Trojaner-Board - ich brauche dirngent hilfe da ich im computer unerfahren bin

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - ich brauche dirngent hilfe da ich im computer unerfahren bin (https://www.trojaner-board.de/28259-brauche-dirngent-hilfe-computer-unerfahren.html)

ich brauche dirngent hilfe da ich im computer unerfahren bin

ich wollte heute morgen mein msn starten und es startet nicht sondern wird eine fehlmeldung angezeigt die lautet c programme msn messenger msnmsgr.exe r6025 pure functions call wer ist so nett und hilft mir

~~edit~~

stupormundi

Servus!
Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier! Wichtig dabei: Entpacke HJT in ein eigenes Verzeichnis (zB. C:\HJT). Nicht im Temporärordner laufen lassen!
stupormundi

hallo so ich habe ds jetzt gemacht wie es angezeigt war es liegen aber keine ergebnisse vor die datei ist nicht zu finden ich habe es uninstall und wieder drauf kommt aber immer noch dasselbe

Ich fürchte, ich verstehe Dich nicht: Was klappt beim Download von HJT nicht? Diese *.zip Datei (<-- *klick*) herunterladen und dann mit Winzip entpacken. Hierbei darauf achten, dass Du die Dateien in ein zuvor selbst angelegtes Verzeichnis (zB 'C:\HJT' oder, wie in der Anleitung 'C:\Programme\HiJackThis') entpackst/extrahierst.

Wenn das geschehen ist weiter nach bebilderter Anleitung. Am Schluss, nach dem Scan poppt ein Textfile mit dem Log auf - das markierst Du ganz und kopierst hierher mittels "Antworten"-Button.

Ist nicht schwer!

stupormundi

ja das sagst du so leicht habe erst seit 2 monaten den computer und absolut keinerlei erfahrung also bin was das bertrifft ne absolute jungfrau

und wie erstelle ich dazu den extra ordner mal dankeschön im vorraus für die hilfe

Nur keine Angst - der (Computer) tut Dir nichts ;)

Schau Dir die Anleitung zuerst in Ruhe durch (druck sie dir vielleicht aus) und mach es dann Schritt für Schritt - das kann ich Dir leider aus der Entfernung nicht abnehmen!
Zum Erstellen des Entpackungsziels schau Dir die von mir beigelegte Datei an!
Bei "Erstellen in/Extract to" kannst Du das Ziel eintippen!
stupormundi

ich habe kein drucker oh jemine das ist schwerer wie ne geburt von nem kind

ich habe es nochmal probiert und ich versteh es nicht ich krieg das nisch hin menno macht ihr sowas auch telefonisch :heulen:

Schritt 1: hast Du die Datei für HJT schon heruntergeladen? Sprich: Liegt die *.zip Datei schon auf deiner Festplatte?

kann ich das auch mit systemwiederherstellung so machen wie es war

ja die datei ist auf dem deskop

ich habe zum entpacken winrar geht das damit auch

Ja, sollte auch mit winrar funktionieren - wichtig ist, dass Du es in ein eigenes Verzeichnis entpackst!

stupormundi

das heißt eine neuen ordner öffnen und da reinmachen

habe es jetzt mal in winrar entpackt da ist ein neuer ordner auf dem deskop aufgegegangen

Analog zu Winzip auch hier: zip-Datei auswählen und entpacken wie in winzip
Die Knöpfe sind analog beschriftet. Achte beim entpacken, dass Du das richtige Dateiformat (*.rar oder *.zip - in unserem Fall das 2.te) auswählst.
stupormundi

Zitat:

habe es jetzt mal in winrar entpackt da ist ein neuer ordner auf dem deskop aufgegegangen

Nasowas! Und wie heißt dieser Ordner?
stupormundi

so nun ist ein neuer ordner aufgegangen in den geh ich rein und anklicken und dann

hijackthis heißt er und innen drin ist so ne bombe

oder dynamit und dann

Eine Bombe? Heißt diese Bombe HighjackThis.exe?
Wenn ja, dann klick mal ganz toll d'rauf!
Und dann klickst Du auf "Do a system scan and save logfile"

stupormundi

es hat sich ein textdokument geöffnet und noch ein anderes fenster wo scan steht und fix checked drin steht

das andere ist ein editor text dings

Hurra!

Das Textdokument ist unser erstes Ziel - hier markierst Du mit dem Mauszeiger den ganzen Text, kopierst diesen [Tasten Strg+C] wechselst wieder hierher, öffnest ein Antwortfenster und fügst den Text ein [Tasten Strg+V]

Das andere Fenster mit fix checked lass mal vorerst!

stupormundi

Logfile of HijackThis v1.99.1
Scan saved at 14:17:46, on 11.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\ISW\alice\signup\connctas.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\eMule\emule.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Admin\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.alice-dsl.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: System Process - {C2EEB4FA-B6D6-41b9-9CFA-ABA87F862BCB} - C:\WINDOWS\system32\st.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.2607.0\de\msntb.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZSzed029YYDE_ZNxmk970YYDE
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programme\Yahoo!\Common/ycsms.htm
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F081133D-C581-4E2A-B904-2449F31C26BD}: NameServer = 213.191.92.84 213.191.74.12
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

so ich hoffe das ist richtig

Super-geht doch!
Jetzt starte den PC im abgesicherten Modus (einfach die "F8"-Taste beim Starten gedrückt halten bis die verschiedenen Startoptionen angezeigt werden--> abgesicherten Modus auswählen). Nicht schrecken - da ist die Bildschirmanzeige grober und nicht so bunt!

Wieder HJT starten (Bombe drücken), scanne wie zuvor und dieses Mal zu dem Fenster mit den "fix checked" Einträgen gehen!
Nun ein Häkchen vor folgende Einträge setzen

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
...
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
...
O2 - BHO: System Process - {C2EEB4FA-B6D6-41b9-9CFA-ABA87F862BCB} - C:\WINDOWS\system32\st.dll

und anschließend ok drücken.
Lösche im abgesicherten Modus diese Datei

Zitat:

C:\WINDOWS\system32\st.dll

Dann starte neu und lass mal Deinen PC online bei Kaspersky überprüfen (Kaspersky online Scanner auswählen und anschließend "Accept" drücken!
Teile uns das Ergebnis mit!
stupormundi

:bussi: halleluja es hat geklappt vielen lieben dank für deine hilfe und gedult

Servus!

Schön dass es geklappt hat - was hat Kaspersky gesagt/gefunden?
Würde mich jetzt wundern, wenn der gar nichts gefunden hätte!

stupormundi