winamp player problem
 

Ich kann, seitdem ich die Datei winbue32.dll in Windows/System 32 mit Amok Delay gelöscht habe, um einen Trojaner zu entfernen, meinen Winamp Player nicht mehr benutzen, wenn ich ihn öffnen will, hängt sich der computer auf und ich muss den Winamp Prozess im Taskmanager abbrechen.
Ich wundere mich auch darüber, dass ich im Taskmanager IMMER zwei "iexplorer" Prozesse habe. Ist das normal? Oder ist das der internet explorer und hat etwas damit zu tun, dass sich öfters Popups öffnen, obwohl der IE eigentlcih garnicht geöffnet war.
Kann mir jemand helfen, mir geht es vor allem um das Winamp Problem, den Mediaplayere hasse ich einfach :D

edit: Ich musste auch die HiJackThis.exe datei umbenennen, damit es geklappt hat.
Den IE hatte ich bein Erstellen der Logs NICHT an.


Logfile of HijackThis v1.99.1
Scan saved at 21:55:17, on 17.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\NORTON~2\NORTON~2\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\PROGRA~1\GEMEIN~1\MICROS~1\Msinfo\OFFPROV.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\ddu\Desktop\Prüfung.com.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {934E4868-CB43-40F6-B969-63398E37BF38} - C:\WINDOWS\system32\gebyy.dll
O2 - BHO: (no name) - {BB3D12DF-A226-69BC-755D-5DBBF73A17DB} - (no file)
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [lessowns] C:\DOKUME~1\ddu\ANWEND~1\CLOSES~1\chin peak.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7715BF7-7359-440E-ABD8-338A1C3F10C2}: NameServer = 192.168.2.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs:
O20 - Winlogon Notify: gebyy - C:\WINDOWS\system32\gebyy.dll
O20 - Winlogon Notify: winbue32 - winbue32.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~2\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Hallo,

stelle die Frage doch mal Darthshoot, der kennt sich doch so gut aus :D

SCNR

Gruß

Schrulli

Komm, Schrulli.
Hör auf die TOs zu veralbern :kloppen:

Edit: oookay ... überlassen wir das doch mal darthshoot :teufel2:

mfg,
Markus

:daumenhoc :daumenhoc :daumenhoc :daumenhoc :daumenhoc

Das liegt bestimmt nicht an Amok... Dann ist noch was drauf.. aber so habe ich keine Lust überhaupt einen Blick ins Log zu werfen..

Obwohl ich konnte es mir doch nicht ganz verkneifen :>

Der gebyy.dll ist laut Google verseucht.

@Darthshoot
Und da sind wir wieder bei dem Punkt des "Sinnlosen löschens" angelangt! Man kann nicht nur einfach eine infizierte Datei löschen und alles ist wieder i.O., sondern es gehört immer mehr dazu als nur mit "amok" zu arbeiten.
Daher wirst du immer wieder solche Kommentare von den Regulars hören..Sorry
@ponti-ddu,
Eigentlich wäre eine Neuinstallation für dein System angebracht, aber versuche es mal so..

1.) Deinstalliere über Software, den MessengerPlus3
C:\Programme\MessengerPlus! 3\MsgPlus.exe

2..) Lade dir VundoFix auf den Desktop (doppelklick auf die .exe und Dateien entpacken)
-dann in den abgesicherten Modus starten, den VundoFix Ordner öffnen, und doppelklick auf: KillVundo.bat
-einnmal ENTER, und beim nächsten Punkt wirst du gefragt:
dann das eingeben: C:\WINDOWS\system32\gebyy.dll ENTER

3.) dann starte HijackThis und fixe folgende Zeilen:
4.) Lade dir die Killbox und lösche folgendes Verzeichnis mit "delete on reboot"
C:\DOKUME~1\ddu\ANWEND~1\CLOSES~1\chin peak.exe
(solltest du die Datei nicht finden, nutze diesen LINK

Dann ein neues HijackLog posten..

Gruß
Daniel

EDIT: @ Darthshoot, das ist genau das was ich meine :daumenhoc

Also wenn ich jetz jedesmal so dumme Posts höre, dann bin ich hier raus.. das wird mir zu krass..

