hijackthis log -> SOS / Danke im Voraus!
 

Problem wg. errorsafe: geänderter Browser, Weiterleitungen... habe wenige "sichere EInträge" löschen müssen wg. textmengeeinschränkungen
Vielen herzlichen Dank im Voraus!
Maximillian

Logfile of HijackThis v1.99.1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\ProgramFiles\SafeBoot\SBMGRNT.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ISS\issSensors\DesktopProtection\blackd.exe
C:\Program Files\****\CliMa\service\CET.EXE
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\ISS\issSensors\DesktopProtection\RapApp.exe
C:\WINDOWS\system32\sdpasvc.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\Program Files\ISS\issSensors\DesktopProtection\vpatch.exe
C:\Program Files\****\Global Desktop\MBL\Base\MBLTrigger.exe
C:\WINDOWS\Explorer.EXE C:\PROGRA~1\SafeBoot\vdisk\SBEVMON.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~2\VPTray.exe
C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\eRoom 7\ERClient7.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Video ActiveX Object\isamonitor.exe
C:\Program Files\Video ActiveX Object\isamini.exe
C:\Program Files\Video ActiveX Object\pmsngr.exe
C:\Program Files\Video ActiveX Object\pmmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Adobe\Reader\AcroRd32.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://w*w.kworld.****.com/usearch/usearch.asp?hide_tabs=1R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://w*w.kworld.****.com/usearch/usearch.asp?hide_tabs=1R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.kworld.****.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.kworld.****.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by ****
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = h**p://****proxy.com/****proxy.pac
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: Plugin Class - {56CD20F0-7C09-11D5-A768-0050042307CE} - C:\Program Files\SAP\SAP Tutor\PlayerIE.dll
O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Program Files\Video ActiveX Object\isaddon.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\IDM\QUICKF~1\PlugIns\IEHelp.dll
O3 - Toolbar: Protection Bar - {0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F} - C:\Program Files\Video ActiveX Object\iesplugin.dll
O4 - HKLM\..\Run: [SBEVMON.EXE] C:\PROGRA~1\SafeBoot\vdisk\SBEVMON.EXE -WinLogon
O4 - HKLM\..\Run: [SBMGRNT.EXE] C:\PROGRA~1\SafeBoot\SBMGRNT.EXE -WinLogon
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
O4 - HKLM\..\Run: [ASRInst_V] C:\WINDOWS\system32\regsvr32.exe "C:\Program Files\Common Files\Panasonic\PSL_DMOG726Dec.dll" /s
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Monitor My eRooms (V7).lnk = C:\Program Files\eRoom 7\ERClient7.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.kworld.****.com
O15 - Trusted Zone: w*w.cs.com.au
O15 - Trusted Zone: h**p://gosystemrs.fasttax.com O15 - Trusted Zone: web.lexis-nexis.com
