Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   ck.maxifiles.com macht mir Sorgen (https://www.trojaner-board.de/41751-ck-maxifiles-com-macht-mir-sorgen.html)

juukay 05.08.2007 18:32

ck.maxifiles.com macht mir Sorgen
 
Seit einigen Tagen leitet irgendein Virus meine Google-Klicks über "ck.maxifiles.com" auf falsche Seiten um, verhindert, dass ich auf bestimmte Seiten weitergeleitet werde und lässt den PC plötzlich erlahmen und einfrieren. Ich habe schon im Netz recherchiert, die Google-Hilfen ausprobiert (hijackthis und spybot), der Virus scheint aber nicht erkannt zu werden sodass ich ihn auch nicht entfernen kann. Ich poste jetzt hier mein hijack logfile, vielleicht kann jemand Schlaueres als ich darin irgendetwas erkennen, was ich entfernen sollte. Ich wäre ungemein dankbar für Unterstützung.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

nochdigger 05.08.2007 19:02

Hallo

dein Internetverkehr wird über einen Server in der Ukraine geleitet
Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{A36D8B77-543D-40C0-AC21-B2AF2F251FBF}: NameServer = 85.255.114.99 85.255.112.229
diese Adresse gehört zu
Zitat:

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
betrachte daher deine Pass- und Kennwörter als bekannt.

Sagt dir dies etwas --> Freedom Networks LLC ?
oder dies --> OPENDNS-NET-1

Lade dir Blacklight
und poste anschließend das Log (findest du im selben Ordner wie Blacklight)
das etwa so aussehen --> fsbl-xxxzahlenxxx.log, mach bitte auch einen eScan nach dieser Anleitung eScananleitung,
poste das Ergebnis mithilfe der Find.bat


MFG

juukay 05.08.2007 20:03

Hallo nochdigger,
danke für die schnelle Antwort. Wede Freedom Networks LLC noch Open-DNS-Net1 sagen mir etwas. Auf der Seite von Blacklight werden zwei Downloads angeboten: "Beta graphical user interface version" und "Beta command line version", welche soll ich downloaden, zu welchem Zweck und wo genau finde ich dann das Log? Ich bin eigentlich absoluter Neuling in solchen Sachen, aber dieser Virus regt mich richtig auf, deshalb recherchiere ich momentan so viel. Diese Umleitung über die Ukraine, was macht das mit meinem PC? (Hoffentlich nicht zu viele Fragen)

nochdigger 05.08.2007 22:21

Nabend Ullrich,

Zitat:

Wede Freedom Networks LLC noch Open-DNS-Net1 sagen mir etwas.
Das scheinen zusätzliche Umleitungen Richtung USA zu sein!?
Ich kann mit den beiden nichts anfangen...
Wer ist dein Internetanbieter?

Zitat:

Auf der Seite von Blacklight werden zwei Downloads angeboten:
Downloade dir die Blacklight Beta graphical user interface version

Zitat:

zu welchem Zweck und wo genau finde ich dann das Log?
Es handelt sich hier um ein Tool welches Rootkits bzw. versteckt laufende Prozesse aufspüren kann und das Log wird im selben Ordner abgelegt von wo aus du Blacklight laufen lässt.

Zitat:

Diese Umleitung über die Ukraine, was macht das mit meinem PC?
Sie leitet den gesamten Internetverkehr deines Rechners über deren Server und es kann so im harmlosesten Fall sein möglich sein dein Surfverhalten herauszufinden, im schlimmsten Fall werden deine Pass/Kennwörter mitgelesen ebenso wie evtl. Pins/Tans bei Onlinebanking.

Diese Umleitungen gehen sehr oft mit Rootkits oder Backdoortrojanern einher darum wird bei derart Befall sehr oft eine Neuinstallation angeraten,
aber soweit sind wir noch nicht.

MFG

juukay 06.08.2007 14:12

Hallo nochdigger,

eine Frage, woher hast du meinen Vornamen?

Und dann ein dickes dankeschön, dass du dich so kümmerst. Mein Internetanbieter ist yahoo. Das Blacklight-Tool lade ich herunter, sobald ich Zeit finde, dann sehen wir weiter. Soweit nochmal herzlichen Dank!

Ulrich

nochdigger 06.08.2007 14:24

Moin

Zitat:

eine Frage, woher hast du meinen Vornamen?
isch abe eine schene Glaskugel und wer lesen kann ist klar im Vorteil;) ich konnte im Log sogar deinen Nachnamen lesen:eek:
Du hattest deinen Realnamen und aktiven Links nicht aus dem Log heraus editiert, das hätte etwa so ausehen sollen
http -> hxxp für die Links
Realname -> ***
oder ähnlich.

Führe mal Blacklight durch und poste dann das Log.

MFG

juukay 06.08.2007 22:03

Hallo nochdigger,

ich habe Blacklight heruntergeladen und durchgeführt. Beim Scan wurde nur ein Item gefunden: kddhw.exe, unter "Action" steht "None". Sollte ich irgendwo noch ein Log finden oder ist es das gewesen?

nochdigger 07.08.2007 04:57

Hallo

Zitat:

Beim Scan wurde nur ein Item gefunden: kddhw.exe
ich hatte gehofft nichts zu finden:(
Zitat:

Sollte ich irgendwo noch ein Log finden
schon gelesen?
Zitat:

und poste anschließend das Log (findest du im selben Ordner wie Blacklight)
das etwa so aussehen --> fsbl-xxxzahlenxxx.log, mach bitte auch einen eScan nach dieser Anleitung eScananleitung,
poste das Ergebnis mithilfe der Find.bat
poste bitte das log und führe den eScan durch.
Zitat:

oder ist es das gewesen?
Nein das war es noch nicht der weitere Schritte nach dem eScan.