<private MEINUNG>

das hat doch nichts mit dummen Posts zu tun, sondern sind es einfach mal HINWEISE was an deinen Post "nur teilweise" richtig (also falsch) ist. Es will dich hier keiner kritisieren, oder dich aus dem Board vertreiben, aber du nimmst dir keinerlei Hinweise an :o
Außerdem ist es nun mal Tatsache das du Hilfesuchenden meist immer erklärst wie sie bestimmte Dateien löschen können, ohne darüber nachzudenken das eventuell mehr dahinter stecken könnte!
Und da du selber geschrieben hast wie "gut" du dich damit auskennst, und im nachhinein immer wieder liest das es meist doch nicht der Fall ist.. :party:

Also ich muss den Ende deines Posts schon kritisieren lol. Ach egal ich geh freiwillig.

Habt euch lieb ;)
welche lösung ist denn jetzt die beste?^^

und ist das mit den zwei IE Prozessen normal, auch wenn der IE garnicht läuft?

Wie soll ich die denn fixen? habe sehr wenig ahnung :D

Das haben wir! :party:

Nein, das ist nicht normal, hast du schon das alles abgearbeitet was ich dir im vorletzten Post geschrieben habe? :rolleyes:

Gruß
Daniel

ich hab im post grade noch gefragt, wiue das mit dem fixen geht ;)

Sorry habs überlesen!

Öffne Hijackthis.exe-->"do a System scan and save a log" anklicken, dann öffnet er einmal den Editor und ein weiteres Fenster, den Editor kannst du schliessen, und du setzt eine Haken bei den Zeilen:
wenn du alle Haken gesetzt hast, den Button -> "Fix checked" anklicken und die Einträge werden gelöscht (sollten zumindest)
Und dann weitermachen wie beschrieben!

Gruß
Daniel

ok, werd ich machen, danke ;)
wenn ich nicht mehr antworte, weißt du,k dass es nicht gekolappt hat ;)

hab die schritte befolgt.
sollte ich eigntlich den 4. schritt auch im abgesicherten modus machen? hab ich jetzt nicht, weil ich ja auchnoch downloaden musste.

Logfile of HijackThis v1.99.1
Scan saved at 12:50:39, on 18.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\NORTON~2\NORTON~2\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\ddu\Desktop\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
O2 - BHO: (no name) - {2DD66DD8-0A1F-4079-8A76-B4BBB35ADA49} - C:\WINDOWS\system32\gebyy.dll (file missing)
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {BB3D12DF-A226-69BC-755D-5DBBF73A17DB} - (no file)
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [lessowns] C:\DOKUME~1\ddu\ANWEND~1\CLOSES~1\chin peak.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7715BF7-7359-440E-ABD8-338A1C3F10C2}: NameServer = 192.168.2.1
O20 - AppInit_DLLs:
O20 - Winlogon Notify: gebyy - C:\WINDOWS\system32\gebyy.dll (file missing)
O20 - Winlogon Notify: winbue32 - winbue32.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~2\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

1.) Starte nochmals in den abgesicherten Modus und lösche entweder manuell (sofern er sich so löschen lässt!) oder mit der Killbox diesen Ordner:

C:\DOKUME~1\ddu\ANWEND~1\CLOSES~1


2.) Fixe dann mit HijackThis (immer noch im abgesicherten Modus) folgende Zeilen:

Neustarten und nochmals ein neues Hijacklog posten,

Gruß
Daniel

werd ich heute abend machen, muss jetzt erstmal weg. du hörst dann von mir ;)

Halllo,

[OT:]
das musst Du gar nicht. :) Die von mir gemachte Bemerkung bezog sich auf diesen Thread, da die hier besprochene Problematik direkt aus Deinem Tip
resultiert.
Einige haben es ja schon angedeutet, dass Deine Postings eine gewisse Schwierigkeit in sich bergen. Gerade wenn Du auf sogenannte "Spaßviren" in Deiner Signatur verlinkst, denn auch diese sind hier nicht gern gesehen. Konsequenterweise hast Du diesen Link entfernt und zeigst Auffassungsgabe.
Die Zukunft wird kommen und wir alle sehen, ob wir zusammenpassen :rolleyes:

Gruß

Schrulli

Hab die Anweisungen befolgt:

Logfile of HijackThis v1.99.1
Scan saved at 21:13:03, on 18.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\ddu\Desktop\hijackthis.exe

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [vcsettingsmixmags] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\mess anti vc settings\MeetCast.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7715BF7-7359-440E-ABD8-338A1C3F10C2}: NameServer = 192.168.2.1
O20 - Winlogon Notify: winbue32 - winbue32.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~2\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Hallo,

scanne die Datei

winbue32.dll (suchen)

online bei virustotal.com, poste das Ergebnis hier.