O15 - Trusted Zone: w*w.lexis-nexis.com
O15 - Trusted Zone: w*w4.lexis-nexis.com
O15 - Trusted Zone: web.lexis.com
O15 - Trusted Zone: w*w.lexis.com
O15 - Trusted Zone: w*w4.lexis.com
O15 - Trusted Zone: *.lexis.com
O15 - Trusted Zone: w*w.lexisnexis.com
O15 - Trusted Zone: w*w4.lexisnexis.com
O15 - Trusted Zone: h**p://*.meomweb14O15 - Trusted Zone: *.merrillcorp.com
O15 - Trusted Zone: *.merrilldirect.com
O15 - Trusted Zone: w*w.datasite.merrilldirect.com
O15 - Trusted Zone: web.nexis.com
O15 - Trusted Zone: w*w.nexis.com
O15 - Trusted Zone: w*w.cs.com.au (HKLM)O15 - Trusted Zone: h**p://gosystemrs.fasttax.com (HKLM)
O15 - Trusted Zone: web.lexis-nexis.com (HKLM)O15 - Trusted Zone: w*w.lexis-nexis.com (HKLM)
O15 - Trusted Zone: w*w4.lexis-nexis.com (HKLM) O15 - Trusted Zone: web.lexis.com (HKLM)
O15 - Trusted Zone: w*w.lexis.com (HKLM)
O15 - Trusted Zone: w*w4.lexis.com (HKLM)O15 - Trusted Zone: *.lexis.com (HKLM)O15 - Trusted Zone: w*w.lexisnexis.com (HKLM)
O15 - Trusted Zone: w*w4.lexisnexis.com (HKLM)
O15 - Trusted Zone: h**p://*.meomweb14 (HKLM)
O15 - Trusted Zone: *.merrillcorp.com (HKLM)
O15 - Trusted Zone: *.merrilldirect.com (HKLM)
O15 - Trusted Zone: w*w.datasite.merrilldirect.com (HKLM)
O15 - Trusted Zone: h**p://kworld2.newsedge-web.com (HKLM)
O15 - Trusted Zone: web.nexis.com (HKLM)O15 - Trusted Zone: w*w.nexis.com (HKLM)
O15 - Trusted Zone: w*w.pc-werksverkauf.de (HKLM)
O16 - DPF: {6E2510E6-BF2D-4C78-9F28-2F5C8760F124} (ERPageAddin Class) - h**ps://s13.kclient.****.com/eRoomSetup/client.cab
O17 - ok
O18 - Protocol: t-mobile - {C6D89159-3467-4C2F-9918-3362DA57BCD2} - C:\PROGRA~1\T-Mobile\HOTSPO~1\TMOBIL~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O21 - SSODL: carbinyl - {8d8c2387-7f80-4022-9be6-43630a969558} - C:\WINDOWS\system32\gwquvw.dll (file missing)
O23 - Service: BlackICE - Internet Security Systems, Inc. - C:\Program Files\ISS\issSensors\DesktopProtection\blackd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: **** CliMa Trigger Enhancement (CliMaEnhancedTrigger) - **** - C:\Program Files\****\CliMa\service\CET.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\system32\ImapiRox.exe
O23 - Service: **** GD MBL Trigger (mblTrigger) - **** - C:\Program Files\****\Global Desktop\MBL\Base\MBLTrigger.exe
O23 - Service: RapApp - Internet Security Systems, Inc. - C:\Program Files\ISS\issSensors\DesktopProtection\RapApp.exe
O23 - Service: SafeBoot Configuration Manager (SafeBootConfigurationManager) - Control Break International - C:\Program Files\SafeBoot\SBMGRNT.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: SDPAUMS server service (SDPASVC) - Matsushita Electric Industrial Co.,Ltd. - C:\WINDOWS\system32\sdpasvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe
O23 - Service: ISS Buffer Overflow Exploit Prevention (VPatch) - Internet Security Systems, Inc. - C:\Program Files\ISS\issSensors\DesktopProtection\vpatch.exe

