Hilfe bei Schädlingsbefall -ARCHIV-

[For]Hood2 · 01.04.2005

Original geschrieben von Fuser

Nur in Ausnahmefällen, aber prinzipiell stört mich das nicht mehr, vielen Dank Problem ist, bei einigen Seiten muss ich die Pop-Up-Blocker ausstellen, weil gewisse Pop-Ups dann doch wichtig sind (zB Hansenet-Login). Aber das krieg ich schon hin, danke für die fixe Hilfe :hy:

Naja das problem haben wir alle. Alle popups zu blocken ist seit Firefox leider nicht mehr zu machen. Javascripting

Und das Popupblocker auch "gute" wegblocken ist auch altbekannt, dafür haben die meisten ne Whitelist wo die erlaubten rein kommen.

Update dein Windows wie Mailman schon sagte.

DerTotmacher · 07.04.2005

Hi.

Mein Problem ist die 100% ige Auslastung meines Systems...und das ich Sie nicht wieder runterkrieg.

Am meisten bläht sich die Explorer.exe auf. Nach 2 h ist die schon mal bei über 300.000 k (siehe bei gefügten screenshot. -einfach Endung in jpg umbenennen.)

Irgendwie ist das komisch. Manchmal ist der Rechner ganz brav weiter nutzbar selbst wenn der Esel rennt, ein anderes Mal geht gar nischt mehr. Selbst wenn der Esel aus war.

Das System ist ein AMD Atholn XP 3000 auf WinXP Sp1 --Sp2 kommt allerwahrscheinlichkeit nach am weekend drauf.
1024 MB ram 333 Mhz von Infineon/Kingston
ne nvidea 6600 graka 3 Maxtor Festplatten.

Das Problem hatte ich das letzte halbe Jahr nicht, erst seit dem ich neuformatiert hab :ugly:

In der Sufu hab ich unter explorer.exe nix passendes gefunden, ausser mal ein Hijackthis log zu machen,-was ich auch gleich anhängen werd.
Habs mir mal durgesehen, da aber auch nix kritisches gesehen.
Bitdefender und Win werden regelmäßig alle 2 Tage geupdatet. Esel Daten prinzipiell vor erstbenutzung gescannt.

Kurzum ich hab keine Ahnung was mir diese dicke Explorer.exe beschert. und viel wichtiger, was ich dagegen machen kann.

Für Rat wäre ich sehr dankbar.

-Oliver

_LOG:
Logfile of HijackThis v1.99.1
Scan saved at 07:42:09, on 07.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\HHVcdV6Sys\VC6SecS.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
C:\programme\Asus\Probe\AsusProb.exe
C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
C:\Programme\Emule\emule.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\WINDOWS\System32\taskmgr.exe
F:\___Anwendungsprogramme___\Antivirus\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ASUS Probe] c:\programme\Asus\Probe\AsusProb.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Acronis_Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Virtual CD v6 Management Service (VC6SecS) - H+H Software GmbH - C:\Programme\HHVcdV6Sys\VC6SecS.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

Gast · 07.04.2005

also ich seh auch nix

hood?
vielleicht doch mal diesen pop-up blocker deinstallieren? die google toolbar kann das auch...

DerTotmacher · 07.04.2005

hmmm der Popup Blocker ist eigentlich in Acronis implementiert. Brauchen tu ich den auch nich, weil ich Opera nutze und mich die paar popups die durch kommen auch nicht stören.

Acronis Privacy ist deshalb für mich von nutzen weil es Daten mit nem ziemlich beknackten Algorythmus vernichtet.

Aber ich kanns ja mal ausprobieren...

Trotzallem glaub ich nicht das es daran liegt.
Wie groß ist den die explorer.exe bei euch so im Normalfall?

Gast · 07.04.2005

7mb realer, 21mb virtueller speicher (pc is jetz ~15 stunden up).