MFG

juukay 07.08.2007 07:50

Hallo nochdigger,

ich habe alle deine Ratschläge gelesen, tut mir nur leid, dass ich dieses Fachchinesisch nicht immer verstehe, ich bemühe mich redlich. Nach dem Scan habe ich nach einem Log gesucht, aber keines gefunden. Wie genau muss ich bitte vorgehen, um es zu finden? Den escan kann ich dann - denke ich - mit deiner Anleitung durchführen, und dann soll ich es posten mit Hilfe dieser Findbat, was auch immer das ist. Ich werde mich anstrengen.

nochdigger 07.08.2007 15:07

Hallo

Zitat:

ich habe alle deine Ratschläge gelesen, tut mir nur leid, dass ich dieses Fachchinesisch nicht immer verstehe
Kein Problem, wenn du etwas nicht verstehst frage nach, ich (und ich denke die anderen User hier am Board auch) werde(n) dir so gut es geht helfen.
Allerdings wird auch ein bisschen Mitarbeit gefordert, wenn du einen Ausdruck/Fachbegriff nicht verstehst gibt es da noch das Universaltool:rolleyes:, welches man benutzen kann darf soll.

Zitat:

ich bemühe mich redlich.
Das wollen wir hoffen

Zitat:

Wie genau muss ich bitte vorgehen, um es zu finden?
Suche in den Ordner von wo du Blacklight hast laufen lassen, dort sollte es zu finden sein.

Zitat:

Den escan kann ich dann - denke ich - mit deiner Anleitung durchführen, und dann soll ich es posten mit Hilfe dieser Findbat, was auch immer das ist. Ich werde mich anstrengen.
Der eScan kann mehrere Stunden dauern (ca.3 je nach Festplattengröße) und die Find.bat ist ne kleine Batchdatei die die Punkte automatischraussucht die uns interessieren.

Ich wünsch gutes gelingen:daumenhoc

MFG

juukay 08.08.2007 19:26

Hallo nochdigger,

interessanter Mensch, der!

Also, ich habe wie beschrieben, den Scan mit BlackLight noch einmal durchgeführt und wieder dasselbe Ergebnis bekommen. Die beiden logfiles sehen wie folgt aus:

08/06/07 22:26:19 [Info]: BlackLight Engine 1.0.64 initialized
08/06/07 22:26:19 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/06/07 22:26:23 [Note]: 7019 4
08/06/07 22:26:23 [Note]: 7005 0
08/06/07 22:26:33 [Note]: 7006 0
08/06/07 22:26:33 [Note]: 7011 1664
08/06/07 22:26:34 [Note]: 7026 0
08/06/07 22:26:34 [Note]: 7026 0
08/06/07 22:27:22 [Note]: FSRAW library version 1.7.1022
08/06/07 22:55:24 [Info]: Hidden file: c:\WINDOWS\system32\kddhw.exe
08/06/07 22:55:24 [Note]: 7002 32
08/06/07 22:55:24 [Note]: 7003 1
08/06/07 22:55:24 [Note]: 10002 1
08/06/07 22:57:30 [Note]: 2000 1012
08/06/07 23:01:43 [Note]: 7007 0

08/07/07 15:46:04 [Info]: BlackLight Engine 1.0.64 initialized
08/07/07 15:46:04 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/07/07 15:46:10 [Note]: 7019 4
08/07/07 15:46:10 [Note]: 7005 0
08/07/07 15:46:20 [Note]: 7006 0
08/07/07 15:46:20 [Note]: 7011 1936
08/07/07 15:46:21 [Note]: 7026 0
08/07/07 15:46:21 [Note]: 7026 0
08/07/07 15:46:21 [Note]: 7015 2116
08/07/07 15:46:21 [Note]: 7015 87
08/07/07 15:47:19 [Note]: FSRAW library version 1.7.1022
08/07/07 15:50:31 [Note]: 4013 47947
08/07/07 15:50:31 [Note]: 4020 7431 196608
08/07/07 15:50:31 [Note]: 4018 7431 196608
08/07/07 15:50:31 [Note]: 4013 47947
08/07/07 15:50:31 [Note]: 4020 7431 196608
08/07/07 15:50:31 [Note]: 4018 7431 196608
08/07/07 16:21:08 [Info]: Hidden file: c:\WINDOWS\system32\kddhw.exe
08/07/07 16:21:08 [Note]: 7002 32
08/07/07 16:21:08 [Note]: 7003 1
08/07/07 16:21:08 [Note]: 10002 1
08/07/07 16:24:26 [Note]: 2000 1012
08/07/07 16:27:41 [Note]: 7007 0

Dann habe ich den eScan nach Anleitung durchgeführt. War echt spannend, hab sowas noch nie gemacht. Er hat 22 Viren und 385 Fehler festgestellt. Aber dann habe ich die "find.zip"-datei nicht gefunden. Wo/wie bitteschön finde ich die denn wohl? dachte nie, dass ich jemals in diese Tiefe meines PC's hinabsteigen würde. Der Scan hat 55 Minuten gedauert.

Ach, und ich schütze mich mit AVG Anti Virus Free Edition, nur zur Information (hat mir unser IT-Mensch in der Firma empfohlen).

Herzliche Grüße
juukay

nochdigger 09.08.2007 04:45

Moin

die Find.bat findest du in der EScananleitung, einfach rechts draufklicken und "Ziel speichern unter" und speichere dir die Datei wohin du willst.
Die Datei laufen (das mit der Find.zip vergiss mal) lassen und dann schauen wir uns mal die escan_neu.txt an.