Vielen herzlichen Dank im Voraus!

Ich vermute, folgende Dateien müssen entfernt werden:
C:\Program Files\Video ActiveX Object\isamonitor.exe
C:\Program Files\Video ActiveX Object\isamini.exe
C:\Program Files\Video ActiveX Object\pmsngr.exe
C:\Program Files\Video ActiveX Object\pmmon.exe

bitte um Bestätigung. Danke!
M.

Stimmt ich würde das fixen aber auch noch:

O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Program

O3 - Toolbar: Protection Bar - {0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F} - C:\Program Files\Video ActiveX Object\iesplugin.dll

Art


Unbedingt fixen!iesplugin.dll - ProtectionBar, rogue "security software", related to the notorious PS_Guard/SpywareQuake/WinAntivirus, ht****unbeltblog.blogspot.com/2006/03/ seen-in-wild-spyware-quake_25.html foistware and detected as a variant of the FakeAle aka Z
Besucherbewertung Analysedetails
O4 - HKLM\..\Run: [SBEVMON.EXE] C:\PROGRA~1\SafeBoot\vdisk\SBEVMON.EXE -WinLogon

Art


Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt. Um ganz sicher zu sein, sollten Sie diese Datei hier überprüfen.
Besucherbewertung Analysedetails
O4 - HKLM\..\Run: [SBMGRNT.EXE] C:\PROGRA~1\SafeBoot\SBMGRNT.EXE -WinLogon

Art

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1


O15 - Trusted Zone: w*w.cs.com.au (HKLM)O15 - Trusted Zone: h**p://gosystemrs.fasttax.com (HKLM)

O15 - Trusted Zone: w*w4.lexis-nexis.com (HKLM) O15 - Trusted Zone: web.lexis.com (HKLM)

Art


Wenn hier aufgeführte Internet-Seiten nicht wissentlich unter 'Vertrauenswürdige Seiten' hinzugefügt wurden, sollten diese mit HijackThis gefixt werden.
Besucherbewertung Analysedetails
O15 - Trusted Zone: w*w.lexis.com (HKLM)

Art


Wenn hier aufgeführte Internet-Seiten nicht wissentlich unter 'Vertrauenswürdige Seiten' hinzugefügt wurden, sollten diese mit HijackThis gefixt werden.
Besucherbewertung Analysedetails
O15 - Trusted Zone: w*w4.lexis.com (HKLM)O15 - Trusted Zone: *.lexis.com (HKLM)O15 - Trusted Zone: w*w.lexisnexis.com (HKLM)

Art


Wenn hier aufgeführte Internet-Seiten nicht wissentlich unter 'Vertrauenswürdige Seiten' hinzugefügt wurden, sollten diese mit HijackThis gefixt werden.
Besucherbewertung Analysedetails
O15 - Trusted Zone: w*w4.lexisnexis.com (HKLM)

Art


Wenn hier aufgeführte Internet-Seiten nicht wissentlich unter 'Vertrauenswürdige Seiten' hinzugefügt wurden, sollten diese mit HijackThis gefixt werden.
Besucherbewertung Analysedetails
O15 - Trusted Zone: h**p://*.meomweb14 (HKLM)

Art


Wenn hier aufgeführte Internet-Seiten nicht wissentlich unter 'Vertrauenswürdige Seiten' hinzugefügt wurden, sollten diese mit HijackThis gefixt werden.
Besucherbewertung Analysedetails
O15 - Trusted Zone: *.merrillcorp.com (HKLM)

Art


Wenn hier aufgeführte Internet-Seiten nicht wissentlich unter 'Vertrauenswürdige Seiten' hinzugefügt wurden, sollten diese mit HijackThis gefixt werden.
Besucherbewertung Analysedetails
O15 - Trusted Zone: *.merrilldirect.com (HKLM)

Art


Wenn hier aufgeführte Internet-Seiten nicht wissentlich unter 'Vertrauenswürdige Seiten' hinzugefügt wurden, sollten diese mit HijackThis gefixt werden.
Besucherbewertung Analysedetails
O15 - Trusted Zone: w*w.datasite.merrilldirect.com (HKLM)

Art



O15 - Trusted Zone: w*w.pc-werksverkauf.de (HKLM)

Aber überprüfe die Dateinen nochmal bei den Onlinescan: Online malware scan


lg

Hallo.

@Joschi20

Nur durch das reine fixen ist es nicht getan, auch nicht wenn du die automatische Auswertung von hijackThis benutzt.
Alles in allem sieht das Hijacklog sehr stark vermüllt aus, wobei eine Bereinigung wahrscheinlich nicht mehr möglich ist.
(Sorry :party: )

@Maximillian

1.) Lade dir folgendes Tool und starte es gleich mit Punkt 2, poste im Anschluss den Inhalt der Report.txt

-> SmitfraudFix

2.) Führe einen eScan durch und poste das Ergebnis mit Hilfe der find.bat

-> Anleitung eScan

Gruß
Sunny