Wer kann mir helfen ?- Hijack-Trojaner - dringend !
 

Wie bekomm ich diesen Scheiß weg ?
Hier mein HijackThis - Log

Logfile of HijackThis v1.98.0
Scan saved at 16:35:29, on 15.7.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\System32\rcapi.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\ieei.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\ScanSoft\OmniPagePro12.0\Opware12.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~2\VPTray.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Olympus\DeviceDetector\devdtct2.exe
C:\WINDOWS\DitExp.exe
U:\dat.67\kstart32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\d3ju32.exe
N:\Technik\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qjdih.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://qjdih.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://qjdih.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\qjdih.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qjdih.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://qjdih.dll/index.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {48F4B566-F4C9-CDD7-FE93-C5E851448E57} - C:\WINDOWS\sysit.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Opware12] "C:\Programme\ScanSoft\OmniPagePro12.0\Opware12.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
O4 - HKLM\..\Run: [mysoft] C:\windows\system32\winexplor.exe
O4 - HKLM\..\Run: [d3ju32.exe] C:\WINDOWS\system32\d3ju32.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Device Detector 2.lnk = C:\Programme\Olympus\DeviceDetector\devdtct2.exe
O4 - Global Startup: klickTel - Schnellstarter - 32-Bit.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O13 - DefaultPrefix:
O13 - WWW Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Xenon.local
O17 - HKLM\Software\..\Telephony: DomainName = Xenon.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Xenon.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Xenon.local
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll

Bitte mache einen Scan mit diesem Programm im abgesicherten Modus:
http://www.trojaner-board.de/showthread.php?t=6083

Danach poste bitte erneut ein HijackThis-Log.

Vielen Dank, bin den Mist los geworden.

Um solche Startseiten zukünftig zu vermeiden, solltest du deinen Browser wechseln. Firefox ist schnell, sicher und kostenlos -> www.firefox-browser.de

hey andreas,

mich würde interessieren "welchen mist" du losgeworden bist.
ich sehe in deinem log einiges was nicht gut ausschaut.

besonders diese einträge:
C:\WINDOWS\system32\ieei.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe

O2 - BHO: (no name) - {48F4B566-F4C9-CDD7-FE93-C5E851448E57} - C:\WINDOWS\sysit.dll

O4 - HKLM\..\Run: [d3ju32.exe] C:\WINDOWS\system32\d3ju32.exe

O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll

das eine hier sagt mir erstmal nichts:
U:\dat.67\kstart32.exe

die gehören sowieso gefixt:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qjdih.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://qjdih.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://qjdih.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\qjdih.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qjdih.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://qjdih.dll/index.html#96676
R3 - Default URLSearchHook is missing
___________

besten gruss
rock


edit: nicht nur ein andere browser wäre manchmal ratsam, sondern ein halbwegs g'scheiter virenschutz wär nicht schlecht. ich vermute du hast noch einiges am kasten!
wie wärs mal mit einem onlinecheck?
http://support.f-secure.com/enu/home/ols.shtml

Nur um Verwechslungen zu vermeiden

Die
C:\WINDOWS\Dit.exe
ist "gut".

Dit.exe "Drive Icon and Label Utility" - assigns drive icons and names to flash memory cards. Required, otherwise the drives aren't found

dit.exe - Process Information Process File: dit or dit.exe Process Name: Drive Icon and Label Utility Description: Essential background task that is required to assign drive icons and names to flash memory cards.

Gruß paff