Hilfe bei Schädlingsbefall -ARCHIV-

IPS.Blue · 18.09.2004

in der tat, das wäre echt geil, also geil das ich endlich wüsste woran es liegt, hab mir schon den kopf dran zerbrochen

eher verwirrend hingegen finde ich die tatsache das ich mit den mir zu verfügung stehenden mitteln nichts gefunden habe... laut denen is mein pc so sauber wie frisch installiert ;(

IPS.Blue · 18.09.2004

hab grad mal McAfee AVERT Stinger 2.3.9 und avast! Virus Cleaner 1.0.203 laufen lassen, aber von denen hat auch keiner was gefunden...

Folgende Würmer werden in der aktuellen Version 1.0.203 aufgespürt:
# Badtrans
# Beagle alias Bagle A-AA
# Blaster alias Lovsan A-I
# BugBear B-H
# Ganda
# Klez
# MiMail A-V
# Mydoom A-K
# Nachi A-K
# NetSky A-AB
# Nimda
# Opas
# Parite A-C
# Sasser A-F
# Scold
# Sircam
# Sober A-G
# Sobig B-F
# Swen
# Yaha
# Zafi A-B

aber:

Files scanning started...
No virus body found.
Files scanning finished (75181 files, 0 infected, 1149,2s).
Drives scanned: C: D: E:

[Edit]

Sasser.b
Folgende Dateien werden erzeugt:
avserve2.exe im Windows-Verzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP);
xxxxx_up.exe im Windows-Verzeichnis, wobei xxxxx für eine zufällig generierte vier- oder fünfstellige Zahl steht;
win2.log im Rootverzeichnis (C, also C:\win2.log;

In die Registry erfolgt dieser Eintrag:
Pfad zur avserve2.exe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

weder eine von den dateien noch der registry eintrag ist bei mir vorhanden, so langsam fällt mir nix mehr ein ^^

[For]Hood2 · 23.09.2004

Original geschrieben von medleyY
So erst mal das hier

Running processes:

C:\WINDOWS\SYSTEM\TAPISRV.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

O4 - HKLM\..\Run: [GraphicMax]c:\WINDOWS\SYSTEM\GraInit.exe

besser viel besser.
nun noch den r0 und den autorun löschen und du scheinst sauber zu sein.

Warum hast du einen Tapiserver am laufen (irgendwasmit Telefonnutzung über PC)? Ist das gewollt?

@ips.blue ich brauch einen hijackthis scan (nix wechmachen)
dann sind noch mehr PC im Netzwerk?
sind mehrere Benutzeraccounts an deinem PC eingerichtet?
komplett NTFS ?
Accounts Passwort geschützt?

IPS.Blue · 27.09.2004

hijack ok das fehlt noch auf der liste - ansonsten noch im netzwerk:

#1 P I 600 Win ME (antivir, adaware, spybot)
#2 P IV 2000 XP SP2 (antivir, xpantispy, adaware, spybot)
#3 AMD 1700+ XP SP2 (antivir, xpantispy, adaware, spybot)
#4 AMD 3000+ XP SP2 *(das is meiner) (antivir, xpantispy, adaware, spybot)
#5 ein centrino laptop von meinem vater, der wohl noch am sichersten is...

es gibt auf meinem pc nur einen benutzer account, der ohne passwort eingabe zugänglich ist, meine 120 gig platte ist noch in FAT32, die 160 in 2 partitionen geteilt die jeweis NTFS sind...

ausserdem verwenden alle pcs firefox als browser

Logfile of HijackThis v1.98.2
Scan saved at 17:27:19, on 26.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\mIRC\mirc.exe
C:\Programme\Winamp\Winamp.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\PowerQuest\PartitionMagic 8.0\PMagic.exe
C:\Programme\PowerQuest\PartitionMagic 8.0\PMagicnt.exe
C:\Dokumente und Einstellungen\Patrick\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{65E42EF2-168F-4820-87F1-9DB54D5261B7}: NameServer = 192.168.0.1

die scan auswertung meinte bei allen "gut", bei den 2 partition magic prozessen "unbekannt" und bei dem msi service "eventuell gefährlich"...

hier der link
http://www.hijackthis.de/logfiles/dcb2e556dca566efe01f321736d28dca.html

IPS.Blue · 27.09.2004

so, jetzt ohne ein paar überflüssige prozesse, und andwendungen hab ich auch geschlossen, sowie 4 überflüssige "einträge" gefixed...

http://www.hijackthis.de/logfiles/14073e9b949bdcf6fa9e1295cd8389e8.html

Logfile of HijackThis v1.98.2
Scan saved at 18:11:06, on 26.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Patrick\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{65E42EF2-168F-4820-87F1-9DB54D5261B7}: NameServer = 192.168.0.1

[For]Hood2 · 27.09.2004

ich hatte dich gebeten nichts zu entfernen, damit ich mir einen gesamt Eindruck machen kann.