MFG

juukay 09.08.2007 06:19

Hallo nochdigger,

hier ist der Text vom logfile:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.6
Sprache: German
C:\DOKUME~1\***~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "UnSpyPC adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "UnSpyPC adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "UnSpyPC adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (moveex.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (moveex.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (moveex.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Dummy.class-137366af-337ab7f8.class infiziert von "Trojan.Java.ClassLoader.Dummy.d" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{747DDF7D-5F7B-4C14-A4C6-22604EC90CD8}\RP346\A0379966.exe//PE_Patch.Poly infiziert von "Packed.Win32.PolyCrypt.b" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Dummy.class-137366af-337ab7f8.class infiziert von "Trojan.Java.ClassLoader.Dummy.d" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{747DDF7D-5F7B-4C14-A4C6-22604EC90CD8}\RP346\A0379966.exe//PE_Patch.Poly infiziert von "Packed.Win32.PolyCrypt.b" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken.
Datei C:\Dokumente und Einstellungen\Ulrich Kusenberg\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\Dummy.class-137366af-337ab7f8.class infiziert von "Trojan.Java.ClassLoader.Dummy.d" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{747DDF7D-5F7B-4C14-A4C6-22604EC90CD8}\RP346\A0379966.exe//PE_Patch.Poly infiziert von "Packed.Win32.PolyCrypt.b" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\NDNuninstall6_10.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_22.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\routenplaner[rai-10088,de].exe//UPX markiert als "not-a-virus:Porn-Dialer.Win32.Intexdial". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\GIANT Company Software\GIANT AntiSpyware\Quarantine\F05A02E3-A97F-46E5-8118-BC3366\00692A40-8106-4CB2-97E8-E9EE5A markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{747DDF7D-5F7B-4C14-A4C6-22604EC90CD8}\RP348\A0380281.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet.g". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_10.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_22.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\routenplaner[rai-10088,de].exe//UPX markiert als "not-a-virus:Porn-Dialer.Win32.Intexdial". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_10.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_22.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\routenplaner[rai-10088,de].exe//UPX markiert als "not-a-virus:Porn-Dialer.Win32.Intexdial". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\GIANT Company Software\GIANT AntiSpyware\Quarantine\F05A02E3-A97F-46E5-8118-BC3366\00692A40-8106-4CB2-97E8-E9EE5A markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{747DDF7D-5F7B-4C14-A4C6-22604EC90CD8}\RP348\A0380281.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet.g". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_10.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_22.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\routenplaner[rai-10088,de].exe//UPX markiert als "not-a-virus:Porn-Dialer.Win32.Intexdial". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_10.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_22.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\routenplaner[rai-10088,de].exe//UPX markiert als "not-a-virus:Porn-Dialer.Win32.Intexdial". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\GIANT Company Software\GIANT AntiSpyware\Quarantine\F05A02E3-A97F-46E5-8118-BC3366\00692A40-8106-4CB2-97E8-E9EE5A markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{747DDF7D-5F7B-4C14-A4C6-22604EC90CD8}\RP348\A0380281.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet.g". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_10.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_22.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\routenplaner[rai-10088,de].exe//UPX markiert als "not-a-virus:Porn-Dialer.Win32.Intexdial". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\moveex.exe
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\reboot.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\instantcd+dvd\links\support.url
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\instantcd+dvd\links\support.url
Offending file found: C:\WINDOWS\system32\moveex.exe
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\reboot.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\instantcd+dvd\links\support.url
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\instantcd+dvd\links\support.url
Offending file found: C:\WINDOWS\system32\moveex.exe
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\reboot.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\instantcd+dvd\links\support.url
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\instantcd+dvd\links\support.url
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Programme\Gemeinsame Dateien\whenu
Offending Folder found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\aim\bartcache\1024
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
Offending Folder found: C:\Programme\Gemeinsame Dateien\whenu
Offending Folder found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\aim\bartcache\1024
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
Offending Folder found: C:\Programme\Gemeinsame Dateien\whenu
Offending Folder found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\aim\bartcache\1024
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\gain !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\gain !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\gain !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\MBSA\2.0\Cache\mbs6.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\MBSA\2.0\Cache\mbs6.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\***~1\LOKALE~1\TEMPOR~1\Content.IE5\0TYJG5QV\mwav[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\***~1\LOKALE~1\TEMPOR~1\Content.IE5\GHQ3KLQN\mwav[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\MBSA\2.0\Cache\mbs6.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0TYJG5QV\mwav[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GHQ3KLQN\mwav[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 120240
Gescannte Dateien: 120240
Gescannte Dateien: 120428
Gefundene Viren: 22
Gefundene Viren: 22
Gefundene Viren: 22
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 385
Anzahl Fehler: 385
Anzahl Fehler: 388
Dauer des Scans bisher: 00:54:17
Dauer des Scans bisher: 00:54:17
Dauer des Scans bisher: 00:53:44
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 23:12:59,98
Batchende: 23:13:52,62



Außerdem gehen seltsame Dinge vor: der PC meldet sich nicht mehr automatisch mit Klick auf das Internet-E im Netz an, und es gibt plötzlich ganz viele Uninstall-Dateien (über 200), die vorher nicht da waren.

Gruß
juukay

nochdigger 09.08.2007 17:46

Hallo

deaktiviere bitte zuerst deine Systemwiederherstellung --> Systemwiederherstellung deaktivieren

JAVA Müll loswerden
Unter Start -> Einstellungen -> Systemsteuerung -> Java -> Reiter "General" wählen -> bei "Temporary Internet Files" klicke auf "Settings" -> wähle dann "Delete Files" und beende Java.


Erstelle bitte ein neues Hijackthis Log wie hier beschrieben --> HijackThis, benenne aber die Hijackthis.exe um in z.B. ABC.exe und bitte
editiere alle Links (z.B. http -> hxxp) sowie persönlichen Einträge wie realname usw.

MFG

nochdigger 10.08.2007 05:08

Moin

hab gestern vergessen zu fragen wie du ins Internet gehst per ISDN, DSL oder Analoges Modem?

MFG

juukay 10.08.2007 16:28

Hallo!

Ich habe alles erledigt, konnte aber die hijack.exe nicht umbenennen, den gepackten habe ich mit "zephyr" benannt, aber nach dem Auspacken hieß die Datei dann hijack.exe, ohne Möglichkeit des Umbenennens, hab ich dann im logfile gemacht:

Logfile of Zephyr v1.99.1
Scan saved at 17:18:17, on 10.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\Grisoft\AVG7\avgw.exe
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\DOKUME~1\***~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für zephyr.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*h**p://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*h**p://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*h**p://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*h**p://de.search.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A36D8B77-543D-40C0-AC21-B2AF2F251FBF}: NameServer = 85.255.114.99 85.255.112.229
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVWUpSrv - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Ich hoffe, ich habe diesmal nichts zu Editierendes übersehen. Ich gehe übrigens mit DSL ins Netz.

