Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hilfe - Logfile!!! (https://www.trojaner-board.de/12080-hilfe-logfile.html)

Giu 13.01.2005 19:57
Hilfe - Logfile!!!
 
Hallo zusammen,

habe wie im Forum erklärt, mit Hilfe von HijackThis eine LogFile erstellt! Kann mir nun bitte jemand sagen welche Einträge gefixt werden müssen?? Was passiert dann eigentlich wenn ich fixe und dann auf "fix checked" klicke?? Sind dann die schädlichen Dateien (Trojaner..) endgültig weg?? Danke schonmal, hoffe auf baldige Hilfe!!

Hier die LogFile:

Logfile of HijackThis v1.99.0
Scan saved at 09:41:33, on 13.01.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\IOMEGA\DRIVEICONS\IMGICON.EXE
C:\PROGRAMME\SICHERHEIT\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\INTERNETVERBINDUNG\DU METER\DUMETER.EXE
C:\PROGRAMME\T-COM\SINUS 154 DATA II\PRISMSVR.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\ESCAN\AVPMWRAP.EXE
C:\PROGRAMME\ESCAN\MAILDISP.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\PROGRAMME\T-COM\SINUS 154 DATA II\TS154USB.EXE
C:\PROGRAMME\ESCAN\AVPM.EXE
C:\PROGRAMME\ESCAN\SPOOLER.EXE
C:\PROGRAMME\ESCAN\AVPM.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\FILZIP\FILZIP.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet3_88.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\PROGRAMME\CANON\EASY-WEBPRINT\TOOLBAND.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Sicherheit\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [DU Meter] C:\PROGRAMME\INTERNETVERBINDUNG\DU METER\DUMETER.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [eScan Updater] C:\PROGRA~1\ESCAN\TRAYICOS.EXE
O4 - HKLM\..\RunServices: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE /service
O4 - Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'mwnsp.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.downloadintern.de/In...nsAssistent.ocx

cacatoa 13.01.2005 20:37
Hallo, giu,
da diese Datei:
C:\WINDOWS\RUNDLL32.EXE
garantiert etwas sehr böses enthält, bitte ich Dich sie erst einmal bei Jotti online scannen zu lassen.
Poste das Ergebnis, es besteht aus 10 Zeilen verschiedener Virenscanner.
Erst dann kann man entscheiden was weiter zu machen ist.
Nachdem Du jede Menge Zeugs draufhast, kann es sein, daß Du Dein System neu aufsetzen mußt - vor allem wenn die o.a. Datei das enthält, was ich vermute.
Freunde Dich mit dem Gedanken an.
Aber erst mal das Ergebnis schicken.
cacatoa

chaosman 13.01.2005 20:39
@Giu
update spybot
lade dir LSP-Fix hier
dann gehe über systemsteuerung, software, und deinstalliere New.Net oder NewDot.net oder ähnliches.
lasse danach spybot scannen.
wechsle danach in den abgesicherten modus und fixe mit HJT
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet3_88.dll
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'mwnsp.dll' missing
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.downloadintern.de/In...nsAssistent.ocx
danach diese dateien manuell löschen
C:\Programme\QuickSearch\QuickSearchBar3_28.dll
neu booten, neues HJT logfile hier posten
chaosman

@cacatoa
unsere postings haben sie gekreuzt, habe deins zu spät gelesen. :headbang:
hast natürlich recht:D
hätte mir anders auch nicht der arbeit gemacht
chaosman

cacatoa 13.01.2005 20:47
@ chaosman
Da die Datei höchstwahrscheinlich einen Backdoortrojaner enthält, wollte ich erst mal das Jotti Ergebnis sehen; denn jetzt macht er (sie) sich einen Haufen Arbeit, um dann später doch neu aufzusetzen.
cacatoa

Giu 13.01.2005 23:17
Oh je, das klingt ja gar nicht soo toll alles!!?? Jedenfalls erstmal besten Danke schonmal für Eure Hilfe!! Werd mich gleich mal ranmachen und versuchen das alles so gut wie es geht durchzuführen!!(Bin halt echt kein Experte!?) Ergebnis poste ich dann!! Danke schonmal!!