Gruß

Schrulli

Ich hab nochmal ein hijack log im normalen Windows Modus gemacht, Außerdem funktioniert auch der Winamp Player nach Neuinstallation wieder :)
Dankööö :D
Wenn nicht noch der eine IE Prozess einer zu viel ist, der IE ist wieder nicht geöffnet.


Logfile of HijackThis v1.99.1
Scan saved at 21:24:49, on 18.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\NORTON~2\NORTON~2\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\ddu\Desktop\hijackthis.exe

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [vcsettingsmixmags] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\mess anti vc settings\MeetCast.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7715BF7-7359-440E-ABD8-338A1C3F10C2}: NameServer = 192.168.2.1
O20 - Winlogon Notify: winbue32 - winbue32.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~2\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Hallo,


Gruß

Schrulli

Ich finde die Datei nicht. Habe auch "Systemordner durchsuchen" angewählt.
Hab auch in windows/system32 selbst nachgeschaut und sie da nicht gefunden.

im log steht ja auch:

O20 - Winlogon Notify: winbue32 - winbue32.dll (file missing)

die Datei fehlt *mich mal ganz schlau fühl* :D

Hallo,

dann fixe mit HIJ im abgesicherten Modus folgende Einträge:

O20 - Winlogon Notify: winbue32 - winbue32.dll (file missing)
O4 - HKLM\..\Run: [vcsettingsmixmags] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\mess anti vc settings\MeetCast.exe

lösche mittels Killbox den Ordner:

C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\mess anti vc settings

Bereinige dannach Dein System mit Cleanup ( Link in meiner Signatur) und post dannach die vier Logs der datfind.bat ( Link in meiner Signatur), aber nur die Dateien der letzten drei Monate abkopieren.

Gruß

Schrulli

das erste ist irgendwie sehr lang^^
und in einem steht fast nichts drinnen :confused:



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 70E5-F97E

Verzeichnis von C:\WINDOWS\system32

18.06.2006 12:19 664.785 yybeg.ini2
18.06.2006 11:23 734.433 yybeg.bak2
17.06.2006 14:15 664.560 yybeg.tmp
17.06.2006 14:14 664.509 yybeg.ini
16.06.2006 12:50 143 mcrh.tmp
16.06.2006 12:04 663.958 yybeg.bak1
15.06.2006 17:26 39.437 pmnmkkh.dll
14.06.2006 17:34 3.534 jupdate-1.5.0_03-b07.log
14.06.2006 13:34 13.002 wpa.dbl
12.06.2006 16:24 2 wnsapiit.exe
09.06.2006 03:19 5.967.776 MRT.exe
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
16.05.2006 22:23 28.672 vxblock.dll
16.05.2006 22:23 339.968 pxwave.dll
16.05.2006 22:23 430.080 px.dll
16.05.2006 22:23 1.257.472 pxsfs.dll
16.05.2006 22:23 450.560 pxdrv.dll
16.05.2006 22:23 61.440 pxhpinst.exe
16.05.2006 22:23 57.344 pxcpya64.exe
16.05.2006 22:23 176.128 pxmas.dll
16.05.2006 22:23 56.832 pxinsa64.exe
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 1.022.976 browseui.dll
10.05.2006 07:22 152.064 cdfview.dll
04.05.2006 18:01 102.400 VB6STKIT.DLL
29.04.2006 06:07 5.533.696 wmp.dll
27.04.2006 17:49 288.417 SrchSTS.exe
19.04.2006 00:34 109.568 pxinsi64.exe
19.04.2006 00:31 1.044.480 libdivx.dll
19.04.2006 00:31 200.704 ssldivx.dll
19.04.2006 00:30 53.248 dpuGUI10.dll
19.04.2006 00:30 294.912 dpu10.dll
19.04.2006 00:30 352.401 DivXMedia.ax
10.04.2006 20:37 118.784 DivXCodecUpdateChecker.exe
05.04.2006 20:59 56 8C77CE8A2E.sys
26.03.2006 13:29 311.912 perfh009.dat
26.03.2006 13:29 40.108 perfc009.dat
26.03.2006 13:29 48.276 perfc007.dat
26.03.2006 13:29 316.942 perfh007.dat
26.03.2006 13:29 724.660 PerfStringBackup.INI

-----das log ging eigentlich noch weiter, ich hatte im post insgesammt 109838 Zeichen----





Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 70E5-F97E

Verzeichnis von C:\WINDOWS

18.06.2006 21:49 2.048 bootstat.dat
18.06.2006 21:48 32.588 SchedLgU.Txt
18.06.2006 21:48 50 wiaservc.log
18.06.2006 21:48 216 wiadebug.log
18.06.2006 21:48 620 win.ini
18.06.2006 21:48 227 system.ini
18.06.2006 21:47 1.311.488 WindowsUpdate.log
18.06.2006 21:15 0 0.log
16.06.2006 14:03 25.326 wmsetup.log
16.06.2006 12:14 146.146 setupact.log
15.06.2006 10:06 55.738 spupdsvc.log
15.06.2006 09:47 84.620 iis6.log
15.06.2006 09:47 193.772 comsetup.log
15.06.2006 09:47 118.131 ntdtcsetup.log
15.06.2006 09:47 218.076 tsoc.log
15.06.2006 09:47 1.374 imsins.log
15.06.2006 09:47 29.138 ocmsn.log
15.06.2006 09:47 10.991 KB917734.log
15.06.2006 09:47 278.920 ocgen.log
15.06.2006 09:47 28.357 msgsocm.log
15.06.2006 09:47 547.363 FaxSetup.log
15.06.2006 09:47 462.985 setupapi.log
15.06.2006 09:44 1.374 imsins.BAK
15.06.2006 09:44 14.822 KB918439.log
15.06.2006 09:43 15.505 KB917344.log
15.06.2006 09:43 28.188 updspapi.log
15.06.2006 09:43 14.448 KB917953.log
15.06.2006 09:43 14.097 KB911280.log
15.06.2006 09:42 18.180 KB916281.log
15.06.2006 09:41 11.757 KB914389.log
11.05.2006 00:06 11.778 KB913580.log
04.05.2006 20:07 87 setup.log
04.05.2006 18:01 282.624 Setup1.exe
04.05.2006 18:01 73.216 ST6UNST.EXE
27.04.2006 00:23 12.068 KB900485.log
18.04.2006 02:06 15.200 KB908531.log
18.04.2006 02:05 14.268 KB911562.log
18.04.2006 02:05 16.470 KB912812.log
18.04.2006 02:04 12.753 KB911565.log
18.04.2006 02:03 10.707 KB911567.log
13.04.2006 19:19 23.183 War3Unin.dat
18.03.2006 16:14 32 wininit.ini
18.02.2006 13:53 0 iPlayer.INI
17.02.2006 15:12 360 DtcInstall.log
17.02.2006 15:11 316.640 WMSysPr9.prx
17.02.2006 00:50 10.644 KB911927.log
17.02.2006 00:50 6.056 KB911564.log
17.02.2006 00:49 6.637 KB913446.log
08.02.2006 15:25 2.829 War3Unin.pif
08.02.2006 15:25 126.976 War3Unin.exe
14.01.2006 16:44 10.119 KB908519.log
07.01.2006 04:04 11.089 KB912919.log
15.12.2005 01:01 9.399 KB910437.log
15.12.2005 01:01 15.542 KB905915.log
24.11.2005 14:14 4.824 SYMEVENT.LOG
24.11.2005 14:05 687 SIREGIST.LOG
24.11.2005 14:02 32 {459E473B-426D-4360-ABF5-DE0EFC1733AF}.dat
24.11.2005 14:01 4.895 Norton Utilities.log
24.11.2005 14:01 32 {C94EC242-AA0F-4521-AAE7-8760FC5D665E}.dat
24.11.2005 14:01 32 {3F4E2F3A-035E-4EDD-AF62-4C3A6F007B5F}.dat
24.11.2005 14:01 1.833 SYMINST.LOG
24.11.2005 13:59 32 {C00FA9C3-7F01-4BE1-912D-5FF00B9B670D}.dat
24.11.2005 13:59 32 {70B9EFFF-09DD-47FB-AEFD-994EC865E316}.dat
24.11.2005 13:59 32 {CBB8DCF9-E01D-4328-9735-0C7CA1BF1E37}.dat
24.11.2005 13:56 32 {E3D2B71B-258C-4CBB-9798-74C298AEDA41}.dat
17.11.2005 23:05 53.248 UpdtNv28.exe
15.11.2005 19:22 192 winamp.ini
11.11.2005 00:25 11.807 KB896424.log
02.11.2005 18:31 48 scmate.ini
02.11.2005 18:23 83 WinFight.ini
22.10.2005 01:10 21.083 KB901017.log
22.10.2005 01:10 23.494 KB902400.log
22.10.2005 01:10 14.146 KB896688.log
22.10.2005 01:09 13.323 KB905414.log
22.10.2005 01:09 13.549 KB900725.log
22.10.2005 01:09 11.336 KB904706.log
22.10.2005 01:08 11.944 KB905749.log
22.09.2005 21:30 18.432 ss3unstl.exe
17.09.2005 21:33 81.288 DirectX.log
02.09.2005 20:31 403 ODBC.INI
21.08.2005 03:04 48.018 KB896727.log
10.08.2005 23:56 14.646 KB899587.log
10.08.2005 23:55 14.137 KB899591.log
10.08.2005 23:55 13.945 KB893756.log
10.08.2005 23:55 14.115 KB896423.log
10.08.2005 23:54 13.507 KB899588.log
10.08.2005 23:54 13.229 KB894391.log
24.07.2005 01:42 11.481 KB901214.log
24.07.2005 01:42 4.284 KB903235.log
03.07.2005 13:05 10 smdat32m.sys
03.07.2005 13:03 1.050.741 setupapi.log.0.old
03.07.2005 12:33 0 smdat32a.sys
29.06.2005 23:41 6.886 KB898461.log
20.06.2005 23:27 379 wmsetup10.log
19.06.2005 01:25 13.658 KB896422.log
19.06.2005 01:25 14.666 KB883939.log
19.06.2005 01:25 11.343 KB896358.log
