|
Extrem Fall! Keine Lösung in Sich... Hi, Ich habe ein echten MEGA Fießling auf meinem Rechner.. Kurz zu meinem Rechner: WinXp-Prof, Spybot S&D 1.3 + Tetime, Norton Antivirus 2004, Ad-aware 6.0, hjt.exe, TrojanHunter, SpywareBlaster, Browser Hijack Blaster. (alle mit mit neuster Version..) Mit allen Tools habe ich bereits gesucht und habe keine Lösung ebeigeführt!! :-( Der Anfang: Erst hatte ich diesen runwin32.exe die sich immer wieder in die regesty eingetragen hat. Weiterhin hat Ad-Ware noch dailup.exe und st.exe als böde erkannt und vernichtet. Weiterhin stellte sich immer easy-search.biz oder C:\WINDOWS\system32\IEsp.mht als IE Startseite ein. Die problems konnten die Tools aber soweit lösen. Aktuel stellt sich nur noch "C:\WINDOWS\system32\IEsp.mht" als Startseite ein und überschreibt damit dauernd meine Enstellungen. Keins der Aktivenprogramme wie das von Spybot merken etwas. Noch ärgerlicher ist das ic aktuell keine Dateien mit dem Notepad ändern kann. Wenn ich es versuche lädt es mir immer die datei rundll32.exe in de Speicher und Spybot warnt das ein "Browser Helper Object" hinzugefügt wird sowie Eine weitere Änderung "Rundll32 cmicnfg.cpl,CMICtrlWnd" wird geschreiben. Notepod öffnet sich natürlich nicht.... Wenn ich nach cmicnfg.cpl suche finde ich Die unter "C:\Programme\C-Media 3D Audio\Driver\Win_XP". Das ist meine Soundkarte, also eigentlic okay. Vielleicht also Zufall. Die zweite Meldung kommt auch nicht immer. Aber die erste mit dem "Browser Helper Object" immer! Was ist das??? Und was kann ich tun?? HILFE!! :heulen: |
ich habe auch schon mit http://www.kaspersky.com/de/remoteviruschk.html die wichtigsten dateien untersuchen lassen. alles okay... in anführungszeichen "leider"... |
Zitat:
|
hab mir das angeschaut... außer der einen datei war nichts davon da, keiner dieser regeistry keys oder anderen dateien wie 0.bat, etc. die datei IEsp.mht habe ich also gelöscht.. aber die stellt sileider ohnehin immer wieder neu ein.... :headbang: das notepad ist immer noc nicht aktiv... scheint was härteres zu sein. hmmm...help? :heulen: |
p.s. ich bin nicht sicher das IEsp.mht was mit dem notepad zu tun hat. scheinen verschiedene problems zu sein. und das das notepad nicht mehr geht stört mich viel mehr als IEsp.mht. aktuell kann ich keine dateien editieren.. (nur über word oder so...) |
Versuche mal noch HJT-Log hier zu posten, allerdings habe ich fast keine Hoffnung mehr, dass wir an der Stelle ohne Neuformatieren ausgehen... |
danke erstma für die hilfe! :-) hier mein log: Logfile of HijackThis v1.98.0 Scan saved at 13:14:32, on 04.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\RealVNC\WinVNC\WinVNC.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\System32\Prismsta.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\***\Eigene Dateien\hjt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\System32\IEsp.mht R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Welcome to ALDI R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: - {0AFACA14-A6B3-4DC7-9491-505857F4F488} - C:\WINDOWS\msie32.dll O2 - BHO: - {160E622B-55B5-418D-92CB-67E3FD00A591} - C:\WINDOWS\msie32.dll O2 - BHO: - {20E187BD-05C0-4D91-B43A-B9D10D36249B} - C:\WINDOWS\msie32.dll O2 - BHO: - {2334E773-E081-436C-8E56-72B9FAE9F2DA} - C:\WINDOWS\msie32.dll O2 - BHO: - {2AB3564E-C74C-439A-A9C5-1BA70BF41B5D} - C:\WINDOWS\msie32.dll O2 - BHO: - {2BF1A013-B17C-4E7A-95D9-A1D14DF7A1AA} - C:\WINDOWS\msie32.dll O2 - BHO: - {2E7C631D-56E1-4FC5-B00F-EA9CEB420E06} - C:\WINDOWS\msie32.dll O2 - BHO: ie - {2FF5573C-0EB5-43db-A1B2-C4326813468E} - c:\windows\iehr.dll O2 - BHO: - {35A50858-5F9F-4DC0-9B48-519354354FE8} - C:\WINDOWS\msie32.dll O2 - BHO: - {42D48707-A9EB-40B5-864A-FB4204D34714} - C:\WINDOWS\msie32.dll O2 - BHO: - {4423A8CD-4B54-4896-8F06-55B85E3128F1} - C:\WINDOWS\msie32.dll O2 - BHO: - {4513E50E-A3DB-47A2-9124-56DE5101398C} - C:\WINDOWS\msie32.dll