Es macht mir den Eindruck, als werde mein PC wird immer langsamer...

Gruß
juukay

nochdigger 10.08.2007 19:19

Hallo

Zitat:

Ich gehe übrigens mit DSL ins Netz.
gut sonst hätten wir noch was sichern müssen.

Deaktiviere bitte zunächst den Teatimer von Spybot S&D
Starte Spybot S&D --> klicke auf "Modus" --> hake an "Erweiterte Modus" --> mit "Ja" bestätigen --> klicke auf "Werkzeuge" -->
klicke auf "Resident" --> das Häkchen entfernen aus der "Resident "TeaTimer" (Schutz aller Systemeinstellungen) --> beende Spybot S&D.
Deaktiviere ebenfalls bitte den Guard von AVG.

Downloade Dir Fixwareout.exe und speichere es auf dem Desktop.
-installiere das Tool und achte darauf das "Run fixit" aktiviert ist.
-klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert
einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!)
-achte nun auf die Hinweise die gegeben werden

Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)
Geklaut by Sunny:daumenhoc


Nach dem Neustart :

Starte bitte Hijackthis mit der Option - do a system scan only - und hake diese Einträge an :
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O17 - KLM\System\CCS\Services\Tcpip\..\{A36D8B77-543D-40C0-AC21-B2AF2F251FBF}: NameServer = 85.255.114.99 85.255.112.229
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
klicke auf - fix checked - beende Hijackthis und starte dein System neu, erstelle ein neues Hijackthis Log, benenne vorher die Hijackthis.exe um in was du willst z.B. Dosenbier.exe und lass Hijackthis bitte aus einem eigenem Ordner heraus laufen.

Ich empfehle dir diese Anleitung auszudrucken.

MFG

juukay 11.08.2007 14:34

Hallo,

1) den Teatimer von Spybot S&D habe ich deaktiviert
2) den Guard von AVG habe ich nicht deaktivieren können, da ich nicht weiß, wie das geht
3) Fixwareout.exe habe ich heruntergeladen, auf dem Desktop gespeichert, installiert und laufen lassen
4) Nach dem Neustart meines Systems gab es folgendes logfile:


Username "***" - 11.08.2007 15:02:18 [Fixwareout edited 2007/07/05]

»»»»»Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="kddhw.exe"

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{A36D8B77-543D-40C0-AC21-B2AF2F251FBF}
"nameserver"="85.255.114.99" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{45C1A03A-9BCB-483D-97F2-E3CEFEC2E6EC}
"DhcpNameServer"="85.255.114.99,85.255.112.229" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{50376BBF-5455-4366-A303-05959F4A3BF4}
"DhcpNameServer"="85.255.114.99,85.255.112.229" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{642C143F-9D27-41F5-A4C4-6B840B27B7BA}
"DhcpNameServer"="85.255.114.99,85.255.112.229" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{D155DF19-2065-4169-89C7-3E76FC205C0B}
"DhcpNameServer"="85.255.114.99,85.255.112.229" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{D69E9B6F-60CD-4FDB-BF47-78D24BE5F1F4}
"DhcpNameServer"="85.255.114.99,85.255.112.229" <Value cleared.

Der DNS-Auflösungscache wurde geleert.

System was rebooted successfully.

»»»»» Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
»»»»» Misc files.
....
»»»»» Checking for older varients.
....
»»»»» Other
C:\WINDOWS\Temp\kddhw.ren 66259 04.08.2004

»»»»» Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nForce Tray Options"="sstray.exe /r"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"LWBKEYBOARD"="C:\\Programme\\MultiMedia Keyboard\\MultiMedia Keyboard\\1.0\\KbdAp32A.exe"
"LWBMOUSE"="C:\\Programme\\Browser Mouse\\Browser Mouse\\1.1\\MOUSE32A.EXE"
"IW Controlcenter"="C:\\PROGRA~1\\INSTAN~1\\INSTAN~1\\IWCTRL.EXE"
"OEM-Reset"=""
"HPDJ Taskbar Utility"="C:\\WINDOWS\\System32\\spool\\drivers\\w32x86\\3\\hpztsb06.exe"
"CARPService"="carpserv.exe"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.6.0_02\\bin\\jusched.exe\""
"AVGCtrl"="\"C:\\Programme\\AVPersonal\\AVGNT.EXE\" /min"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"pdfSaver3"=""
"NapsterShell"="C:\\Programme\\Napster\\napster.exe /systray"
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVG7\\avgcc.exe /STARTUP"
"SDTray"="\"C:\\Programme\\Spyware Doctor\\SDTrayApp.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Yahoo! Pager"="\"C:\\PROGRA~1\\Yahoo!\\MESSEN~1\\YAHOOM~1.EXE\" -quiet"
"pdfSaver3"="\"C:\\Programme\\Tracker Software\\PDF-XChange 3\\pdfSaver\\pdfSaver3.exe\""
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»


5) Probleme mit meiner Internetverbindung gab es bislang nicht
6) Die Hijackthis.exe lässt sich nicht umbenennen, das war gestern auch so, ich kann nur den Ordner nennen, wie ich will, und der verpackten Datei einen neuen Namen geben, aber sobald sie entpackt ist, geht das nicht mehr. Ich habe Hijackthis hier im logfile einen neuen Namen gegeben (geysir)
7) die von dir benannten Einträge habe ich angehakt
8) das System wurde neu gestartet
9) Hijackthis wurde gestartet und hinerließ folgendes logfile:


Logfile of geysir v1.99.1
Scan saved at 15:22:10, on 11.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\***~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für geysir.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = xxx://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*xxx://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = xxx://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = xxx://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*xxx://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = xxx://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*xxx://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = xxx://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = xxx://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*xxx://de.search.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A36D8B77-543D-40C0-AC21-B2AF2F251FBF}: NameServer = 85.255.114.99 85.255.112.229
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVWUpSrv - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE


Soweit, ich hoffe, du kannst etwas damit anfangen, für mich sind das alles böhmische Dörfer.