Beim erstem scan ist nichts zu sehen. Nun bitte auch von allen anderen PCs im Netzwerk, diesmal bitte ohne was zu entfernen

IPS.Blue · 27.09.2004

im post davor ist ein log wo ich nichts entfernt habe, für einen "eindruck" reicht der ja wohl, außerdem war das was ich entfernte ja nur überflüssiges / harmloses zeugs

das einzige mit auch nur einem annährend negativen attribut, ist das msi update mit dem ich mein bios installiert hab, das wurde als "Eventuell Böse" eingestuft, was es aber wohl nicht ist...

auf den 2 ältesten ist der log ähnlich, nichts was als gefährlich eingestuft wird, der hälst du nach etwas speziellen ausschau? oder wesshalb ist dir der "gesamt eindruck" so wichtig?
hier die logs für den p4 und den laptop:

hier die infos für den lap top - da ist immerhin "1" böses dabei...
http://www.hijackthis.de/logfiles/aa69d17e3cc15d8bd1a509918bae738f.html

Logfile of HijackThis v1.98.2
Scan saved at 20:04:41, on 27.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\trcboot.exe
C:\Program Files\IBM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\NavNT\defwatch.exe
C:\Program Files\IBM\Personal Communications\PCS_AGNT.EXE
C:\Program Files\C4ebreg\isamsmt.exe
C:\PROGRA~1\AT&TNE~1\NetCfgSv.EXE
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Program Files\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\System32\vmnat.exe
C:\WINDOWS\System32\vmnetdhcp.exe
C:\WINDOWS\System32\Drivers\ldlcserv.exe
C:\WINDOWS\System32\MsgSys.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\NavNT\vptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\TpShocks.exe
C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\ThinkPad\UltraNav Wizard\UNavTray.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\IBM\Bluetooth Software\BTTray.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\Program Files\LetMeType\LetMeType.exe
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\WINDOWS\System32\wisptis.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AT&T Network Client\NetClient.exe
C:\Program Files\Lotus\SameTime Client\Connect.exe
C:\Program Files\Office10\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Tools\metapad.exe
C:\Program Files\Zone Labs\Integrity Client\iclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Tools\metapad.exe
C:\notes\NLNOTES.EXE
C:\notes\ntaskldr.EXE
C:\notes\nxpcdmn.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\c4ebreg\c4ebreg.exe
C:\WINDOWS\system32\notepad.exe
C:\lotus\wordpro\wordpro.exe
C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
c:\sdwork\issimsvc.exe
C:\Program Files\Office10\POWERPNT.EXE
C:\JSM\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w3.boeblingen.de.ibm.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://w3.ibm.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://w3-1.ibm.com/tools/print/gpinfo.nsf/vWebnav/InstallPrinter
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.boeblingen.de.ibm.com:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKLM\..\Run: [ISAM SMT Service] "C:\Program Files\C4ebreg\isamsmt.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [C4EBReg] "C:\Program Files\c4ebreg\c4ebreg.exe" /q
O4 - HKLM\..\Run: [ISSI EZUpdate Service] "c:\sdwork\issimsvc.exe"
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [pdfFactory Dispatcher v2] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [QCTray] C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
O4 - HKLM\..\RunOnce: [NetVC - restore VNIC] "C:\PROGRA~1\AT&TNE~1\\NetVC.exe" -reset att_avpnnic
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\RunOnce: [NetSP - restore database] "C:\Program Files\AT&T Network Client\NetSP.exe" -show
O4 - Startup: LetMeType.lnk = C:\Program Files\LetMeType\standard.lmt
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Integrity Client.lnk = C:\Program Files\Zone Labs\Integrity Client\iclient.exe
O4 - Global Startup: Lotus QuickStart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Office10\OSA.EXE
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSNLite\PsnLite.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\IBM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\IBM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\IBM\Bluetooth Software\btsendto_ie.htm
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://w3.ibm.com
O16 - DPF: Sametime Meeting Room Client ST31 - https://www-1.ibm.com/sametime/stmeetingroomclient/STMeetingRoomClient.cab
O16 - DPF: {55E515F7-0FA2-4610-874E-028107E766A3} (eWebEditProLibCtl3.eWebEditPro) - https://d25was19.mkm.can.ibm.com/ewebeditpro3/ewebeditpro3.cab
O16 - DPF: {7261EE42-318E-490A-AE8F-77649DBA1ECA} (JNILoader Control) - https://www-1.ibm.com/sametime/stmeetingroomclient/STJNILoader.cab
O16 - DPF: {9519B2A2-6592-4E41-8290-D0298459270C} (LNWebAssist Class) - http://w3.ibm.com/bluepages/scripts/lnwebassist.cab
O16 - DPF: {A4B28810-11A2-4956-82D1-B2DCBA4B2AFD} (gpwsx.plugin) - http://w3-3.ibm.com/tools/print/plugin/gpwsx.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{C04649F2-F8E8-4185-9C62-8CF4B2465B2C}: Domain = ibm.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{C04649F2-F8E8-4185-9C62-8CF4B2465B2C}: NameServer = 9.165.1.10,9.165.1.11
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ibm.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ibm.com

http://www.hijackthis.de/logfiles/0b3fa6b3567434fb2a38fdbfe063c1d2.html

Logfile of HijackThis v1.98.2

Scan saved at 20:52:59, on 27.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\Joachim\Desktop\HijackThis 1.98.2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [Steam] E:\Games\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab

der p4 war wirklich total sauber...