19.06.2005 01:25 11.232 KB890046.log
19.06.2005 01:24 26.282 KB893066.log
19.06.2005 01:24 10.382 KB896428.log
27.05.2005 01:22 10.752 hh.exe
23.05.2005 13:58 304 GEARInstall.log
21.05.2005 01:47 6.277 KB893803v2.log
13.04.2005 22:37 16.722 KB890923.log
13.04.2005 22:37 13.296 KB893086.log
13.04.2005 22:36 14.664 KB890859.log
13.04.2005 22:36 6.817 KB893803.log
24.03.2005 02:20 16.695 KB885835.log
24.03.2005 02:20 15.691 KB885836.log
24.03.2005 02:20 16.515 KB885250.log
24.03.2005 02:20 15.689 KB890175.log
24.03.2005 02:20 15.687 KB873339.log
24.03.2005 02:20 15.754 KB888113.log
24.03.2005 02:20 16.301 KB887742.log
24.03.2005 02:20 15.694 KB887472.log
24.03.2005 02:20 15.732 KB891781.log
24.03.2005 02:20 12.591 KB867282.log
24.03.2005 02:19 13.621 KB873333.log
24.03.2005 02:19 11.479 KB890047.log
24.03.2005 02:18 10.703 KB888302.log
24.03.2005 02:18 6.599 KB886185.log
22.03.2005 23:32 1.165 OEWABLog.txt
22.03.2005 23:28 728.224 setuplog.txt
22.03.2005 19:08 422.298 svcpack.log
22.03.2005 19:05 200 cmsetacl.log
22.03.2005 19:04 1.330 sessmgr.setup.log
21.03.2005 21:32 31.556 xpsp1hfm.log
21.03.2005 21:32 35.134 KB828741.log
21.03.2005 21:31 29.492 KB835732.log
21.03.2005 21:30 21.737 Q329834.log
21.03.2005 21:30 28.416 KB823559.log
21.03.2005 21:29 21.394 Q329048.log
21.03.2005 21:29 20.800 KB834707-IE6-20040929.115007.log
21.03.2005 21:28 21.391 Q810577.log
21.03.2005 21:27 16.161 KB833987.log
21.03.2005 21:26 18.088 Q810833.log
21.03.2005 21:26 15.176 Q811630.log
21.03.2005 21:25 16.364 KB841356.log
21.03.2005 21:24 11.857 Q329441.log
21.03.2005 21:23 11.591 Q817606.log
21.03.2005 21:23 8.676 Q329170.log
21.03.2005 21:22 1.579 Q329115.log
21.03.2005 21:22 1.218 Q329390.log
21.03.2005 21:22 961 Q323255.log
19.03.2005 00:13 5.533 KB842773.log
16.03.2005 21:57 2.932 Windows Update.log
07.03.2005 16:24 8.192 REGLOCS.OLD
07.03.2005 16:20 0 control.ini
07.03.2005 16:20 299.552 WMSysPrx.prx
07.03.2005 16:20 4.161 ODBCINST.INI
07.03.2005 16:19 749 WindowsShell.Manifest
07.03.2005 16:17 37 vbaddin.ini
07.03.2005 16:17 36 vb.ini
07.03.2005 16:11 0 Sti_Trace.log
07.03.2005 16:09 1.348 regopt.log
07.03.2005 16:08 0 setuperr.log
22.08.2004 17:04 69.120 daemon.dll
04.08.2004 09:58 288.768 winhlp32.exe
04.08.2004 09:58 32.866 slrundll.exe
04.08.2004 09:58 153.600 regedit.exe
04.08.2004 09:58 70.144 notepad.exe
04.08.2004 09:57 1.035.264 explorer.exe
04.08.2004 09:57 50.688 twain_32.dll
11.05.2003 15:51 26.112 RunUnDrv.exe
18.08.2001 14:00 80 explorer.scf
18.08.2001 14:00 18.944 vmmreg32.dll
18.08.2001 14:00 16.730 Feder.bmp
18.08.2001 14:00 707 _default.pif
18.08.2001 14:00 49.680 twunk_16.exe
18.08.2001 14:00 94.800 twain.dll
18.08.2001 14:00 26.680 F„cher.bmp
18.08.2001 14:00 82.944 clock.avi
18.08.2001 14:00 15.872 TASKMAN.EXE
18.08.2001 14:00 17.062 Kaffeetasse.bmp
18.08.2001 14:00 65.954 Pr„riewind.bmp
18.08.2001 14:00 1.272 Blaue Spitzen 16.bmp
18.08.2001 14:00 1.405 msdfmap.ini
18.08.2001 14:00 257.568 winhelp.exe
18.08.2001 14:00 2 desktop.ini
18.08.2001 14:00 65.978 Seifenblase.bmp
18.08.2001 14:00 48.680 winnt.bmp
18.08.2001 14:00 48.680 winnt256.bmp
18.08.2001 14:00 34.818 wmprfDEU.prx
18.08.2001 14:00 17.336 Angler.bmp
18.08.2001 14:00 26.582 Granit.bmp
18.08.2001 14:00 65.832 Santa Fe-Stuck.bmp
18.08.2001 14:00 25.600 twunk_32.exe
18.08.2001 14:00 17.362 Rhododendron.bmp
18.08.2001 14:00 9.522 Zapotek.bmp
21.01.2000 18:09 94.208 uninNMP.exe
10.11.1999 12:05 86.016 unvise32qt.exe
22.07.1999 19:14 306.688 IsUninst.exe
11.06.1999 19:18 28.252 corelpf.lrs
31.03.1999 01:11 31.744 POCELANG.DLL
17.11.1998 14:44 328.704 IsUn0407.exe
23.09.1998 22:10 195.072 POCE98.DLL
08.02.1996 17:06 284.160 unin0407.exe
197 Datei(en) 12.381.429 Bytes
0 Verzeichnis(se), 27.024.248.832 Bytes frei