Gruß
juukay

nochdigger 11.08.2007 14:48

Hallo

fixe (du weißt jetzt wie es geht) bitte noch diese Einträge :

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O17 - HKLM\System\CCS\Services\Tcpip\..\{A36D8B77-543D-40C0-AC21-B2AF2F251FBF}: NameServer = 85.255.114.99 85.255.112.229
(hier könnten Schwierigkeiten mit deiner Internetverbindung auftreten)

Erstelle bitte noch mal ein Log mit Blacklight und poste es.
Anschließend versuchen wir den Rest zu beseitigen.

MFG

juukay 11.08.2007 17:56

Hallo,

hier das HijackThis-logfile, umbenannt in "Zäsur":

Logfile of Zäsur v1.99.1
Scan saved at 18:31:50, on 11.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\xxx~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für zäsur.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = xxx://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*xxx://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = xxx://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = xxx://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*xxx://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = xxx://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*xxx://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = xxx://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = xxx://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*xxx://de.search.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A36D8B77-543D-40C0-AC21-B2AF2F251FBF}: NameServer = 85.255.114.99 85.255.112.229
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVWUpSrv - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE


Der BlackLight Scan hat keine Items gefunden, das logfile sieht so aus:

08/11/07 18:36:15 [Info]: BlackLight Engine 1.0.64 initialized
08/11/07 18:36:15 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/11/07 18:36:16 [Note]: 7019 4
08/11/07 18:36:16 [Note]: 7005 0
08/11/07 18:36:19 [Note]: 7006 0
08/11/07 18:36:19 [Note]: 7011 1828
08/11/07 18:36:19 [Note]: 7026 0
08/11/07 18:36:19 [Note]: 7026 0
08/11/07 18:36:36 [Note]: FSRAW library version 1.7.1022
08/11/07 18:48:53 [Note]: 2000 1012
08/11/07 18:55:29 [Note]: 7007 0


Gruß
juukay

juukay 11.08.2007 18:19

P.S.: Muss ich nun den Teatimer von Spybot S&D und die Systemwiederherstellung wieder aktivieren?

nochdigger 11.08.2007 18:28

Hallo

hast du versucht diesen Eintrag zu fixen
Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{A36D8B77-543D-40C0-AC21-B2AF2F251FBF}: NameServer = 85.255.114.99 85.255.112.229
(hier könnten Schwierigkeiten mit deiner Internetverbindung auftreten)
?
Oder gibt es bei diesem Eintrag Probleme?


Leere von diesem Programm C:\Programme\GIANT Company Software\GIANT AntiSpyware\Quarantine\ bitte den Quarantäneordner


Deinstalliere über Start -> Einstellungen -> Systemsteuerung -> Software sachen wie Save - SaveNow - WhenU wenn vorhanden.


lösche anschließend :
C:\Programme\Gemeinsame Dateien\whenu
C:\WINDOWS\NDNuninstall6_10.exe
C:\WINDOWS\NDNuninstall6_22.exe
C:\WINDOWS\routenplaner[rai-10088,de].exe


Lade dir den Ccleaner runter
- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System
- lass auch die fehler in der registry beheben --> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben... sooft laufen lassen bis nichts mehr gefunden wird.

MFG

Zitat:

P.S.: Muss ich nun den Teatimer von Spybot S&D und die Systemwiederherstellung wieder aktivieren?
Später;)

juukay 11.08.2007 19:25

Hallo,

den Eintrag

O17 - HKLM\System\CCS\Services\Tcpip\..\{A36D8B77-543D-40C0-AC21-B2AF2F251FBF}: NameServer = 85.255.114.99 85.255.112.229
(hier könnten Schwierigkeiten mit deiner Internetverbindung auftreten)

habe ich zweimal jetzt gefixt, offensichtlich gibt es hiermit Probleme.

die 1 Datei und die drei Anwendungen habe ich gelöscht.

Die GIANT Company Software nutze ich - soweit ich weiß - gar nicht, die habe ich im Laufe meiner bisherigen Viruskilling-Versuche mal downgeloaded.

Den Ccleaner hab ich runtergeladen, aber er lässt sich nicht ausführen, nur immer wieder installieren. Oder mache ich was falsch? Jedenfalls konnte ich bisher mein System nicht bereinigen (ich gehe davon aus, du meinst mit dem Ccleaner).

Gruß
juukay

juukay 11.08.2007 20:13

Okay, ich hab's herausgefunden, wie es geht, mein System bereinigt und auch die Fehler in der registry behoben, bis keiner mehr da war.

Gruß
juukay

nochdigger 11.08.2007 21:53

Hallo

hm das ist komisch
Zitat:

habe ich zweimal jetzt gefixt, offensichtlich gibt es hiermit Probleme.
und ich kanns mir nicht erklären:(

Eventuell hat ja noch jemand eine zündende Idee?

MFG

juukay 12.08.2007 11:40

Ich habe heute den ganzen Morgen noch einmal alle Schritte wiederholt.

Der BlackLight-Scan hat keine Items gefunden, einen eScan habe ich ebenfalls noch einmal durchgeführt.

Beim AVG gibt es einen Resident Shield nur in der Vollversion, nicht in der vorhandenen Free Version, sodass ich dort keinen Guard deaktivieren kann (wenn es das ist, was ich meine).

HijackThis ergab jetzt folgendes logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:02:28, on 12.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\ULRICH~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für Dosenbier.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A36D8B77-543D-40C0-AC21-B2AF2F251FBF}: NameServer = 85.255.114.99 85.255.112.229
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVWUpSrv - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE


Hier ist zu sagen, dass der Eintrag

O17 - HKLM\System\CCS\Services\Tcpip\..\{A36D8B77-543D-40C0-AC21-B2AF2F251FBF}: NameServer = 85.255.114.99 85.255.112.229

beim Fixen vorher nicht auftaucht, also auch nicht anzuklicken ist. Er taucht erst wieder im logfile als vorhanden auf.