frage:
kann ich die MsPMSPSv.exe & spoolsv.exe irgendwie entfernen?
ich weiß das erstere mit für den media player und die 2te für drucker warteschlagen zuständig ist, unter "Dienste" in msconfig hab ich sie aber nicht gefunden... (höchstens das drucker zeugs, bin mir aber nicht sicher...)

[For]Hood2 · 28.09.2004

mein gott und der erste läuft problemlos?

scheint aber auch i.O zu sein, bin ein bissel matsch scheint als habe ich die Grippe.

Du musst mal drauf achten was die anderen PC´s tun wenn du lagst, disconnects hast

IPS.Blue · 29.09.2004

der think pad läuft problemlos, is typisch für meinen vater das er alles mögliche installiert, und der lap top ist brand neu, neueste generation -_^

er hat auch irgendwas drauf was zone contol ähnelt, der ist wirklich abgeschirmt und zudem nur abends per wireless am netz...

aber so wies aussieht ist auf den andren pcs nichts was hijackthis, avpersonal, spybot oder adaware als "böse" erachten

entweder der router ist beschädigt, oder t-online hat probleme bei uns...

oder irc, miranda oder emule haben einen fehler der das ganze netzwerk zum einstürzen bringt, was weiß ich zb zuviele informationen oder miranda connected zu schnell neu, weiß der geier...

p.s. kann ich eigentlich das adobe ding wegschmeißen? oder wofür ist das zuständig, scheit als hätte das jeder pc mit pdf viewer...
und krieg ich die MsPMSPSv.exe weg ohne den windows media player zu deinstallieren? weil für gewisse sachen braucht man den ja noch...

p.p.s. gute besserung ^^

[For]Hood2 · 30.09.2004

das Adobe Ding ist das .pdf plugin in den Browser, wenn du das weg machst, dann wird sich beim klicken auf einen Link hinterdem ein .pdf File steckt der Adobe reader öffnen und nicht mehr in ein browserfenster stecken.

Und nun mal allen ernstes, Du wunderst Dich das Du lagst wenn du Emule oder ICQ am laufen hast?

Beide und gerade Emule sind bekannt dafür das sie das von Dir geschilderte Problem verursachen.

IPS.Blue · 01.10.2004

das is kein normaler lag - den hab ich erst seit knapp 2 monaten - davor 2 jahre lang keine probleme... außerdem ist emule tagsüber entweder nur auf 4kb oder ganz aus - vor allem in letzter zeit aber es bringt kaum was... ich führ jetzt ne disc strich liste... heute um halb 9 wieder - mal sehen ob sich da eine regelmäßigkeit ergibt...
und dieser lag mündet immer in einem disconnect...

hab das adobe ding weggemacht, jetzt kommt beim klick auf einen pdf link nicht jedes mal die nervige überprüfung auf updates...

der laptop oben läuft wahrschienlich so gut weil er 2 gig ram hat t.t
mein vater hat gemeint er könnte auch noch 2 mal linux emulieren und das system wäre immer noch nicht ausgelastet ^^

Holzmichel2 · 01.10.2004

So, dann will ich doch auch mal was posten.
Hab, wie beschrieben, Ad-Aware, Spybot und Spyblaster Scan gemacht, haben alle bisschen was gefunden und auch Viren Scan. Ich habe allerdings schon seit längerem das Problem, dass er beim Hochfahren, nach dem Anmelden, ziemlich lange braucht und in dieser Zeit auch nicht mehr reagiergt, vielleicht kannst du mir ja helfen Hood.

Hier also der Hijack This Log:

Logfile of HijackThis v1.98.2
Scan saved at 10:51:01, on 01.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Cherry\CDI\CDI.exe
C:\Programme\Norton AntiVirus 2003\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\WINZIP~1.1\winzip32.exe
F:\Dokumente\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus

2003\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton

AntiVirus 2003\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [TweakUI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [CherryKeyman] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: ADSL.lnk = ?
O4 - Startup: WINAMP.LNK = F:\Programme\Winamp 2.90\winamp.exe
O4 - Startup: Windows-Explorer.lnk = C:\WINDOWS\explorer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://F:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\keyman\IEMenuExtKeyman.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINDOWS\System32\msjava.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -

http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://v5.windowsupdate.microsoft.c...ols/en/x86/client/wuweb_site.cab?109317264768

7
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -

http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) -

http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8902A073-72E6-4881-92F7-BFF92E1A2CDD}: NameServer =

217.237.151.97 217.237.150.33

Michele2 · 01.10.2004

Logfile of HijackThis v1.97.7
Scan saved at 13:38:01, on 01.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Domme\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.me-singles.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2A8B7DF-9F41-41AF-8D7A-69ACF909E594}: NameServer = 195.50.140.250 145.253.2.174

alles normal?