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 70E5-F97E

Verzeichnis von C:\DOKUME~1\ddu\LOKALE~1\Temp




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 70E5-F97E

Verzeichnis von C:\

18.06.2006 21:57 0 sys.txt
18.06.2006 21:56 10.268 system.txt
18.06.2006 21:56 131 systemtemp.txt
18.06.2006 21:56 98.339 system32.txt
18.06.2006 21:49 805.306.368 pagefile.sys
18.06.2006 21:48 229 boot.ini
16.06.2006 12:14 1.406 rapport.txt
14.06.2006 17:35 23.452 log.txt
31.10.2005 17:56 700.416 StubInstaller.exe
22.03.2005 18:48 47.564 NTDETECT.COM
22.03.2005 18:48 251.184 ntldr
21.03.2004 12:28 0 IO.SYS
21.03.2004 12:28 0 CONFIG.SYS
21.03.2004 12:28 0 AUTOEXEC.BAT
21.03.2004 12:28 0 MSDOS.SYS
18.08.2001 14:00 4.952 bootfont.bin
16 Datei(en) 806.444.309 Bytes
0 Verzeichnis(se), 27.024.232.448 Bytes frei

Hallo,

Du solltes ja auch nur die Dateien der letzten drei Monate posten. :rolleyes:
Sieht verdammt schlecht aus, versuche mal löschen mittels Killbox im abgesicherten Modus, Option delete on Reboot und zwar folgendes:

Verzeichnis von C:\WINDOWS\system32
18.06.2006 12:19 664.785 yybeg.ini2
18.06.2006 11:23 734.433 yybeg.bak2
17.06.2006 14:15 664.560 yybeg.tmp
17.06.2006 14:14 664.509 yybeg.ini
16.06.2006 12:50 143 mcrh.tmp
16.06.2006 12:04 663.958 yybeg.bak1
15.06.2006 17:26 39.437 pmnmkkh.dll
12.06.2006 16:24 2 wnsapiit.exe

Verzeichnis von C:\
31.10.2005 17:56 700.416 StubInstaller.exe

Dannach (vor dem Reboot) lade Dir Regseeker, Option "clean the registry", alle grünen markieren, mit "Entf" löschen. Dannach Reboot.
Dann lade Vundofix führe es aus, wie beschrieben.

