Hijack - log : Bitte um Hilfe !
 

Hi zusammen,

habe mit meinem PC so einige Probleme (Internetverbindung bricht ab, task-manager reagiert nicht etc.). Habe schon einige Dinge reparieren können, dennoch kommt mir meine registry teilweise noch sehr konfus vor. Vielleicht kann mir ja mal jd. helfen und mir sagen welche Einträge ich auf jeden Fall fixen sollte. Ich wäre dafür sehr dankbar !

Hier die log :

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\windows\SYSTEM32\CONFIG\install.exe
C:\windows\SYSTEM32\CONFIG\install.exe
C:\windows\SYSTEM32\CONFIG\msnmngr.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\windows\SYSTEM32\CONFIG\winlog.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\SCardClnt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\System32\CTSVCCD.EXE
C:\WINDOWS\System32\rpcda.exe
C:\Programme\Magic Keyboard\MagicKey.exe
C:\Programme\Magic Keyboard\OSD.EXE
C:\Programme\Arcor\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 22 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.finanztreff.de/ftreff/index.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Windows NetStart Service] winsN2S.exe
O4 - HKLM\..\Run: [IPOT Service Drivers] compaq.exe
O4 - HKLM\..\Run: [MS Updating Utility] msupdater.exe
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [rpcda Win32] rpcda.exe
O4 - HKLM\..\Run: [CT Control Settings] CTSVCCD.EXE
O4 - HKLM\..\RunServices: [Windows NetStart Service] winsN2S.exe
O4 - HKLM\..\RunServices: [IPOT Service Drivers] compaq.exe
O4 - HKLM\..\RunServices: [MS Updating Utility] msupdater.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [rpcda Win32] rpcda.exe
O4 - HKLM\..\RunServices: [CT Control Settings] CTSVCCD.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /A "C:\WINDOWS\System32\E_S25.tmp"
O4 - HKCU\..\Run: [Windows NetStart Service] winsN2S.exe
O4 - HKCU\..\Run: [IPOT Service Drivers] compaq.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [MS Updating Utility] msupdater.exe
O4 - HKCU\..\Run: [rpcda Win32] rpcda.exe
O4 - HKCU\..\Run: [CT Control Settings] CTSVCCD.EXE
O4 - HKCU\..\RunServices: [Windows NetStart Service] winsN2S.exe
O4 - HKCU\..\RunServices: [IPOT Service Drivers] compaq.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Magic Keyboard.lnk = C:\Programme\Magic Keyboard\MagicKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...ridge-c267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4224182-E7AC-4FE8-818C-F580ADCD83FE}: NameServer = 195.50.140.252 145.253.2.203
O23 - Service: Database Analyser - Unknown owner - C:\windows\SYSTEM32\CONFIG\install.exe
O23 - Service: DHCPs Server - Unknown owner - C:\windows\SYSTEM32\CONFIG\install.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe

Gruss,
Förschterle

Hallo,

im System befinden sich u.a. die folgenden Schädlinge
http://www.sophos.de/virusinfo/analyses/w32rbotzx.html
http://www.sophos.com/virusinfo/analyses/w32rbotys.html
http://castlecops.com/startuplist-7638.html
http://www.sophos.de/virusinfo/analyses/w32rbotxr.html
http://www.sophos.de/virusinfo/analyses/w32rbotaai.html


=> Als einzig vernünftige Lösung bleibt dir nur das:
"System neu aufsetzen und vor der ersten Internetverbindung absichern".

Leider fehlen die Angaben über den Stand des Betriebssystems. Ich vermute aber, es ist veraltet.

gehört lt. http://forum.hijackthis.de/showthrea...2&page=3&pp=10 zu SdBot. Bei Zweifel gegenchecken unter http://virusscan.jotti.org/ .

Wenn sich der Verdacht bestätigt:
http://www.trojaner-info.de/report_i...nleitung.shtml

Gruß :daumenhoc
Yopie

Folgender Eintrag :
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
weisst auf Infektion mit folgendem hin:

http://www.sophos.de/virusinfo/analyses/w32rbotaai.html

Dir ist zu nichts anderem als zu einem Neuaufsetzen, am besten nach folgender Anleitung, zu raten um sowas in Zukunft zu vermeiden:

http://www.trojaner-board.de/showthread.php?t=12154

Warum eine Bereinigung hier nicht hilft:

http://www.mathematik.uni-marburg.de...al.html#sec2.5

Was man mit aktiven Backdoors alles anstellen kann:

http://www.dradio.de/dlf/sendungen/wib/253543/

Des isch luschtig... :aplaus:
Drei Poster können sich nicht irren.

Gruß :daumenhoc
Yopie

Vielen Dank schon mal !

Hatte gehofft, dass ich das ohne ein neues Aufsetzen des Systems schaffen könnte, aber da habe ich wohl zu viel gehofft...

Es hilft also nichts, die Einträge mit hijack zu fixen ???

Kurz und knapp: Nein!