[For]Hood2 · 01.10.2004

@Holzmichel, du solltest nochmal dein Adware und Spybot updaten das hast du nämlich nicht gemacht, ich sehe immer noch Adware die sonst nämlich wegwäre.

btw mit spywareblaster scannt man nicht und HijackThis bitte aus einem eigen Ordner ausführen, wenn man es aus, wie Du, einer gepackten Datei ausführt, kann es probleme damit geben irgendwelche Backups zurück zuspielen
dein Problem rührt wahrscheinlich daher das du keine feste IP für deine Netzwerkkarte vergeben hast...

@ Michele
Deine HijackThis version ist veraltet, bitte ziehe dir diese http://www.allsecpros.com/download/hijackthis.zip

dann kopiere es in ein eigenes Verzeichnis, damit die backups nicht aufn Destop stören oder versehentlich gelöscht werden.
Dann bitte einen neuen Scan hier posten.

bis dahin sehe ich nichts ausser
http://www.me-singles.de/

Deine reguläre Startseite?

Holzmichel2 · 02.10.2004

Hallo [For]Hood

ich hatte vorher alle Updates, habe aber gesehen, dass ich nicht die neueste Version von Ad-Aware hatte. hab das jetzt upgegradet. Ad-Aware hat trotzdem nichts gefunden. Hab auch Spybot nochmals drüberlaufen lassen und jetzt nochmal der neue Hijack Log:

Logfile of HijackThis v1.98.2
Scan saved at 13:11:47, on 02.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Cherry\CDI\CDI.exe
C:\Programme\Norton AntiVirus 2003\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\Programme\Winamp 2.90\winamp.exe
F:\Dokumente\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus 2003\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus 2003\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [TweakUI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [CherryKeyman] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: ADSL.lnk = ?
O4 - Startup: WINAMP.LNK = F:\Programme\Winamp 2.90\winamp.exe
O4 - Startup: Windows-Explorer.lnk = C:\WINDOWS\explorer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\keyman\IEMenuExtKeyman.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1093172647687
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8902A073-72E6-4881-92F7-BFF92E1A2CDD}: NameServer = 217.237.151.97 217.237.150.33

Achja, eine feste IP habe ich zugewiesen, daran kann es nicht liegen.

medley · 02.10.2004

Original geschrieben von [For]Hood

besser viel besser.
nun noch den r0 und den autorun löschen und du scheinst sauber zu sein.

najaaaaaaa
der pc ist im arsch und hab jetzt nen neuen mir gekauft

AMD Athlon 64 3000+
und dazu fast alles von gigabyte , radeon 9800 pro
1 GHz DDR-Ram
und und und
und sogar winXP

einfach nur geil

keine treiber probleme , kein piepen

heiß wird er auch nicht weil jede menge extra lüfter drinne sind usw usw , volles program eben
stolzer preis hatte er aber 1350€
:8[:

trozdem danke das du dir mal meine alten logs angeschaut hast

mfg

[For]Hood2 · 02.10.2004

@Holzmichel

tschuldige falscher Log, hab die grippe :/

Du kannst folgende per HijackThis fixen
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
und falls du das nicht kennst nimm auch raus
O4 - HKLM\..\Run: [TweakUI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

wenn doch wa macht du mit Tweakui?

Allerdings habe ich wenig Hoffnung Dir helfen zu können, Dein Problem ist ein weitverbreitetes Problem im Zusammenhang mit Norton Antivirus2003. Wen Du dort alle Updates ebenfalls schon downgeloaded hast per liveupdate solltest du darüber nachdenken ob nicht damit leben kannst oder einen anderen Antivirus benutzt.

Michele2 · 03.10.2004

so:

Logfile of HijackThis v1.98.2
Scan saved at 17:45:10, on 03.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Domme\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.broodwar.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Koolbar.net - {00000000-0000-0000-0000-000000000001} - C:\PROGRA~1\KoolBar\koolbar.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2A8B7DF-9F41-41AF-8D7A-69ACF909E594}: NameServer = 195.50.140.250 145.253.2.174

Holzmichel2 · 03.10.2004

Danke [For]Hood, werde dann wahrscheinlich auf AntiVir umsteigen, es sei denn du empfiehlst was anderes?