Poste dannach ein neues HJT Log und nochmal die vier Logs der datfind.bat, ...nur die letzten drei Monate. :)

Gruß

Schrulli

also hab ich das jetzt richtig verstanden?

die dateien:

C:\WINDOWS\system32\yybeg.ini2
C:\WINDOWS\system32\yybeg.bak2
...

soll ich mit killbox löschen?

Hallo,Ja.

Gruß

Schrulli

eine dumme frage noch :D
reboot ist doch immer, wenn ich den computer neu starte, oder?


noch eine:
was muss ich mit vundofix genau machen?

Hallo,
genau das Reboot = Neustarten

Gruß

Schrulli

die hab ich noch dazu editiert :D

Hallo,

Ist Englisch für Dich ok?

Gruß

Schrulli

mein englisch ist ok, aber wenn ich auf die .exe datei gehe, muss ich es installieren.


Put a check next to Run VundoFix as a task.
--> den satz versteh ich nicht ganz.

und die nachricht in der zwile danach bekomm ich nicht.
ich komme nicht zu den ganzen schritten die danach beschrieben werden.

ich werd glaub ich morgen weitermachen, hab schon kopfschmerzen und muss morgen früh zur schule -.-

Hallo,

DU lädst Dir das Programm, doppelklick dann kommt ein Fenster, dort kannst DU "Run Vundofix as a task." anklicken, dann kommt auch die Nachricht.

Gruß

Schrulli

hat sich erledigt mit dem vundofix, ich hatte wirklich das falsche programm^^

Hallo,

dann

Gruß

Schrulli

ich hatte das noch alles garnicht gemacht, hatte noch "wichtigeres" zu erledigen...
jetzt aba:


Logfile of HijackThis v1.99.1
Scan saved at 18:32:24, on 19.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\NORTON~2\NORTON~2\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\ddu\Desktop\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7715BF7-7359-440E-ABD8-338A1C3F10C2}: NameServer = 192.168.2.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~2\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 70E5-F97E

Verzeichnis von C:\WINDOWS\system32

19.06.2006 18:29 77.824 VundoFix.exe
14.06.2006 17:34 3.534 jupdate-1.5.0_03-b07.log
14.06.2006 13:34 13.002 wpa.dbl
09.06.2006 03:19 5.967.776 MRT.exe
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
16.05.2006 22:23 339.968 pxwave.dll
16.05.2006 22:23 28.672 vxblock.dll
16.05.2006 22:23 430.080 px.dll
16.05.2006 22:23 450.560 pxdrv.dll
16.05.2006 22:23 56.832 pxinsa64.exe
16.05.2006 22:23 57.344 pxcpya64.exe
16.05.2006 22:23 176.128 pxmas.dll
16.05.2006 22:23 1.257.472 pxsfs.dll
16.05.2006 22:23 61.440 pxhpinst.exe
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 07:22 1.022.976 browseui.dll
04.05.2006 18:01 102.400 VB6STKIT.DLL
29.04.2006 06:07 5.533.696 wmp.dll
27.04.2006 17:49 288.417 SrchSTS.exe
19.04.2006 00:34 109.568 pxinsi64.exe
19.04.2006 00:31 1.044.480 libdivx.dll
19.04.2006 00:31 200.704 ssldivx.dll
19.04.2006 00:30 53.248 dpuGUI10.dll
19.04.2006 00:30 294.912 dpu10.dll
19.04.2006 00:30 352.401 DivXMedia.ax
10.04.2006 20:37 118.784 DivXCodecUpdateChecker.exe
05.04.2006 20:59 56 8C77CE8A2E.sys
26.03.2006 13:29 40.108 perfc009.dat
26.03.2006 13:29 311.912 perfh009.dat
26.03.2006 13:29 48.276 perfc007.dat
26.03.2006 13:29 316.942 perfh007.dat
26.03.2006 13:29 724.660 PerfStringBackup.INI
22.03.2006 02:38 12.288 DivXWMPExtType.dll




Volume in Laufwerk C: hat keine Bezeichnung.

