AF4EC81} - (no file)
O2 - BHO: (no name) - {39D36212-BBED-4952-8EE6-22AE86EF1482} - (no file)
O2 - BHO: (no name) - {3EF1DEB4-0294-46A4-B417-3DB73048C675} - (no file)
O2 - BHO: (no name) - {4F7277A9-2C6E-45E5-B76F-EB3245441B2D} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\system32\fhxlgpqa.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {97DBD586-0864-4847-878F-F7266F16CD9B} - (no file)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: (no name) - {B71CA25E-1740-AA28-BC2D-5342AB88A293} - (no file)
O2 - BHO: (no name) - {BEDF30ED-41B2-4CDC-875A-ED063C81AF7B} - C:\WINDOWS\system32\byxxyxw.dll
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\hbqixqsl.dll",realset
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://p0t-head.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C35F5F0-7C53-4CF5-B0C1-ADDF4116D45F}: NameServer = 217.237.148.70 217.237.150.115
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: ,
O20 - Winlogon Notify: byxxyxw - C:\WINDOWS\SYSTEM32\byxxyxw.dll
O20 - Winlogon Notify: IPConfTSP - C:\WINDOWS\system32\h0j4la1q1d.dll (file missing)
O20 - Winlogon Notify: vtsts - C:\WINDOWS\system32\vtsts.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe (file missing)
O23 - Service: DomainService - - C:\WINDOWS\system32\gncuhofb.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

myrtille · 04.07.2007, 00:07

Hi,
du hast einiges am Start!
Einmal Look2me entfernen:

Look2Me Destroyer

folgendes Tool herunterladen und starten -> Look2Me Destroyer

-Vorher alle Windows-Fenster schließen
-Programm starten -> Scan for L2M -> danach Remove L2M
-dann wird der Rechner heruntergefahren
-Nach dem Neustart den Inhalt der Look2Me-Destroyer.txt posten.

(mit Dank an Sunny)
Danach also Vundo entfernen:
!!* Systemwiederherstellung deaktivieren.!! (Start->Rechtsklick auf Arbeitsplatz->Eigenschaften->Systemwiederherstellung)
* Lad dir Vundofix Download
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

Dann:
Fix mit HijackThis im abgesicherten Modus folgende Einträge:

Zitat:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {04FB360F-3E0B-477B-B0FF-96D04AAB2909} - (no file)
O2 - BHO: (no name) - {1400834E-31B2-416F-9FFE-8B9040F9ED74} - C:\WINDOWS\system32\vtsts.dll
O2 - BHO: (no name) - {2613F461-49CE-43BF-ADA4-9127B3AD255A} - (no file)
O2 - BHO: (no name) - {28438C8D-9732-4E01-B519-59535AF4EC81} - (no file)
O2 - BHO: (no name) - {39D36212-BBED-4952-8EE6-22AE86EF1482} - (no file)
O2 - BHO: (no name) - {3EF1DEB4-0294-46A4-B417-3DB73048C675} - (no file)
O2 - BHO: (no name) - {4F7277A9-2C6E-45E5-B76F-EB3245441B2D} - (no file)
O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\system32\fhxlgpqa.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {97DBD586-0864-4847-878F-F7266F16CD9B} - (no file)
O2 - BHO: (no name) - {B71CA25E-1740-AA28-BC2D-5342AB88A293} - (no file)
O2 - BHO: (no name) - {BEDF30ED-41B2-4CDC-875A-ED063C81AF7B} - C:\WINDOWS\system32\byxxyxw.dll
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\hbqixqsl.dll",realset
O20 - AppInit_DLLs: ,
O20 - Winlogon Notify: byxxyxw - C:\WINDOWS\SYSTEM32\byxxyxw.dll
O20 - Winlogon Notify: IPConfTSP - C:\WINDOWS\system32\h0j4la1q1d.dll (file missing)
O20 - Winlogon Notify: vtsts - C:\WINDOWS\system32\vtsts.dll
O23 - Service: DomainService - - C:\WINDOWS\system32\gncuhofb.exe

und lösches sofern noch vorhanden, die oben genannten Dateien (Dateien sichtbar machen)