O2 - BHO: - {4F495D68-29D6-4EAC-B614-5A0892CBBBE6} - C:\WINDOWS\msie32.dll O2 - BHO: - {546379B4-5F29-49F9-8174-2CCCA0C1DDD9} - C:\WINDOWS\msie32.dll O2 - BHO: - {58158547-58E2-4F7F-8E60-E8935ADCB0D8} - C:\WINDOWS\msie32.dll O2 - BHO: - {5B0E830F-0873-4381-B39E-058A2E5AE416} - C:\WINDOWS\msie32.dll O2 - BHO: - {5C663069-C659-4A2B-B295-45C06590F1AB} - C:\WINDOWS\msie32.dll O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2K0.dll O2 - BHO: - {68C68AA2-248E-48D0-8BED-96F856551E6E} - C:\WINDOWS\msie32.dll O2 - BHO: - {72A70E65-D1B1-43F9-A28A-98E06FC937BB} - C:\WINDOWS\msie32.dll O2 - BHO: - {78397FC0-07A7-41E7-A261-3A368C018DE7} - C:\WINDOWS\msie32.dll O2 - BHO: - {7C85F96F-BB14-40FE-9DA4-EBE6A2FBE28A} - C:\WINDOWS\msie32.dll O2 - BHO: - {82FD2159-41BF-4FF8-ABA6-C62F96DA1A18} - C:\WINDOWS\msie32.dll O2 - BHO: - {94747E7E-2D8B-4078-91B4-670EF2E622CF} - C:\WINDOWS\msie32.dll O2 - BHO: - {96C15AE0-6FB0-4E60-9423-EF4537A667F7} - C:\WINDOWS\msie32.dll O2 - BHO: - {991D1A20-2ECB-49F0-BD44-71DDAB3A094A} - C:\WINDOWS\msie32.dll O2 - BHO: - {A0A70EC2-BEA7-49D8-A663-A6FB7807FB86} - C:\WINDOWS\msie32.dll O2 - BHO: - {A0B2E146-BA30-4A95-8FCB-442843257332} - C:\WINDOWS\msie32.dll O2 - BHO: (no name) - {A3DFDA85-1D92-4E28-8C0C-522574ACDC8A} - C:\WINDOWS\System32\msacrohlp.dll O2 - BHO: - {A60829D7-F940-4F1A-A6CC-71CB0B9C31AA} - C:\WINDOWS\msie32.dll O2 - BHO: - {A687E614-76E8-48C9-9C2E-A08FC58E489D} - C:\WINDOWS\msie32.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: - {B46EF87B-24B7-4234-9449-AEDC4FFA52E2} - C:\WINDOWS\msie32.dll O2 - BHO: - {B4DDE75D-6C33-4E93-ACAF-EEA446E1EA1E} - C:\WINDOWS\msie32.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: - {C1482D30-1A04-493D-9ACF-A06BA634842C} - C:\WINDOWS\msie32.dll O2 - BHO: - {C49525B0-D4D8-4024-A2EE-F3192EE945BA} - C:\WINDOWS\msie32.dll O2 - BHO: - {D8563896-470C-452C-A007-CF3D8F533866} - C:\WINDOWS\msie32.dll O2 - BHO: - {ECAB0F9B-63F2-4760-B770-D43F891BDCCC} - C:\WINDOWS\msie32.dll O2 - BHO: - {F8860374-5EA1-4758-9DF9-4CC9CF8DF5DC} - C:\WINDOWS\msie32.dll O2 - BHO: - {FAD86839-FC5B-4316-841B-819475F52ED9} - C:\WINDOWS\msie32.dll O2 - BHO: - {FE2F5EDB-F65F-47B1-BDEF-79132729EBDD} - C:\WINDOWS\msie32.dll O2 - BHO: - {FF434D9D-705E-4F4F-9CC2-57C86AD3D3CA} - C:\WINDOWS\msie32.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - ftp://adeskftp.autodesk.com/webpub/mapguide/ver6/viewer/en/mgaxctrl.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab ___ sehr ärgerlich: jetzt hat irgendwas wieder in die regestry geschrieben als HijackThis die log im notepad anzeigen wollte. wieder dieser "Browser Helper Object" mit dem Wert: {D2116146-8BD7-49E1-96F2-4BED1477A1FO... |
C:\WINDOWS\msie32.dll was ist das eigentlich und ist das normal das es so oft auftauscht in der log? |
Zitat:
Am Besten alle Einträge mit msie32.dll auswählen/fixen. Zitat:
Versuche noch mit einer Auto-Auswertung von HJT zurecht zu kommen, aber bitte mit Vorsicht geniessen: es gibt noch zu vilele False-Positive sowie False-Negative Ergebnisse. http://www.hijackthis.de/index.php |
hi rene-gad, der eintrag: Zitat:
es erscheint im traybereich, wenn dies als autostart konfiguriert ist. also harmlos. würde ich nicht fixen - es sei, zieby benutzt kein wireless lan |
Zitat:
|
Les doch mal bitte hier " WebSiteViewer und Probleme mit IE Explorer Startseite" nach, hat geholfen bis jetzt, der Beitrag von Lutz. |
Nochmal danke für alle Tipps. Soweit geht auch fast wieder alles. Nervig sind aber noch folgende Fakten: Notepad geht nicht. wenn ich es starte wird immer wieder ein "browser helper object" geändert (Laut spybot s&d Teatime...).. und nodepad geht nicht. hin und wieder geht auch wieder so ne blöde pornoseite auf.... wobei das nicht "ganz" so schlim ist ;-) mich wundert nur das KEIN einziges tool das ding aufspüren kann. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:41 Uhr. |
Copyright ©2000-2025, Trojaner-Board