Volumeseriennummer: 70E5-F97E

Verzeichnis von C:\DOKUME~1\ddu\LOKALE~1\Temp

19.06.2006 18:28 824 jusched.log
18.06.2006 22:15 281 wahtmltmp00.htm




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 70E5-F97E

Verzeichnis von C:\WINDOWS

19.06.2006 18:34 1.357.057 WindowsUpdate.log
19.06.2006 18:28 0 0.log
19.06.2006 18:28 157 wiadebug.log
19.06.2006 18:28 50 wiaservc.log
19.06.2006 18:28 2.048 bootstat.dat
19.06.2006 18:23 227 system.ini
19.06.2006 18:23 620 win.ini
19.06.2006 17:56 32.588 SchedLgU.Txt
18.06.2006 22:50 1.409 QTFont.for
18.06.2006 22:50 54.156 QTFont.qfn
16.06.2006 14:03 25.326 wmsetup.log
16.06.2006 12:14 146.146 setupact.log
15.06.2006 10:06 55.738 spupdsvc.log
15.06.2006 09:47 84.620 iis6.log
15.06.2006 09:47 193.772 comsetup.log
15.06.2006 09:47 118.131 ntdtcsetup.log
15.06.2006 09:47 218.076 tsoc.log
15.06.2006 09:47 1.374 imsins.log
15.06.2006 09:47 29.138 ocmsn.log
15.06.2006 09:47 10.991 KB917734.log
15.06.2006 09:47 278.920 ocgen.log
15.06.2006 09:47 28.357 msgsocm.log
15.06.2006 09:47 547.363 FaxSetup.log
15.06.2006 09:47 462.985 setupapi.log
15.06.2006 09:44 1.374 imsins.BAK
15.06.2006 09:44 14.822 KB918439.log
15.06.2006 09:43 15.505 KB917344.log
15.06.2006 09:43 28.188 updspapi.log
15.06.2006 09:43 14.448 KB917953.log
15.06.2006 09:43 14.097 KB911280.log
15.06.2006 09:42 18.180 KB916281.log
15.06.2006 09:41 11.757 KB914389.log
11.05.2006 00:06 11.778 KB913580.log
04.05.2006 20:07 87 setup.log
04.05.2006 18:01 282.624 Setup1.exe
04.05.2006 18:01 73.216 ST6UNST.EXE
27.04.2006 00:23 12.068 KB900485.log
18.04.2006 02:06 15.200 KB908531.log
18.04.2006 02:05 14.268 KB911562.log
18.04.2006 02:05 16.470 KB912812.log
18.04.2006 02:04 12.753 KB911565.log
18.04.2006 02:03 10.707 KB911567.log
13.04.2006 19:19 23.183 War3Unin.dat
18.03.2006 16:14 32 wininit.ini
18.02.2006 13:53 0 iPlayer.INI




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 70E5-F97E

Verzeichnis von C:\

19.06.2006 18:41 0 sys.txt
19.06.2006 18:41 10.364 system.txt
19.06.2006 18:39 435 systemtemp.txt
19.06.2006 18:33 98.056 system32.txt
19.06.2006 18:30 249 VundoFix.txt
19.06.2006 18:28 805.306.368 pagefile.sys
19.06.2006 18:23 211 boot.ini
16.06.2006 12:14 1.406 rapport.txt
14.06.2006 17:35 23.452 log.txt

Hallo,

fixe mitells HJT die Enträge

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

und post den Inhalt der

c:\VundoFix.txt

Was machen die Probleme?

Gruß

Schrulli

VundoFix V4.2.84

Running as SYSTEM
from c:\windows\system32\VundoFix.exe

Checking Java version...

Sun Java not detected
Scan started at 18:30:04 19.06.2006

Listing files found while scanning....

No infected files were found.



Das Problem mit dem Winamp Player gab es ja schon vorher nicht mehr. Popups sind auch nicht mehr gekommen und es gibt keinen IE Prozess mehr (hast du natürlich schon aus dem HJT Log erfahren ;) )

Danke für deine lange Hilfe und deine ausführlichen Anweisungen, ich denke mein Computer ist erstmal sauber (ich merke auf jeden Fall nichts mehr) :D

Find ich echt cool von dir, dass du mir so geholfen hast und dir Zeit genommen hast, auch wenn es dir eigntlich nichts bringt.

Gruß, Ponti


edit: Ich werd jetzt erstmal eine leine Testphase mit diversen spielen einlegen, ich hoffe es lagt ein bisschen weniger :D