Analysiere ich die logfiles, abe ich den Eindruck, dass auch noch immer whenu-Dateien vorhanden sind, obwohl ich sie gelöscht habe und per Suchfunktion nicht mehr finden konnte. Ebenso scheint es mit dem routenplaner und diesen NDNuninstall-Anwendungen zu sein, oder?

Gruß
juukay

Sunny 12.08.2007 11:51

Zitat:

Zitat von nochdigger (Beitrag 286518)

Eventuell hat ja noch jemand eine zündende Idee?

Bei mir zündet da gerade was. ;)

Dieser Eintrag O17- ist eine DNS-Umleitung deiner Daten und ist nach dieser Anleitung zu entfernen:

DNS-Einträge entfernen:


Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

-Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop.
-installiere das Tool und achte darauf das "Run fixit" aktiviert ist.
-klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert
einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!)
-achte nun auf die Hinweise die gegeben werden

Fixe nun mit HijackThis folgende Einträge im Logfile:

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{A36D8B77-543D-40C0-AC21-B2AF2F251FBF}: NameServer = 85.255.114.99 85.255.112.229

Poste im Anschluss nochmal ein neues Hijackjlog .. ;)


Gruß
Sunny

juukay 12.08.2007 13:06

Hallo Sunny,

danke für den Tip, das hatte nochdigger mir ja auch schon geraten. Das Problem ist, dass dieser Eintrag für die DNS-Umleitung mal auftaucht, mal nicht, er scheint sich nicht löschen zu lassen.

Wie dem auch sei, ich habe fixwareout nochmal heruntergeladen, alles gemacht, wie du gesagt hast und das Hijack-logfile sieht jetzt so aus:

Logfile of Dosenbier v1.99.1
Scan saved at 14:01:39, on 12.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\xxx~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für Dosenbier.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = xxx://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*xxx://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = xxx://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = xxx://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*xxx://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = xxx://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*xxx://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = xxx://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = xxx://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*xxx://de.search.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVWUpSrv - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE


Hier erscheint es jetzt nicht mehr!

Gruß
juukay

Sunny 12.08.2007 13:11

Zitat:

Zitat von juukay (Beitrag 286632)
Hallo Sunny,

danke für den Tip, das hatte nochdigger mir ja auch schon geraten. Das Problem ist, dass dieser Eintrag für die DNS-Umleitung mal auftaucht, mal nicht, er scheint sich nicht löschen zu lassen.

Ups, das habe ich garnicht gesehen das nochdigger dies auch schon angewendet hat.. :o

Zitat:

Wie dem auch sei, ich habe fixwareout nochmal heruntergeladen, alles gemacht, wie du gesagt hast und das Hijack-logfile sieht jetzt so aus:
Die Einträge O17 sind jetzt weg, das ist schon mal ein gutes Zeichen.

Führe mal einen Scan mit Silentrunners aus, dort wird WINSOCK auch dokumentiert:


Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)


Sunny

juukay 12.08.2007 13:25

Hallo Sunny,

Silentrunners habe ich heruntergeladen und ausgeführt, aber wie finde ich die Log-Datei? Meine Suchfunktion findet keine silentrunners.txt

Gruß

juukay

cosinus 12.08.2007 13:31

Von wo hast du Blacklight ausgeführt? Das Logfile wird auch in dieses Verzeichnis geschrieben...

juukay 12.08.2007 13:35

hallo cosinus,

das Logfile von BlackLight ist nicht das Problem, sondern das von Silentrunners. Aber danke.

Gruß
juukay

cosinus 12.08.2007 13:49

Was hab ich denn eben geschrieben? :rolleyes:

juukay 12.08.2007 13:56

Hallo nochmal,

also Blacklight habe ich vom Ordner "Programme" aus gestartet, dort gibt es zwei Hijackthis-logfiles und fünf BlackLight-logfiles als txt.Dateien, sonst nichts.

Juukay

cosinus 12.08.2007 14:02

Achso, sorry, irgendwie bin ich selber schon mit den Programmnamen durcheinander gekommen... :eek:

Aber bei Silentrunners ist es genauso, wenn du es z.B. vom Desktop gestartet hast, dann wird das Silentrunners-Log auch in den Desktop geschrieben...

juukay 12.08.2007 14:05

Ich habe Silentrunners vom extra vorher angelegten Ordner "Silentrunners" gestartet, aber dort gibt es kein logfile, das ist es ja, was mich irritiert.

Gruß
Juukay

cosinus 12.08.2007 14:30

Hmmm... :confused:

Probiere es am besten nochmal so.

juukay 12.08.2007 14:40

So ging es merkwürdigerweise. Das Logfile:

"Silent Runners.vbs", revision 52, xxx://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Yahoo! Pager" = ""C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet" ["Yahoo! Inc."]
"pdfSaver3" = ""C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"" ["Tracker Software Products Ltd."]
"Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"nForce Tray Options" = "sstray.exe /r" ["NVIDIA Corporation"]
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"LWBKEYBOARD" = "C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe" [empty string]
"LWBMOUSE" = "C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE" [empty string]
"IW Controlcenter" = "C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE" ["VOB Computersysteme GmbH"]
"HPDJ Taskbar Utility" = "C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe" ["HP"]
"CARPService" = "carpserv.exe" ["Conexant Systems"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"AVG7_CC" = "C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar Helper"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Messenger\Companion\Installs\cpn0\yt.dll" ["Yahoo! Inc."]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{F5D92341-0A64-11D0-9956-0000E8096023}" = "CD Copy Shell Extension"
-> {HKLM...CLSID} = "CDCopy Shellextension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWSHEXT.DLL" ["VoB Computersysteme GmbH"]
"{F5D92342-0A64-11D0-9956-0000E8096023}" = "CD Wizard Shell Extension"
-> {HKLM...CLSID} = "CD Wizard Shell Extensions"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\CDWSHEXT.DLL" ["VoB Computersysteme GmbH"]
"{F5D92344-0A64-11D0-9956-0000E8096023}" = "InstantWrite Shellextension"
-> {HKLM...CLSID} = "IW Shell Extensions"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shellext\iwshex.dll" ["VOB Computersysteme GmbH"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{2582A520-4E2C-11D0-944A-00608CB854B7}" = "Micrografx Designer Schnellansicht"
-> {HKLM...CLSID} = "Micrografx Designer Schnellansicht"
\InProcServer32\(Default) = "fvds70.dll" ["Micrografx, Inc."]
"{D0FAC080-AE1A-11ce-8016-CE90976DC901}" = "Picture Publisher Schnellansicht"
-> {HKLM...CLSID} = "Picture Publisher File Viewer"
\InProcServer32\(Default) = "ppiv20.dll" [null data]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "My Sharing Folders"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"
-> {HKLM...CLSID} = "AVG7 Find Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{FBF23B40-E3F0-101B-8488-00AA003E56F8}" = (no title provided)
-> {HKLM...CLSID} = "Internetverknüpfung"
\InProcServer32\(Default) = "shdocvw.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG7\avgse.dll" ["GRISOFT, s.r.o."]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Xxx\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssstars.scr" [MS]


