nicht fixbar
 

habe n paar sachen gefixt und habe jetzt ein problem! ich habe da so ein paar "böse" dinger die immer wiederzurück kommen! hier die logfile(grün
=problemdateien)

Logfile of HijackThis v1.99.0
Scan saved at 15:43:46, on 01.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ScanSoft\OmniPagePro12.0\Opware12.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\BearShare\BearShare.exe
C:\Programme\BearShare\BearShare.exe
C:\Dokumente und Einstellungen\David\Eigene Dateien von WIMSD\David\Downloads\hijack\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\notepad.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.aon.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: C:\WINDOWS\lbbho.dll - {6DFDC583-BE1C-41F5-9E53-2ACC54E9ADDF} - C:\WINDOWS\lbbho.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Opware12] "C:\Programme\ScanSoft\OmniPagePro12.0\Opware12.exe "
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [OSS] C:\WINDOWS\system32\ossproxy.exe -boot
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: ubisoft register.lnk = C:\Programme\Ubi Soft\Register\schedule.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://ssl.tele2.com/inc/accounthelper.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{483D44B0-14BE-4689-9D93-C42E9CF0A9D0}: NameServer = 130.244.127.161,130.244.127.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCF2C6B9-3334-4932-A665-2E4376301397}: NameServer = 130.244.127.161 130.244.127.169
O17 - HKLM\System\CS1\Services\Tcpip\..\{483D44B0-14BE-4689-9D93-C42E9CF0A9D0}: NameServer = 130.244.127.161,130.244.127.169
O17 - HKLM\System\CS2\Services\Tcpip\..\{483D44B0-14BE-4689-9D93-C42E9CF0A9D0}: NameServer = 130.244.127.161,130.244.127.169
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

@n000b
lade dir hier winsockfix
gehe über systemsteuerung, software, zum Newdot.Net oder ähnliches
dieses programm löschen.
gebe HJT einen eigenen ordner.
dann wechsle in den abgesicherten modus und fixe
O2 - BHO: C:\WINDOWS\lbbho.dll - {6DFDC583-BE1C-41F5-9E53-2ACC54E9ADDF} - C:\WINDOWS\lbbho.dll
O4 - HKLM\..\Run: [OSS] C:\WINDOWS\system32\ossproxy.exe -boot
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
wenn du diesen eintrag nicht kennst, dann fixen
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://ssl.tele2.com/inc/accounthelper.cab
danach lösche manuell
C:\WINDOWS\web\related.htm
C:\WINDOWS\lbbho.dll
C:\WINDOWS\system32\ossproxy.exe
C:\PROGRA~1\NEWDOT~1\NEWDOT
dieses programm würde ich auch löschen
C:\Programme\BearShare\BearShare.exe
C:\Programme\BearShare\BearShare.exe
da es eine malware schleuder ist.
neu starten, spybot scannen lassen, wenn danach dein Internet verbindung nicht mehr geht, mit Winscockfix reparieren lassen.
neues HJT logfile hier posten
chaosman

erledigt

warum? aber erledigt

wie war das tastenkürzel nochmal?

mit HJT?

warum das?

Weil nur so Backups erstellt werden.
->google fragen, aber ich bin ja nicht so: beim booten F8 drücken
Ja.
Weil HjT nur Registryschlüssel entfernt.

@n000b
gebe HJT einen eigenen ordner
warum, damit du backups bekommst, die du im notfall züruckspielen kannst
anleitung
dann wechsle in den abgesicherten modus
kuckst du hier
und fixe
mit HJT?
mit was sonst

anach lösche manuell
C:\WINDOWS\web\related.htm
C:\WINDOWS\lbbho.dll
C:\WINDOWS\system32\ossproxy.exe
C:\PROGRA~1\NEWDOT~1\NEWDOT
warum das?
das sind deine problemkinder,
googel mal nach
chaosman

danke leute! hab alles nach euren anweisungen gemacht aber:

konnten nach dem löschen der new.dot net datei und dem fixen gar nicht mehr gefunden werden(denke mal dass das eher positiv ist :blabla: )´
wurden von HJT ebenfalls nicht mehr gefunden, nach dem löschen der new. net datei(ebenfalls positiv)

hier ist die neue logfile:noch ein paar fragen interesse halber:

1.warum abgesicherter modus?

2. dauert das booten mit dem abgesicherten modus immer so sau lange oder ist das nur bei meinem pc so?

3. was machen wenn man mit hijackthis etwas löscht dass man dann doch braucht?

4. für was ist winsockfix bzw soll ich es auch zum repairen verwenden wenn nach der spybot prüfung noch alles funktioniert?

zu1:
Siehe http://www.bsi.bund.de/av/texte/wiederher_xp.htm

2:
Normalerweise dauert dies nicht lang.

3:
Dafür hast du HiJackthis ja in einem eigenen Ordner entpackt, damit dieses Tool auch sein Backup anlegen kann.

4:
Siehe http://de.wikipedia.org/wiki/Winsocks und den Rest deiner Frage: Nein.

danke für alles!