Zitat:

C:\WINDOWS\system32\vtsts.dll
C:\WINDOWS\system32\fhxlgpqa.dll
C:\WINDOWS\system32\byxxyxw.dll
C:\WINDOWS\system32\hbqixqsl.dll
C:\WINDOWS\SYSTEM32\byxxyxw.dll
C:\WINDOWS\system32\h0j4la1q1d.dll
C:\WINDOWS\system32\vtsts.dll
C:\WINDOWS\system32\gncuhofb.exe

Starte im normalen Modus.

Lade dir bitte ccleaner und bereinige nun damit dein system. (starten und dann unter der Kategorie Cleaner, Karteireiter Windows "Analyze" und dann "Run Cleaner" klicken).
Lass dann ein Programm wie regseeker die Registry nach verwaisten Einträgen durchforsten. (bitte darauf achten, dass unten rechts der haken beim backup gesetzt ist, falls doch ein noch gebrauchter Eintrag gelöscht werden sollte)

Erstelle zum Schluß noch eine filelist.bat:
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

*Ein Dankeschön an das Forum HijackThis und besonders Karl83 für die Anleitung (und [Gc]Sunny, dem ich die Anleitung geklaut habe)*

Melde dich dann bitte hier mit den ergebnissen von look2me, vundofix, filelist und einem neuen hijackthislog

lg myrtille

cosinus · 04.07.2007, 00:07

Tatsächlich, da sind ein "paar" Einträge, die im ersten Logfile nicht drin waren.
Das sieht aber echt übel aus, ne Bereinigung willst du dir nicht antun. Das was ich jetzt mal eben so gefunden hab:

Zitat:

C:\WINDOWS\system32\gncuhofb.exe
C:\Dokumente und Einstellungen\Jules\Desktop\tu padre.com

O2 - BHO: (no name) - {2613F461-49CE-43BF-ADA4-9127B3AD255A} - (no file)
O2 - BHO: (no name) - {28438C8D-9732-4E01-B519-59535AF4EC81} - (no file)
O2 - BHO: (no name) - {39D36212-BBED-4952-8EE6-22AE86EF1482} - (no file)
O2 - BHO: (no name) - {3EF1DEB4-0294-46A4-B417-3DB73048C675} - (no file)
O2 - BHO: (no name) - {4F7277A9-2C6E-45E5-B76F-EB3245441B2D} - (no file)
O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\system32\fhxlgpqa.dll
O2 - BHO: (no name) - {BEDF30ED-41B2-4CDC-875A-ED063C81AF7B} - C:\WINDOWS\system32\byxxyxw.dll
O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\hbqixqsl.dll",realset
O20 - Winlogon Notify: byxxyxw - C:\WINDOWS\SYSTEM32\byxxyxw.dll
O20 - Winlogon Notify: IPConfTSP - C:\WINDOWS\system32\h0j4la1q1d.dll (file missing)
O20 - Winlogon Notify: vtsts - C:\WINDOWS\system32\vtsts.dll
O23 - Service: DomainService - - C:\WINDOWS\system32\gncuhofb.exe

03.07.2007, 16:23	#2
myrtille /// TB-Ausbilder	gncuhofb.exe?!?!?!? Nur einer? Benenn Hijackthis,exe bitte mal in abc.exe um und poste ein neues logfile. lg myrtille __________________

03.07.2007, 20:55	#3
Pablo Escobar Gesperrt	gncuhofb.exe?!?!?!? häh? meinst du im logfile selber oder die .exe datei von hijack? und zu welchem zwekc? __________________

gncuhofb.exe?!?!?!?

Log-Analyse und Auswertung: gncuhofb.exe?!?!?!?

gncuhofb.exe?!?!?!?

gncuhofb.exe?!?!?!?

gncuhofb.exe?!?!?!?

gncuhofb.exe?!?!?!?

gncuhofb.exe?!?!?!?

gncuhofb.exe?!?!?!?

gncuhofb.exe?!?!?!?