Trojaner-Board - HijackThis Log

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - HijackThis Log (https://www.trojaner-board.de/8782-hijackthis-log.html)

Hallo Leute!
Nachdem ich den "180solutions" Virus vielleicht entfernt habe, habe ich HijackThis durchgeführt und wollte mal wissen ob bei mir noch mehr Viren oder ähnliches vorhanden sind. Vielleicht kann mir jemand von euch helfen meine Festplatte von solchen Dingen zu bereinigen.
Logfile of HijackThis v1.98.2
Scan saved at 21:42:49, on 24.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\csrss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\Programme\0190 Warner\w0svc.exe
D:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Programme\Anti_Virus\AVWUPSRV.EXE
D:\Programme\NavNT\defwatch.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\drivers\KodakCCS.exe
D:\Programme\VeriSign\NAVI\naviagent.exe
D:\Programme\NavNT\rtvscan.exe
D:\WINNT\System32\nvsvc32.exe
D:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
D:\Programme\Kodak\Kodak EasyShare software\bin\ptssvc.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\ScsiAccess.EXE
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\System32\mspmspsv.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
D:\Programme\QuickTime\qttask.exe
D:\Programme\Ahead\InCD\InCD.exe
D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
D:\WINNT\system32\rundll32.exe
D:\winnt\system32\rk.exe
D:\PROGRA~1\0190WA~1\WARN0190.EXE
D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
D:\WINNT\system32\ctfmon.exe
D:\Programme\Logitech\iTouch\iTouch.exe
D:\Programme\MSN Messenger\msnmsgr.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Dokumente und Einstellungen\Manuel Meyer.MANUEL-A7TA9257\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_p...count_id=78091
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...count_id=78091
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - D:\WINNT\Downloaded Program Files\rundlg32.dll
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - D:\WINNT\localNRD.dll
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - D:\WINNT\Downloaded Program Files\rundlg32.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - D:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - D:\Programme\SideFind\sfbho.dll (file missing)
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - D:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\Programme\ISTbar\istbar.dll (file missing)
O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - D:\WINNT\Downloaded Program Files\rundlg32.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PrinTray] D:\WINNT\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [InCD] D:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\brennprg\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [bsazplk] D:\WINNT\System32\jhmigw.exe
O4 - HKLM\..\Run: [conscorr] D:\WINNT\conscorr.exe
O4 - HKLM\..\Run: [Power Scan] D:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 D:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [OSS] d:\winnt\system32\rk.exe -boot
O4 - HKLM\..\Run: [0190 Warner] D:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVG_CC] D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINNT\System32\msjava.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - D:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINNT\System32\Shdocvw.dll
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - D:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll (file missing)
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - D:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll (file missing)
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\IrfanView\Ebay\Ebay.htm (file missing)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .pdf: D:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {0B682CC1-FB40-4006-A5DD-99EDD3C9095D} (vbiewer control) - http://www.thepaymentcentre.com/build/vbiewer.cab
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/active...pload_1111.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...92b259014bd70e
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} (WebInstall) - http://www.jessy.nu/de/webinstall.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab

Hallo, Manuel_M,
Du hast ja jede Menge Zeugs drauf. Führe mal einen eScan im abgesicherten Modus durch und poste das Ergebnis. Dann sehen wir weiter.
cacatoa

Erst mal danke. Muss ich denn e-scan im abgesichertern Modus ausführen? Im abgesicherten Modus bekomme ich nämlich immer eine Fehlermeldung beim Booten und komme nicht ins Netz.
Andere Frage ich habe noch zwei Ordner entdeckt die ich nicht entfernen kann: VeriSign und NewDoNet kannst du mir etwas über diese sagen?

@Manuel_M
NewDotNet ist Spyware. Bei falscher Entfernung kann es sein, dass du danach nicht mehr ins I-net kannst. Möglichkeit zur Reperatur bietet z.B.LSPfix.
VerSign sagt mir persönlich nichts, vll mal bei google schauen?!

Zitat:

Im abgesicherten Modus bekomme ich nämlich immer eine Fehlermeldung beim Booten und komme nicht ins Netz.

Du sollst eScan im "normalen Modus" updaten und dann offline im abgesicherten Modus scannen lassen.
Wie lautet die Fehlermeldung???

Wenn ich das Ergebnis des escan hier posten möchte kommt immer die Fehlermeldung: Fatal error: Maximum execution time of 30 seconds exceeded in /www/htdocs/tbcom/includes/functions_newpost.php on line 1054

Was muss ich tun, wenn ich das Ergebnis des escan im abgesicherten Modus hier posten möchte?

Teile es in 2 Postings auf

Wenn eScan beendet ist kannst du wieder im normalen Modus booten.
Gehe dann in den Ordner C:\bases

Zitat:

Zitat von Cidre
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Das ist alles was ich unter infected finden konnte:

Sun Oct 24 22:56:37 2004 => Total Disinfected Files: 0
Sun Oct 24 23:07:38 2004 => Total Disinfected Files: 0

Das ist unglaubwürdig. Du hast soviel aktive Ad-/Spy- und Malware auf deinem System, die eScan locker erkennt. Klicke abermals auf "Weitersuchen" und poste dann die ganzen Funde.

btw: Suche auch nach "tagged".

