Hallo,

nach etwas "Verzweiflung" benötige ich noch einmal Hilfe. Ich poste mal mein Logfile (Auswertung schien ok zu sein), denn das problem mit der unveränderbaren Startseite besteht weiterhin.
Ebenfalls habe ich eben einmal im abgesicherten Modus e-scan testen lassen, aber das o.g. Problem ist nicht behoben.
Weiß jemand Rat oder kann mir einen Tipp geben?

Danke!!


Vielen Grüße

Logfile of HijackThis v1.97.7
Scan saved at 13:16:58, on 12.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\System32\CePMTray.exe
C:\PROGRA~1\EzButton\CPATR10.EXE
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Winamp3\winampa.exe
C:\Programme\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Qurb\QSP-2.1.213.2\QOELoader.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Dokumente und Einstellungen\Heftrich\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 cwaprops.cpl,CrystalControlWnd
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\WINDOWS\System32\CePMTray.exe
O4 - HKLM\..\Run: [CPATR10] C:\PROGRA~1\EzButton\CPATR10.EXE
O4 - HKLM\..\Run: [CeEKey.exe] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QOELOADER] C:\Programme\Qurb\QSP-2.1.213.2\QOELoader.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab

ok,

dann beschreibe ich nun mal meine probleme:

1.)wenn ich mit aol online bin (dsl-verbindung) erscheint nach kurzer zeit eine seite(hardcore), dann eine weitere in der ich ein ein modem auswählen soll.
schließe ich diese seiten ist auch die aol verbindung unterbrochen.

2.) ich habe seit keinen zugriff auf "software" in der systemsteuerung.
das icon ist zwar vorhanden, aber auf anklicken passiert nichts.

spybot zeigt dazu folgendes an:

Comload: <REG_SETTINGS> (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-583907252-839522115-1060284298-1000\Software\Coulomb\Location

Dialler: Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Hardcore

Dialler: Benutzer-Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-583907252-839522115-1060284298-1000\Software\Coulomb\Hardcore

ich habe das schon unzählige male gelöscht, es erscheint immer wieder.

mein hijack this log sieht so aus:

Logfile of HijackThis v1.98.0
Scan saved at 17:12:55, on 11.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINNT\shico.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINNT\qservice.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
D:\SOFTWARE\CWshredder\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [shico] C:\WINNT\shico.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINNT\qservice.exe /i
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O13 - DefaultPrefix:
O13 - WWW Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{65CBE6DB-5E15-46A4-8B1A-959DE85677B7}: NameServer = 195.93.69.134


vielleicht kann jetzt jemand helfen
danke

C:\WINNT\shico.exe
C:\WINNT\qservice.exe

Bitte hier prüfen:
http://www.kaspersky.com/de/scanforvirus

hallo,

die shico.exe gehört zu einem kartenlesegerät von hama.

die überprüfung von C:\WINNT\qservice.exe bei

http://www.kaspersky.com/de/scanforvirus ergab nichts.

Hi,
qservice.exe ist defenitiv irgendeine Malware!
Ein Bekannter von mir hatte das Teil auch auf seinem Rechner, unter anderem.
Ursprünglich hiess die Datei SHMAN.EXE. Nachdem wir den Task beendet und die Datei aus dem Windows Verzeichnis entfernt hatten, hat mein Bekannter aus versehen (kein kommentar) die Datei ausgeführt. Daraufhin hat sich das Proggie wieder unter anderem Namen installiert. Diesmal eben als QSERVICE.EXE. Keine Ahnung, kannste ja selber mal testen ob sie sich nach dem entfernen und erneutem starten wieder selbst installiert...
Wenn Du die Datei mit Notepad öffnest wirst Du am Ende irgendwas mit "..by Anakin..".finden.


CU

Sadhu

O4 - HKCU\..\Run: [svchost] C:\WINDOWS\svchost.exe
Böse Zum eingegebenen Programm svchost haben wir folgendes Programm gefunden: svchost. Trefferquote: 95,83 % (Resultate) Unbedingt fixen

hmm.......

@ bowle_EQ

Zitat:

O4 - HKCU\..\Run: [svchost] C:\WINDOWS\svchost.exe
Böse Zum eingegebenen Programm svchost haben wir folgendes Programm gefunden: svchost. Trefferquote: 95,83 % (Resultate) Unbedingt fixen

hmm.......

.. die Datei ist im falschen Ordner. Sie gehört in den System32 Ordner: C:\WINDOWS\System32\svchost.exe

Du kannst die "C:\WINDOWS\svchost.exe" mit dem online-scan von Kaspersky prüfen. Lass uns das Ergebnis wissen.

SD