[For]Hood2 · 03.10.2004

du hast entweder ein Coolwebsearch oder autosearch Problem

download CWS_schredder
und
http://www.javacoolsoftware.com/spywareblaster.html

dann installierst Du SPYWAREBlaster, gehst auf update, nachdem update gehst Du auf Protection, enable all protection

dann run Hijack markiere folgende stellen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redi...=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.broodwar.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redi...er=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redi...=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redi...=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

O3 - Toolbar: Koolbar.net - {00000000-0000-0000-0000-000000000001} - C:\PROGRA~1\KoolBar\koolbar.dll

schliesse ALLE Explorer und IE Fenster dann klick auf FIX und reboote in den abgesicherten Modus
nun läßt Du CWS schredder laufen rebootest
Dann gehst Du in die Systemsteuerung/Software/Interoptionen/sicherheit stellst die ersten beiden Zonen auf hoch ein
Dann schaltest du die interne XP Firewall an bevor ins Internet gehst und kommst hier zurück um mir zusagen ob der schredder was gefunden hat und auf jedenfall ein neuen HijackThis Log

und bitte nix wegmachen oder weglassen ausser was ich dir sage danke
EDIT: Hm wenn Du im abgesicherten Modus bist deinstallier den Spywaredoctor gleich mit, denn es gibt gute und bessere Programme die dazu auch nix kosten:
Adaware
Spybot search&destroy
Spywareblaster
Spywareguard
kosten alle nix und sind auch besser

[For]Hood2 · 03.10.2004

Original geschrieben von Holzmichel
Danke [For]Hood, werde dann wahrscheinlich auf AntiVir umsteigen, es sei denn du empfiehlst was anderes?

wen du dsl hast ist antivir ok, hast du isdn oder modem nimm AVG, ist auch kostenlos und man muss nicht einmal die Woche das Programm neu runterladen, wegen Programm update

Eigentlich ist es egal welches Antivirprogramm hauptsache ist du hälst das Teil aktuell

skyhooked · 05.10.2004

Ah man!

Dieses scheiss abgefuckte CoolWEbSearch!

Hab schon alles probiert es geht nicht weg!

Hab Windows 98 hier erstmal das LOg:

Logfile of HijackThis v1.97.7
Scan saved at 6:08:56 PM, on 10/5/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\VHCHOST.EXE
C:\WINDOWS\SYSTEM\SYSTIME.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\SYSTIME.EXE
C:\WINDOWS\ANWENDUNGSDATEN\CSEO.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL
O2 - BHO: (no name) - {4BCF322B-9621-4e90-9678-F1424EB7584E} - C:\WINDOWS\UDPMOD.DLL
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FGIEBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CTStartup] "C:\PROGRAMME\CREATIVE\SPLASH SCREEN\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\winupd.exe
O4 - HKLM\..\Run: [Default Operation] C:\WINDOWS\vhchost.exe
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe
O4 - HKCU\..\Run: [Bani] C:\WINDOWS\Anwendungsdaten\cseo.exe
O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{00170407-78E1-11D2-B60F-006097C998E7}\misc.exe
O8 - Extra context menu item: Download using FlashGet - C:\PROGRAMME\FLASHGET\jc_link.htm
O8 - Extra context menu item: Download All by FlashGet - C:\PROGRAMME\FLASHGET\jc_all.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
O16 - DPF: {544EB377-350A-4295-9BEB-EAB8392E09C6} (MSN Money Charting) - http://fdl.msn.com/public/investor/v13/invinstl.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...f92e68cfba8c:eb8a1fb09d00c5943edceabcca450006

Die ersten 5 Zeilen kommen immer wieder ich weis nicht mehr was ich machen soll.

Warlord| · 05.10.2004

http://www.zerosrealm.com/downloads/CWShredder.zip

skyhooked · 05.10.2004

Ok mit alles probiert meine ich auch alles!

CWShredder findet nix!

Spywareblaster auf neuestem Stand+blockt alles.

Alle Security auf highest.

Zudem ist bei mir jede Seite auf "Trusted" eingestellt, obwohl ich gar keine im "Trusted" ordner hab.

[For]Hood2 · 05.10.2004

Du hast schlimmere Probleme wie CoolWebsearch, löl

na dann mal ran:
als erstes
machst du mal hier
einen online virenscan. Hast Du keine Flatrate downloadest Du hier Antivir. Anscheinend hast Du Deinen AVG nicht aktuell oder er hat Probleme mit Trojanern.

Vor dem scannen drückst Du strg-alt-entf für den Taskmanager und beendest folgende Prozesse:
C:\WINDOWS\VHCHOST.EXE
C:\WINDOWS\SYSTEM\SYSTIME.EXE
C:\WINDOWS\ANWENDUNGSDATEN\CSEO.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE

Dann downloadest Du bitte hier den aktuellen HijackThis 1.98.2
Welchen Du bitte in einen eigenen Ordner wie c:\hjt abspeicherst.
Er legt nämlich Backups an und der Desktop ist nicht richtig Ort dafür.
Danach rechtsklicken und mit senden_an Desktop eine Verknüpfung auf den Desktop legen.
Nun bitte ein neues HighjackThis Log posten und bitte auch das Resultat des Virenscannens.