Also ich habe jetzt nochmal nachgeschaut und unter tagged finde ich nichts und unter infected nur die zwei bereits genannten. Was kann ich jetzt noch tun

Poste nochmal ein aktuelles Log-File.

Okay der aktuellste Logifile:

Logfile of HijackThis v1.98.2
Scan saved at 00:35:13, on 25.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\csrss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\Programme\0190 Warner\w0svc.exe
D:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\Programme\Anti_Virus\AVWUPSRV.EXE
D:\Programme\NavNT\defwatch.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\drivers\KodakCCS.exe
D:\Programme\VeriSign\NAVI\naviagent.exe
D:\Programme\NavNT\rtvscan.exe
D:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
D:\WINNT\System32\nvsvc32.exe
D:\Programme\Kodak\Kodak EasyShare software\bin\ptssvc.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\ScsiAccess.EXE
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\System32\mspmspsv.exe
D:\WINNT\system32\svchost.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Ahead\InCD\InCD.exe
D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
D:\WINNT\system32\rundll32.exe
D:\winnt\system32\rk.exe
D:\PROGRA~1\0190WA~1\WARN0190.EXE
D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
D:\WINNT\system32\ctfmon.exe
D:\Programme\Logitech\iTouch\iTouch.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\ICQLite\ICQLite.exe
D:\WINNT\explorer.exe
D:\Dokumente und Einstellungen\Manuel Meyer.MANUEL-A7TA9257\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_p...count_id=78091
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...count_id=78091
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - D:\WINNT\Downloaded Program Files\rundlg32.dll
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - D:\WINNT\localNRD.dll
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - D:\WINNT\Downloaded Program Files\rundlg32.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - D:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\Programme\ISTbar\istbar.dll (file missing)
O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - D:\WINNT\Downloaded Program Files\rundlg32.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PrinTray] D:\WINNT\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [InCD] D:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\brennprg\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 D:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [OSS] d:\winnt\system32\rk.exe -boot
O4 - HKLM\..\Run: [0190 Warner] D:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVG_CC] D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINNT\System32\msjava.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - D:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINNT\System32\Shdocvw.dll
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - D:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll (file missing)
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - D:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll (file missing)
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\IrfanView\Ebay\Ebay.htm (file missing)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .pdf: D:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {0B682CC1-FB40-4006-A5DD-99EDD3C9095D} (vbiewer control) - http://www.thepaymentcentre.com/build/vbiewer.cab
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/active...pload_1111.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...92b259014bd70e
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} (WebInstall) - http://www.jessy.nu/de/webinstall.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab

Mir fällt grade auf das wir uns den spass mit escan auch hätten sparen können, er hat ja kav auf dem pc.

@Manuel_M

Was ergibt ein scan mit KAV? (auch nichts?)

Danke für eure Hilfestellung aber ich mach mich jetzt erst mal ins Bett. Morgen führe ich den KAV-Scan durch und stelle ihn hier rein. :sleepy:

Guten Morgen, Manuel_M ... ausgeschlafen?

was mit dem eScan auf Deinem System passiert sein könnte, weiss ich auch nicht, denn Dein System ist verseucht. Es kann sein, dass Du einen Virus auf dem System hast, der AV-Programme zerstört.

===>Wichtig: bitte Reihenfolge beachten<===

Ich gebe Dir unter anderen eine Anleitung, was Du fixen musst, vielleicht kommen wir dann weiter.

===>1<===

Arbeite bitte zuerst das Tutorial der Spybot-Forschung Punkt für Punkt durch, überprüfe den Rechner mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "couldnotfind.com-TBOARD" und Hinweis auf diesen Thread. (Nicht im Forum posten, da zwecklos!)

===>2<===

Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

===>3<===

Downloade das Programm SpywareBlaster 3.2 und führe es auf dem/den Rechner(n) aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit täglich - bevor Du ins Netz gehst - den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen!

===>4<===

Downloade bitte entweder LSP-Fix oder WinsockFix. LSP-Fix oder WinsockFix wirst Du brauchen, wenn Du Einträge von 'NewDotNet' und 'Hijacked Internet access by New.Net' löscht. Es kann sein, dass Du dann Probleme hast, ins Netz zu kommen. Mit einem dieser Programme kannst Du diese Probleme beheben. Die zu löschenden Einträge korrumpieren die Winsock dlls, die Windows benötigt um eine Internetverbindung aufzubauen. Um die originalen Dateien wiederherzustellen WinsockFix oder LSPFix herunterladen, die Internetverbindung trennen und eines der Programme ausführen. Den Rechner neu booten. (Hinweis von Haui45 Gestern, 22:53 #4)

===>5<===

überprüfe mit dem online-scan von Kaspersky:

D:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
D:\winnt\system32\rk.exe

Teile uns das Ergebnis der Überprüfung mit. Sende diese Dateien passwortgeschützt an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck).