Startup items in "Xxx" & "All Users" startup folders:
------------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"LUMIX Simple Viewer" -> shortcut to: "C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe" ["Matsushita Electric Industrial Co., Ltd."]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"FRU Task #Hewlett-Packard#Deskjet#5550" -> launches: "C:\Programme\Hewlett-Packard\upapp\hpqfruv.exe -I "#Hewlett-Packard#Deskjet#5550"" [empty string]
"RegistrySmart Scheduled Scan" -> launches: "C:\Programme\RegistrySmart\RegistrySmart.exe scheduled" [file not found]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Messenger\Companion\Installs\cpn0\yt.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Messenger\Companion\Installs\cpn0\yt.dll" ["Yahoo! Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll" ["Sun Microsystems, Inc."]

{AC9E2541-2814-11D5-BC6D-00B0D0A1DE45}\
"ButtonText" = "AIM"
"Exec" = "C:\Programme\AIM95\aim.exe" ["America Online, Inc."]

{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96}\
"ButtonText" = "Yahoo! Messenger"
"MenuText" = "Yahoo! Messenger"
"Exec" = "C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe" [file not found]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=xxx://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Missing lines (compared with English-language version):
[Strings]: 1 line

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "*Z" (unwritable string)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Messenger\Companion\Installs\cpn0\yt.dll" ["Yahoo! Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
AVG7 Alert Manager Server, Avg7Alrt, "C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe" ["GRISOFT, s.r.o."]
AVG7 Update Service, Avg7UpdSvc, "C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe" ["GRISOFT, s.r.o."]
AVWUpSrv, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzlnt06\Driver = "hpzlnt06.dll" ["HP"]
PDF-XChange\Driver = "C:\WINDOWS\system32\pxc25pm.dll" ["Tracker Software"]


---------- (launch time: 2007-08-12 15:37:47)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 83 seconds, including 4 seconds for message boxes)

cosinus 12.08.2007 15:25

Also ich bin das Silentrunners-Log nun zweimal durchgegangen, hab nichts Verdächtiges gesehen.
Besteht das Problem mit den "maxifiles" jetzt eigentlich noch? :confused:

juukay 12.08.2007 15:54

Die Probleme mit Google scheinen bereinigt, jedenfalls wird kein Link mehr umgeleitet über Maxifiles. Dafür gibt es jetzt ein paar andere Probleme:

1) Mein Internetzugang funktioniert nicht mehr automatisch mit einem Klick auf das große E, sondern muss zunächst über die Telekom angemeldet werden.

2) Drei Links auf dem Desktop haben sich verschoben und wollen nicht mehr an ihren Platz.

3) Der Teatimer von Spybot und die Systemwiederherstellung sind noch deaktiviert.

4) Bei Musicload werde ich auf der Warenkorbseite nicht mehr auf die Bezahl-Seite weitergeleitet, kann also nichts mehr runterladen.

5) Ich bin mir nicht sicher, ob jetzt mein Computer sauber ist und ob ich den richtigen Virenschutz und die richtige Firewall habe.

Gruß
juukay

cosinus 12.08.2007 16:07

Zitat:

1) Mein Internetzugang funktioniert nicht mehr automatisch mit einem Klick auf das große E, sondern muss zunächst über die Telekom angemeldet werden.
Du meinst den Internet explorer oder? Evtl. hilft, die alte Verbindung aus den Netzwerkverbindungen zu löschen und nochmal neu anzulegen.
Ich würde dir dringend dazu raten, einen sichereren Browser wie z.B. Firefox, Seamonkey oder Opera zu benutzen!

Zitat:

2) Drei Links auf dem Desktop haben sich verschoben und wollen nicht mehr an ihren Platz.
Du meinst die Icons? Stell sich, dass der Haken bei "Symbole automatisch anordnen" nicht gesetzt ist!

Zitat:

3) Der Teatimer von Spybot und die Systemwiederherstellung sind noch deaktiviert.
Diese beiden Dinger sind nicht wirklich notwendig, aber die wieder zu aktivieren dürfte kein Problem sein. Bei Spybot müsste der Teatimer einfach zu aktivieren sein, sollte das nicht auf Anhibt klappen könnte eine
Neuinstallation des Programms helfen.
Bzgl. SWH: Du weißt wie man diese deaktiviert hat (ggf. meinen Link folgen), setze den Haken einfach wieder an diese Stelle und übernimm die Einstellungen.

Zitat:

4) Bei Musicload werde ich auf der Warenkorbseite nicht mehr auf die Bezahl-Seite weitergeleitet, kann also nichts mehr runterladen.
Browser? Wenn IE, dann nimm lieber einen vernünftigen, allein schon aus sichereheitstechnischer Sicht...