Wir bekommen Dich schon Viren/trojaner/Würme/Adware frei

Gruß
Hood

skyhooked · 05.10.2004

ok bin dabei

skyhooked · 05.10.2004

Hier erstmal das Log:

Logfile of HijackThis v1.98.2
Scan saved at 10:56:16 PM, on 10/5/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\VHCHOST.EXE
C:\WINDOWS\SYSTEM\SYSTIME.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\SYSTIME.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\SYSTIME.EXE
C:\WINDOWS\DESKTOP\HIJ\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CTStartup] "C:\PROGRAMME\CREATIVE\SPLASH SCREEN\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunOnce: [HcTSC] C:\WINDOWS\TSC.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{00170407-78E1-11D2-B60F-006097C998E7}\misc.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

Virenscan hat sich nach Abschluss aufgehängt liefer ich gleich noch nach:

€: ok hier das ergebnis:

C:\WINDOWS\vhchost.exe TROJ TOFER.X
C:\WINDOWS\durto32.dll TROJ TOFGER.AB
C:\WINDOWS\Temporary Internet Files\blablabla JAVA BYTEVER.A

kann ich aber beides nicht löschen weil von windows verwendet.

[For]Hood2 · 05.10.2004

Also ich empfehle Dir diese Antwort erst komplett zu lesen und sie zu markieren und in ein neues .txt Dokument auf deinen Desktop zu kopieren und das dann auch zu speichern.

Auch möchte Ich dich bitten nicht selber was mit Hijackthis wegzumachen. Die beiden log sehen fast so aus als wenn die von 2 PC´s gemacht wurde.

Update deinen AVG Antivirus! und deinen Spybot!
führe die Immunisierung bei Spybot durch!

Nun bitte in den abgesicherten Modus booten, dazu startest du neu und nach dem Bios drückst du F8, ruhig ein paarmal drücken bis du das Bootmenü bekommst, ->abgesichert (3)

im abgesicherten Modus dann folgendes:
Run Hijack und markiere

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O4 - HKLM\..\RunOnce: [HcTSC] C:\WINDOWS\TSC.EXE
O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{00170407-78E1-11D2-B60F-006097C998E7}\misc.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
dann klicke auf Fix

Dann öffne ein explorer fenster, gehe auf "ansicht/ordner"
und stell sicher das bei "Alle Dateien anzeigen" der haken gesetzt ist und bei "bekannte Erweiterungen ausblenden" der haken NICHT gesetzt ist.
im explorer suche sofern noch vorhanden:
C:\WINDOWS\VHCHOST.EXE
C:\WINDOWS\SYSTEM\SYSTIME.EXE
und lösche diese, evt rechts klick/eigenschaften: schreibschutz entfernen

Zum Schluss: Systemsteuerung/Internetoptionen-> temporäre InternetDateien löschen, den haken bei " auch offline Dateien löschen", dann auf ok, das kann ein bissel dauern
dann gehst Du nach start/programme/zubehör/Systemprogramme/datenträgerreinigung
hakst alles an und entfernst alles was.

nun alle Fenster schliessen und einen Scan mit Spybot und deinem AVG machen
, neustarten, ins Internet gehen (kurz reicht) neustarten und ein neues HijackThis log hier posten

Das schaue ich mir morgen an

Viel Glück, wenn etwas nicht ging schreib hierrein

Gruss
Hood

EDIT: den komischen giant antispy bitte auch im abgesicherten Modus entfernen, der findet auch nicht mehr wie Spybot und Adaware und die beiden kosten nix

skyhooked · 06.10.2004

Ok erstmal vielen dank, das schlimmste scheint behoben zu sein.

Leider sind immer noch alle Sites "Trusted" keine Ahnung woran das liegt.

Hier ist mein Log:

Logfile of HijackThis v1.98.2
Scan saved at 1:11:59 AM, on 10/6/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GIANT COMPANY SOFTWARE\GIANT ANTISPYWARE\GCASDTSERV.EXE
C:\WINDOWS\DESKTOP\HIJ\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n24.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CTStartup] "C:\PROGRAMME\CREATIVE\SPLASH SCREEN\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

nochmal danke

gruss, g-force

[For]Hood2 · 06.10.2004

was für seiten sind trusted? Die sollten im hijackthis log dann gezeigt werden!

ok systemsteuerung/internetoptionen/sicherheit
ALLE 4 zonen auf Standard stellen, dann lokales intranet auf hoch stellen, trusted auf mittel. Alle Seiten in Trusted entfernen, dazu trusted auswählen und durch markieren und klicken auf entfernen die Seiten raus nehmen

dann Zone Internet: auf anpassen klicken und download von signierten ActiveX Scripten auf eingabeaufforderung und den download von unsignierten ActvieX ... auf deaktiviert stellen.

Spywareblaster installieren, updaten und alles auf Protection stellen.
lade die Dir die Sun Java Runtimes runter und installiere diese.