===>6<===

Boote in den abgesicherten Modus und fixe dann mit Hijack This (Häkchen setzen und fix checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://www.couldnotfind.com/search_...ccount_id=78091
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = ht*p://www.couldnotfind.com/search_...ccount_id=78091
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - D:\WINNT\Downloaded Program Files\rundlg32.dll
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - D:\WINNT\localNRD.dll
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - D:\WINNT\Downloaded Program Files\rundlg32.dll

O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\Programme\ISTbar\istbar.dll (file missing)
O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - D:\WINNT\Downloaded Program Files\rundlg32.dll

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - D:\Programme\SideFind\sidefind.dll (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm

O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - ht*p://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - ht*p://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - D:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll (file missing)
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - D:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll (file missing)
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\IrfanView\Ebay\Ebay.htm (file missing)

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ht*p://public.windupdates.com/get_f...392b259014bd70e

O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - ht*p://www.xxxtoolbar.com/ist/softw...006_regular.cab
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} (WebInstall) - ht*p://www.jessy.nu/de/webinstall.cab

Dialer bitte auf Diskette/CD vor dem fixen sichern (Dialer-Hinweis)

O16 - DPF: {00000000-0000-0000-0000-000020030000} - ht*p://www.advnt01.com/dialer/ger_nopop.exe

wenn Du diese Einträge nicht kennst/brauchst, bitte fixen:

O16 - DPF: {0B682CC1-FB40-4006-A5DD-99EDD3C9095D} (vbiewer control) - ht*p://www.thepaymentcentre.com/build/vbiewer.cab
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - ht*ps://img.web.de/v/mail/mms/activ...upload_1111.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - ht*p://www.ipix.com/viewers/ipixx.cab

O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - ht*p://www.pixaco.de/static/download/iedropupload.cab

Boote in den normalen Modus.

===>7<===

Mit LSP-Fix oder WinsockFix löschen:

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - D:\Programme\NewDotNet\newdotnet6_38.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 D:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

===>8<===

Geh bitte auf diese Seite: eScan, scrolle ganz runter und schau mal nach, ob die Zusatz-Signaturen, von denen dort die Rede ist, auch für Deine Version des KAV geeignet sind. Update bitte den KAV, sonst nützt er nichts.

Scanne damit Deinen Rechner.

===>9<===

Lass uns das Ergebnis der Online-Scan-Überprüfung und des Scans mit KAV wissen. (Vergiss nicht die Daten/Spybot-Report - Adressaten beachten! - abzusenden.) Erstelle ein neues Logfile mit Hijack This aus dem normalen Modus und poste es.

SD

@ Manuel_M,

sollte das alles nicht funktionieren, hab ich noch eine Idee. Lade TrojanCheck runter. Führe das Programm auf Deinem Computer aus. Klicke TrojanCheck an, so dass Du das grosse Fenster des Programms vor Dir auf dem Bildschirm hast. Hier siehst Du nun oben drei Tasten, eine davon lautet "Autostarts". Wenn Du darauf klickst, erscheint ein neues Fensterchen, rechts unten im Bild siehst Du "Report". Klick auf "Report". Nun erscheint ein noch größeres Fenster mit dem Report. Du kannst ihn schließen oder speichern. Speichere ihn bitte ab, als "trojancheck_mm.txt". Gib diesen "trojancheck_mm.txt" hier ins Forum. Kann sein, dass Du dazu mehrere Postings nötig hast.

Wir bekommen damit eine Einsicht in (nur als Beispiel):

Registry - Standardeinträge
Registry - Shell Spawning
Registry - Active Setup
Registry - Virtuelle Gerätetreiber (VxD)
Registry - ICQ Net
Autostart - Standardeinträge
INI Dateien
Batch und Text Dateien
EXPLORER.EXE in C:\

... auf diese Weise müßten wir eigentlich Trojaner erkennen können, wenn sie sich denn auf Deinem System befinden. MIt TrojanCheck lassen sich Registry-Einträge löschen. Das solltest Du aber besser nur auf Anweisung machen .. kann sein, dass sonst nichts mehr geht ..

Lieben Gruss
SD

Danke für die Unterstützung :daumenhoc .
Ich bin noch auf der Arbeit aber heute Abend werde ich die Schritte ausführen und hoffentlich mein System bereinigen.

@ Manuel_M

ok, melde Dich wieder .. mit dem/den Befund(en).

SD

Habe Trojancheck ausgeführt.

---> BITTE an die Kollegen, schaut Euch das mal an. Könnt Ihr etwas erkennen? Wenn ich es mache, dauert es Stunden, dazu bin ich darin zu ungeübt.

SD

Hallo ich habe euch den Spybot-Report zugeschickt. Was soll ich nun machen?