Ps: das mit Rundll32 kann gut sein, ich erhielt nämlich bis vor kurzem nämlich die Fehlermeldung: "Rundll32 hat in KERNEL32.DLL einen Fehler verursacht-Rundll32 wird geschlossen...etc." Diese Fehlermeldung, die ich sofort nach dem Hochfahren erhielt, kommt aber seit gestern Abend nicht mehr!!

Giu 14.01.2005 00:50
Also:
Hier endlich das Ergebnis von Jotti:


Service load: 0% 100%

File: RUNDLL32.EXE
Status: OK
Packers detected: None

AntiVir No viruses found (0.16 seconds taken)
Avast No viruses found (1.54 seconds taken)
BitDefender No viruses found (0.36 seconds taken)
ClamAV No viruses found (0.39 seconds taken)
Dr.Web No viruses found (0.53 seconds taken)
F-Prot Antivirus No viruses found (0.07 seconds taken)
Kaspersky Anti-Virus No viruses found (0.64 seconds taken)
mks_vir No viruses found (0.21 seconds taken)
NOD32 No viruses found (0.38 seconds taken)
Norman Virus Control No viruses found (0.39 seconds taken)


Scheint also wohl doch alles in Ordnung zu sein!!?? Hoffe doch!!
Wie ist nun weiter zu verfahren??
Werde wohl erstmal nun die Schritte von Chaosman durchführen und dann den neuen Logfile posten!! Bin gespannt was Ihr morgen dazu sagt!?
Danke für die Hilfe - @cacatoa und @chaosman

Shadowdance 14.01.2005 04:28
@ Giu

*lach* ... RUNDLL32 is the Microsoft Windows program that loads DLLs into memory so that they can be used by specific programs or by Windows.

cacatoa 14.01.2005 07:08
@SD:
nur gehört die Rundll.exe eigentlich in den System32 Ordner; hatten wir heute schon mal...
cacatoa

Giu 14.01.2005 09:33
Hi erstmal,
Achso, das wusst ich nicht mit dem Ordner!!?? Und was heisst das nun??

Hier jedenfalls die neue LogFile:

Logfile of HijackThis v1.99.0
Scan saved at 01:51:33, on 14.01.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\PROGRAMME\CANON\EASY-WEBPRINT\TOOLBAND.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Sicherheit\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [DU Meter] C:\PROGRAMME\INTERNETVERBINDUNG\DU METER\DUMETER.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [eScan Updater] C:\PROGRA~1\ESCAN\TRAYICOS.EXE
O4 - HKLM\..\RunServices: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE /service
O4 - Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O10 - Broken Internet access because of LSP provider 'mwnsp.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm


Ps: Der punkt 010 - Broken Internet..etc. konnte nicht entfernt werden! Es kam eine Meldung, dass diese Datei durch Spybot(habe ich erfolglos versucht!) oder durch IspFix entfernt werden solle!!

Was ist nun weiter zu tun!? Was ist mit der Rundll32.exe Datei??

Giu 14.01.2005 16:57
Hi nochmal, bitte bitte helft mir weiter! Was sollte ich als nächstes tun?

Chris14 14.01.2005 17:15
ahja..
lade dir einfach lspfix runter.
öffne es, klicke auf finish und starte neu.
dann sollte der eintrag entfernt sein.

cacatoa 14.01.2005 19:42
@ chris:
Ist das neu? Ich kenne es, daß man den falschen Eintrag nach rechts ziehen muß und auf "remove"clicken.

Giu 14.01.2005 20:35
Bei mir erscheinen bei lspfix in der linken Tabelle unter keep 4 Files:
- rnr20.dll
- mswsosp.dll
- msasd.dll
- rsvpsp.dll

Und in der rechten Tabelle bei remove:
- MWNSP.dll
- mwtsp.dll

Was soll ich mit diesen Files machen? Was ist mit dem Hacken bei "I know what I'm doing"?
Hab versucht die Datei 010... zu entfernen. Das ging aber nicht. Bei der neuen Logfile ist sie noch immer drin!

Aber auf jeden Fall vielen Dank für Eure Antworten!
Was soll ich jetzt tun?