Probiere einen alternativen Browers wie Firefox oder Opera aus, evt gefällt der dir ja

Führe Windows update durch, der IE wird dabei mit upgedated! Führe Windows update solange aus bis keine security updates mehr angezeigt werden.

Starte mindest 4-5 neu, wobei es wichtig ist ziwschen den Neustarts kurz ins Internet zu gehen 1-2 minuten reichen aus wenn der IE geöffnet ist.
Wenn sich Deine Startseite auch nach 36 Stunden nicht von alleine geändert hat, bist Du clean oder Deine PC hehe.

Wenn nicht komme zurück und poste ein neus Hijackthis log

Gruß Hood

IPS.Blue · 08.10.2004

so: nun wieder was zu meinen disconnect problemen:

hier mal eine disc liste der letzten tage (es sind aber nicht alle enthalten):

30.09.04 20:30
01.10.04 19.30
03.10.04 21:47
04.10.04 09:53
04.10.04 13:44
05.10.04 02:10
05.10.04 15:28 http disc
05.10.04 15:29 total disc
05.10.04 14:34
06.10.04 03:55
06.10.04 02:05
06.10.04 07:37
06.10.04 09:42
06.10.04 16:57 (3000+, 2000, 1700+)
07.10.04 14:39
07.10.04 21:35
08.10.04 00:34
08.10:04 03:12
08.10:04 04:33
08.10:04 10:59

auffallend ist das oft zuerst http nicht mehr funktioniert und dann dicht gefolgt auch das icq / irc networkd zusammenbricht, ebenso wie eMule...

es sind meistens nur der 3000+ sowie der pentium 2ghz und ab und zu der 1700+ online...

bei mir laufen meistens:

eMule Plus 1o
Miranda IM 0.3.4a Deutsch
mIRC 6.14

wenn ich den stromstecker des routers raus / rein stecke geht wieder alles - bis zum nächsten disonnect...
ein neustart hilft nichts, der router muss ein / ausgestöpselt werden

WAS kann das sein =(?

Edit: heut nacht nochmal 3 discs...
08.10:04 03:12
08.10:04 04:33
08.10:04 10:59

und emule hat die ganze nacht nicht 1 kb downgeloaded...

[For]Hood2 · 08.10.2004

firmware des routers ist aktuell?

was auch helfen könnte: da es sich evt um ein DNS problem handelt
DNS server in den clients fest eintragen, welche kann man im Router sehen

Sodom&Gomorrha · 08.10.2004

So, ich möchte auch mal gerne wissen, ob das Hijack-Log sauber ist oder nicht. Das Einzige, was mir auffällt, sind zwei RUN32DLLs ... einmal in Groß- und einmal in Kleinschreibung.

Systemeinbußen hab ich nicht, auch AntiVir findet nichts.

Logfile of HijackThis v1.97.7
Scan saved at 22:21:53, on 08.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
D:\Sygate\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\*****\Eigene Dateien\Internetdownloads\HijackThis.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SmcService] D:\Sygate\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1096966250858
O17 - HKLM\System\CCS\Services\Tcpip\..\{84082E3A-592E-4E8F-84CA-B1457C925728}: NameServer = 195.50.140.250 145.253.2.203

IPS.Blue · 09.10.2004

EDIT:

Mein Router:
NETGEAR FR114W ProSafe Firewalls
Version 1.5 Release 09
05.10.2004

Der hat jetzt also die aktuellste Firmware...

Außerdem habe ich bei allen PCs die Netzwerk-Config gechecked - sie sieht jetzt überall so aus:

IP-Adresse________________192.168.0.1-6
Subnetzmaske_____________255.255.255.0
Standardgateway__________ 192.168.0.1

Bevorzugter DNS-Server_____ 217.237.151.161
Alternativer DNS-Server______217.237.151.33

Außerdem habe ich folgende Ports geöffnet:

1 BW 6150 ALLOW always 192.168.0.3 Any Never
2 BW 6151 ALLOW always 192.168.0.4 Any Never
3 BW 6152 ALLOW always 192.168.0.2 Any Never
4 Kazaa Lite ALLOW always 192.168.0.3 Any Never
5 BitTorrent ALLOW always 192.168.0.3 Any Never
6 eMule 4672 ALLOW always 192.168.0.3 Any Never
7 eMule 4665 ALLOW always 192.168.0.3 Any Never
8 eMule 4661/2 ALLOW always 192.168.0.3 Any Never
9 winmx2 ALLOW always 192.168.0.3 Any Never
10 winmx ALLOW always 192.168.0.3 Any Never
Default Yes Any BLOCK always -- Any Match

Knappe Stunde und noch kein Disconnect - mal sehen -,-

[For]Hood2 · 09.10.2004

@ Gomorrha sieht sauber aus, allerdings ist das auch ein älterer HIjackthis
zieh die bitte http://www.allsecpros.com/download/hijackthis.zip einfach über ein alten und poste ein neues log, wie gesagt sieht sauber aus

@IPS.Blue: hattest nicht die aktuellste Firmware drauf?