Zitat:

5) Ich bin mir nicht sicher, ob jetzt mein Computer sauber ist und ob ich den richtigen Virenschutz und die richtige Firewall habe.
Du kannst dir NIE sicher sein, ein sauberes System zu haben, erst nicht nach einer Bereinigung, Garantie hast du erst nach dem Neuaufsetzen - ich gehe aber mal jetzt davon aus, dass meine Kollegen gute Arbeit geleistet haben ;)

Virenschutz: Welchen Virenscanner hast du installiert? Hast du überhaupt einen installiert?
"Firewall": Die Windows-Firewall reicht...
Ein deutlicher Sicherheitsgewinn wäre das Verwenden eines Routers. :daumenhoc

juukay 12.08.2007 16:53

Hallo Cosinus,

ich habe den IE, wie komme ich an einen sicheren Browser, wie macht man das?

Die Links auf dem Desktop wurden nicht automatisch angeordnet, aber das ist nicht wirklich ein Problem.

Teatimer und Systemwiederherstellung sind wieder aktiviert.

Als Virenscanner habe ich die Free edition von AVG als Firewall die von Windows.

Was ist ein Router und wie komme ich dran?

Gruß
Juukay

cosinus 12.08.2007 17:00

Zitat:

ich habe den IE, wie komme ich an einen sicheren Browser, wie macht man das?
Geh auf Mozilla.com oder Opera Web Browser - Firefox und Opera sind sicherere Browser. Downloaden, installieren und damit surfen. Ob du Firefox oder Opera in Zukunft nimmst, ist eigentlich egal, nur wichtig ist, dass du beide auch immer aktuell hälst.

Zitat:

Als Virenscanner habe ich die Free edition von AVG als Firewall die von Windows.
Dürfte Okay sein.

Zitat:

Was ist ein Router und wie komme ich dran?
Router - Wikipedia
DSL-Router gibts mittlerweile sehr günstig und so gut wie in jedem PC-Laden.

juukay 12.08.2007 17:16

Kann ich den Firefox downloaden und starten, ohne mit dem IE etwas zu machen? Wird der Firefox einfach die Funktion des IE übernehmen oder lege ich damit alles lahm? Und muss ich vorher alle Fenster schließen? Wie halte ich Firefox aktuell, meldet er mir automatisch, wenn es ein Update gibt? Sorry für so viele Fragen, ich bin ein absoluter NoTechFreak, bin schon froh, diese Seite hier überhaupt gefunden zu haben...

Ach, und noch eine: Habe ich nicht von der Telekom ohnehin einen Router unterm Tisch mit meinem DSL-Anschluss?

Gruß
Juukay

cosinus 12.08.2007 17:25

Du installierst den Firefox bzw. Opera parallel zum IE, den kannst du also weiterhin nutzen, obwohl es nicht empfehlenswert ist - nimm ihn max. für das Windows-Update.
Wie das mit dem Opera aussieht weiß ich nicht, aber der Firefox hat eine Updatefunktion.

Ob du ein Router hast, kann ich so nicht sagen. Wenn du mal folgenden Befehl in der Eingabeaufforderung ausführst:

ipconfig /all

Und mir sagst, wie deine IP-Adresse für deinen Rechner anfängt, kann man daraus Rückschlüsse ziehen ob du einen Router hast oder nicht.

juukay 12.08.2007 18:33

sorry, vielleicht bin ich wirklich zu dumm, wo finde ich denn wohl die Eingabeaufforderung?

Und soll ich beim Starten von Firefox Einstellungen und Daten vom IE importieren?

cosinus 12.08.2007 19:54

Zitat:

Zitat von juukay (Beitrag 286783)
sorry, vielleicht bin ich wirklich zu dumm, wo finde ich denn wohl die Eingabeaufforderung?

Start > Ausführen > "cmd.exe" eintippen und mit ok bestätigen. Die Konsole öffnet sich. Dort den Befehl von oben eintippen.

Zitat:

Und soll ich beim Starten von Firefox Einstellungen und Daten vom IE importieren?
Jo, kannste ruhig machen.

juukay 12.08.2007 20:22

Meine IP-Adresse (Autokonfig.) beim Ethernet-Adapter (Netzwerkbrücke)beginnt mit 169.254., beim PPP-Adapter, T-Online, beginnt sie mit 91.5., reicht das aus?

cosinus 12.08.2007 20:27

Jo dann dürftest du eine Direktverbindung zum Internet haben.
Hättest du einen Router hätte dein Ethernet-Adapter eine Adresse aus dem Privatbereich (192.168.xxx.xxx).
Welche DSL-Hardware hast du denn?

juukay 12.08.2007 20:30

Wenn du das Ding unterm Tisch meinst, dann ist es ein speedport 200 von Telekom.

cosinus 12.08.2007 20:42

Zitat:

Zitat von juukay (Beitrag 286834)
Wenn du das Ding unterm Tisch meinst, dann ist es ein speedport 200 von Telekom.

Ok, das ist ein reines DSL-Modem. Ich hab nur nochmal nachgefragt, weil es auch Router mit integrierten DSL-Modems gibt, die man aber im Modembetrieb laufen lassen kann.

Was du bräuchtest, wäre dann nur ein einfacher kabelgebundener Router (ohne Modem und Accesspoint für WLAN), die gibts schon sehr günstig ab ca. 25 EUR, z.B. dieses Exemplar.

juukay 12.08.2007 20:47

Und den Router benutze ich dannstatt des Modems? Das ist sicherer als über den speedport?

cosinus 12.08.2007 20:50

Nicht ganz ;)
Den Router installierst du zwischen PC und Modem - der Router übernimmt nach richtiger Konfiguration dann die Einwahl ins Internet für dich.

juukay 12.08.2007 20:54

Ich muss mal ganz dolle Dankeschön sagen an alle, die mir hie geholfen haben, das war ein schweres Stück Arbeit und ich habe ne Menge dabei gelernt. Vor allem, dass es nicht nur Idioten gibt, die Viren erfinden und verbreiten, sondern auch nette Leute, die in der Lage sind, sie wieder zu vertreiben. DANKE!!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131