Giu 14.01.2005 23:04
Jetzt hab ich es geschafft die Datei wegzukriegen! Danke vielmals. Wie soll ich jetzt weiter verfahren? Sind die schädlichen Dateien nun alle weg? Mein Computer ist nämlich immer noch so langsam. Was ist mit rundll32.exe?

Chris14 14.01.2005 23:59
@cacatoa ähm das is so:
wenn die dateien gelöscht sind, erkennt lspfix sie als ungültige protokolle und schießt sie autom. zu remove
sind sie nicht gelöscht ist garnichts bei remove
ich nahm an dass sie bereits gelöscht wurden.
@giu
rundll32 ist eine systemdatei, wird von windows benötigt. und der virenscan ergab ja keinen virus..

Giu 15.01.2005 15:30
Hi nochmal!!!

Also bin echt am verzweifeln!!! Habe all die schädlichen Dateien aus dem LogFile von Hijackthis, wie beschrieben, entfernt!! Nun ist das so:

AntiVir findet im abgesicherten Modus folgende infizierte Dateien:
- A0393490.1 der Trojaner TR/Dldr.Small.D.1
- A0401843.1
- A0404215.1
- A0404218.1
- A0404221.1
- A0404224.1
- A0405455.1 alle samt als Signatur des Wurms Worm/Appkills

Escan findet im abgesicherten Modus gar nichts!!
SpyBot eine Datei: DOS Exploit (die ich immer markiere und behebe, die aber immer wieder da ist!!)

Ausserdem wird mein Rechner immer langsamer. Kann kaum noch ins Internet, da das ´Laden der Seiten eine Ewigkeit dauert!!
Was soll ich tun?? Bitte nochmals um HIlfe!!!

Chris14 15.01.2005 15:35
langsam versteh ich das nimmer..
wieso erkennt antivir diese dateien und escan nicht?
das bei spybot s&d ist normal. dso exploit ist eine sicherheitslücke im IE, die aber durch einen patch behoben werden konnte. er zeigt nach dem sicherheitspatch den exploit immernoch an dieser ist aber bereits behoben.
das mit dem IE wundert mich jetzt ehrlich gesagt.. liegt vielleicht daran das zuviel im cache is. der log is aber soweit sauber..
ich kann mir aber vorstellen was das für dateien sind.. A0401843.1 ist doch eventuell in quarantäne
ich würde vorschlagen den ordner wo die drin sind zu löschen..

mattleh 05.03.2005 15:02
könnte eine neue Logfile überprüfung gebrauchen !!!
 
hallo,
wer kann mir mein logfile überprüfen ? wäre über eine korrektur sehr dankbar.
hier das aktuelle:

Logfile of HijackThis v1.99.0
Scan saved at 15:01:44, on 05.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\avmclient\AvmObexService.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\avmclient\AvmObex.exe
C:\Programme\avmclient\bluefritz.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\DATA BECKER\ZipGenie\ZTray.exe
C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Sphairon\CB801R Wireless LAN Card\Installer\WINXP\ScConfig2500.exe
C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
C:\Programme\combit\amw_demo\tm.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
c:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\unzipped\hijackthis199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKCU\..\Run: [ZipGenieTray] C:\Programme\DATA BECKER\ZipGenie\ZTray.exe
O4 - HKCU\..\Run: [Wise-FTP Scheduler] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
O4 - HKCU\..\Run: [XSC SIP Client] "C:\Programme\X-Lite\X-Lite\X-Lite.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: time manager.lnk = C:\Programme\combit\amw_demo\tm.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ScConfig2500.lnk = C:\Programme\Sphairon\CB801R Wireless LAN Card\Installer\WINXP\ScConfig2500.exe
O4 - Global Startup: Telefonverbindungsmonitor.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105364030211
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DD72D36-13BD-4DF3-A32D-2755792E4ABB}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {E9FBF786-9D6E-4951-85A8-5318FD11F07A} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service - Broadcom Corporation - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

viele grüsse...:-)
matt

Cidre 05.03.2005 15:14
@ mattleh

Warum erstellst du kein eigenes Thema und schilderst anschliessend dein Problem ausführlich?

btw:
Verwende auch die neue Version (1.99.1) von HJT.


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:42 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130