Sodom&Gomorrha · 09.10.2004

So, nochmal mit der von Hood verlinkten aktuelleren Fassung von HJT:

Logfile of HijackThis v1.98.2
Scan saved at 18:56:53, on 09.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Sygate\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Capicog\CAPIDOG.EXE
C:\Programme\Mozilla Firefox\firefox.exe
D:\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SmcService] D:\Sygate\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1096966250858
O17 - HKLM\System\CCS\Services\Tcpip\..\{84082E3A-592E-4E8F-84CA-B1457C925728}: NameServer = 195.50.140.250 145.253.2.203

[For]Hood2 · 09.10.2004

sieht sauber aus

Ronschk · 09.10.2004

ähmm
1. wo bekomm ich adweare her und was macht das?
2. ist es bei windows updates schlimm wenn man irgetnwelches illegales zeuch auf 'm pc hat oder so? schreibt bitte WANN man sich keien ups holen sollte...
wenn man keine legale seriennummer hat (ka wie das heißt) was gibt es dann für möglichkeiten? nur format c?
3. Bei mir prüft S&D nur so 50 datein.... wie kann ich das ändern? liegt das an nem virus?

ach ja.... is das jetzt ok?:

Logfile of HijackThis v1.98.2
Scan saved at 22:54:53, on 09.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\Explorer.EXE
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS.0\Mixer.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS.0\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\Spybotsearch&Destroy\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS.0\System32\wuauclt.exe
D:\Programme\Hjt\HijackThis.exe
C:\WINDOWS.0\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybotsearch&Destroy\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.0\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ICQ Lite] E:\Kolsgis\shit\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybotsearch&Destroy\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Kolsgis\shit\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Kolsgis\shit\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Kolsgis\shit\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS.0\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS.0\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D85127A-BBB3-45A3-98B9-08474AA2EFDB}: NameServer = 192.168.150.10
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CB444D0-D8EF-45ED-B569-005A9E7E8CCE}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{2D85127A-BBB3-45A3-98B9-08474AA2EFDB}: NameServer = 192.168.150.10
O17 - HKLM\System\CS2\Services\Tcpip\..\{2D85127A-BBB3-45A3-98B9-08474AA2EFDB}: NameServer = 192.168.150.10

fuck.... also ich gerade aus internet gegangen bin zeig der mir auf einmal an: zu wenig speicherplatz auf C ........
hatte ich schoma hat sich dann herausgestellt das (ka warum) 2 mal Windos drauf war.... das eine wurde dann weggemacht... (war ca. vor 2 wochen).... hatte dann also noch so 500 mb (oder mehr ka) frei.... auch gerade eben (vor 30 min) hat der noch nichts angezeigt... und jetzt hab ich plötzlich nurnoch 181 MB frei!?!? warum??? ich hab nichts installiert....
Was ich in der halben Stunde gemacht hab:
1.Hijack durchlaufenlassen+gefixt
2. im abgesichertem Modus neu gestartet und dann da S&B laufen lassen (ka why)
3. neu gestartet + S&D durchlaufen lassen
4. hier im forum rumgesucht wie ich pc bissel verbessern kann + das was ihr da oben sehr gepostet.... mehr nicht.... also wie kann das sein?
Ähmm hab so ein Prog namens Windows Commander .... kann das mir helfen? wenn ja wie?

[For]Hood2 · 10.10.2004

es scheint jetzt ok zu sein, allerdings kann Dir niemand garantieren das nicht doch irgendwo eine Hintertür offen ist. Dazu kommt das du wahrscheinlich eine illegale Windows version benutzt. Diese kannsts Du eh nicht updaten da der Produktkey (erste 5ergruppe: FCKGW) von MS gesperrt wurde. Entweder du kaufst Dir eine legale version und installierst neu, oder biegst an deiner Version was rum. Was darf ich Dir nicht sagen. Sonst haut mit der böse Admin auf die Finger, nein auch nicht per privat message.

ch sehe anhand dieses Pfades: c:\WINDOWS.0\System32\smss.exe

das du 2x Windows installiert hast. Um mal ein bissel aufzuräumen ist eine Formatierung angeraten, was zu gleich dein Platzproblem lösen sollte

SchlumpfVI · 10.10.2004

http://winfuture.de/downloadstart,1097365361,750.html

Hilfe bei Schädlingsbefall -ARCHIV-

[For]Hood2

Guest

[For]Hood2

Guest

[For]Hood2

Guest

[For]Hood2

Guest

Holzmichel2

Guest

Michele2

Guest

[For]Hood2

Guest

Holzmichel2

Guest

medley

Guest

[For]Hood2

Guest

Michele2

Guest

Holzmichel2

Guest

[For]Hood2

Guest

[For]Hood2

Guest

[For]Hood2

Guest

[For]Hood2

Guest

[For]Hood2

Guest

[For]Hood2

Guest

[For]Hood2

Guest

[For]Hood2

Guest

[For]Hood2

Guest