@ pipebomb

überprüfe mit virusscan.jotti.dhs.org:

C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autosta rt\MBPROBE.EXE
C:\WINDOWS\NCLAUNCH.EXe
regdisk.exe -drivers

--> Ergebnis? - teile es uns bitte mit!

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und Fix Checked klicken):

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE

wenn Du folgende Einträge nicht kennst/brauchst bitte fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.n-zone.de/?menu=0601

O8 - Extra context menu item: &TV Movie Toolbar Suche - res://C:\Programme\TV Movie\TV Movie Toolbar\toolbar.dll/SEARCH.HTML

boote in den normalen Modus.

beende:
DAP.EXE

lösche:
C:\PROGRA~1\DAP\DAP.EXE

Aktiviere die Systemwiederherstellung,

Erstelle ein neues Hijack This Logfile und poste es.

SD

dap hab ich wie gesagt komplett runtergeworfen deshalb gibts den button jetzt au nimma also is des prob schonmal gelöst. tvmovie toolbar will ich behalten und die startseite is 100% au kein virus, die bleibt auch.

Service load: 0% 100%

File: NCLAUNCH.EXe
Status: OK
Packers detected: None

Service load: 0% 100%

File: MBPROBE.EXE
Status: OK
Packers detected: None

ne regdisk.exe hab ich net auf der pladde deshalb kann ich die schlecht prüfen, kann der eintrag dann weg?
jetzt fix ich noch des eine im abgesicherten modus.

@ pipebomb,

was in Deinem Logfile als Einträge vorhanden ist, ist auch auf Deinem System vorhanden. Es kann aber sein, dass Du nicht alle Dateien sehen kannst. Mach mal folgendes: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren.

SD

so also ich hab jetzt des urlsearchhook gefixed im abgesicherten modus un hab jetzt nochmal n hijackthislog erstellt im normalen modus.

Logfile of HijackThis v1.98.2
Scan saved at 15:51:23, on 05.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Nikon\NkView4\NkVwMon.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\MBPROBE.EXE
C:\WINDOWS\system32\wuauclt.exe
D:\mIRC\mirc.exe
C:\Programme\Norton AntiVirus\OPScan.exe
C:\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-zone.de/?menu=0601
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: TV Movie.de - {B50FCD28-C2CC-4f3b-B755-62B086EDE4D5} - C:\Programme\TV Movie\TV Movie Toolbar\toolbar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [RegService] regdisk.exe -drivers
O4 - Startup: MBPROBE.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkVwMon.exe.lnk = C:\Programme\Nikon\NkView4\NkVwMon.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &TV Movie Toolbar Suche - res://C:\Programme\TV Movie\TV Movie Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

und ne regdisk.exe lässt sich immer noch net finden auch wenn ich alle dateien anzeigen lass. hab au mit der suchfunktion alles durchsuchen lassen und des einzige was die suche findet is ne html datei von google als ich nach der regdisk.exe gesucht hab.

@ pipebomb,

überprüfe Dein System vorsichtshalber mit dem eScan:

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD

escan hab ich doch schon längst gemacht, damals wurd des gefunden
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\dmfnss.exe tagged as not-a-virus:AdWare.NewDotNet. No Action Taken.

die dmfnss.exe is aba gelöscht also gibts jetzt logischerweise nur noch htpacht.exe

@ pipebomb

oki ... dann betrachte ich Dein System bis auf Weiteres als einigermaßen sauber.

Arbeite Dich mal hier durch:

Pflichtlektüre:

- Vorbeugende Maßnahmen: www.trojaner-info.de
- www.mathematik.uni-marburg.de
- IE sicher konfigurieren: www.datenschutzzentrum.de.
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- faq.underflow.de

SD

Zitat:

Zitat von Shadowdance

@ pipebomb

oki ... dann betrachte ich Dein System bis auf Weiteres als einigermaßen sauber.


SD

ok, thx. beim ie bleib ich aber ich guck mir die links an un konfigurier den sicher.

Hallo liebe Leute,

eines vorne weg,bin absolut keiner der wirklich ahnung von PCs hat.

Brauche aber mal hilfe bei dem Problem.

Mein Vierenscanner (AntiVir) macht seit neustem immer voll den Alarm, da sind 1000 Hinweise keine seltenheit, hatte vor zwei drei Tagen ca. 400 Spuren des "Tibick.f2"-Wurms. Dachte wenn der Scanner die löscht dann ist das Problem weg, aber irgendwie spinnt mein rechner seit dem absolut. Komische Fehlermeldungen und manchmal geht am Rechner garnichts mehr.

Bräuchte dringend Hilfe.

Danke.