Fuser · 07.04.2005

Hier ein Fremd-Logfile -> Startseiten-Probleme etc.
Wäre klasse wenn ihr helfen könnt

Logfile of HijackThis v1.99.1
Scan saved at 20:07:36, on 07.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\HDX4\hdx4tray.exe
C:\WINDOWS\System32\rundll32.exe
C:\Dokumente und Einstellungen\Torcida1950\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\TORCID~1\LOKALE~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\TORCID~1\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: (no name) - {A6FE8A03-ECF8-4B22-AD94-50B50FF185A4} - C:\WINDOWS\System32\epje.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\TORCID~1\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKLM\..\RunServices: [Nvidia Service Manager] nvsvc32.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] ___synmgr.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: HDX4 Control Center.lnk = C:\Programme\HDX4\hdx4tray.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?lin...467&clcid=0x409
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/m...pdownloader.cab
O18 - Filter: text/html - {30D6314A-A59C-48F6-8A94-C25ED4039792} - C:\WINDOWS\System32\epje.dll
O18 - Filter: text/plain - {30D6314A-A59C-48F6-8A94-C25ED4039792} - C:\WINDOWS\System32\epje.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: Norton Personal Firewall Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISSERV.EXE
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE
O23 - Service: Norton Personal Firewall Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Personal Firewall\SymProxySvc.exe

[For]Hood2 · 07.04.2005

Original geschrieben von DerTotmacher
hmmm der Popup Blocker ist eigentlich in Acronis implementiert. Brauchen tu ich den auch nich, weil ich Opera nutze und mich die paar popups die durch kommen auch nicht stören.

Acronis Privacy ist deshalb für mich von nutzen weil es Daten mit nem ziemlich beknackten Algorythmus vernichtet.

Aber ich kanns ja mal ausprobieren...

Trotzallem glaub ich nicht das es daran liegt.
Wie groß ist den die explorer.exe bei euch so im Normalfall?

Geh hier hin und lass deine explorer.exe checken:
http://virusscan.jotti.org/

[For]Hood2 · 07.04.2005

@Fuser
Download speicher das aufn Desktop.
http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix

In den abgesicherten Modus booten und run HijackThis. mach einen Hacken bei folgenden:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\TORCID~1\LOKALE~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\TORCID~1\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll
O2 - BHO: (no name) - {A6FE8A03-ECF8-4B22-AD94-50B50FF185A4} - C:\WINDOWS\System32\epje.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\TORCID~1\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKLM\..\RunServices: [Nvidia Service Manager] nvsvc32.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] ___synmgr.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O18 - Filter: text/html - {30D6314A-A59C-48F6-8A94-C25ED4039792} - C:\WINDOWS\System32\epje.dll
O18 - Filter: text/plain - {30D6314A-A59C-48F6-8A94-C25ED4039792} - C:\WINDOWS\System32\epje.dll
Schliesse alle Fenster und Klick Fix.

Dann run sphjfix lass nach dem Neustart psote das sphjfix log und ein HijackThis log.

DerTotmacher · 07.04.2005

Original geschrieben von [For]Hood

Geh hier hin und lass deine explorer.exe checken:
http://virusscan.jotti.org/

Auslastung:
0% 100%
Datei: explorer.exe
Status:
OK
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
mks_vir
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
VBA32
Keine Viren gefunden

...ich könnt heulen.

neuformaten?

Ich mein Ihr seht doch selber im screenshot wie dick der explorer ist. Kann doch was nich stimmen oder?

Fuser · 07.04.2005

So hier sein neues Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:32:54, on 07.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\HDX4\hdx4tray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Torcida1950\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: HDX4 Control Center.lnk = C:\Programme\HDX4\hdx4tray.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?lin...467&clcid=0x409
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/m...pdownloader.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: Norton Personal Firewall Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISSERV.EXE
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE
O23 - Service: Norton Personal Firewall Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Personal Firewall\SymProxySvc.exe

und vom anderen:

(7.4.05 21:26:35) SPSeHjFix started v1.1.1
(7.4.05 21:26:35) OS: WinXP (5.1.2600)
(7.4.05 21:26:35) Language: deutsch
(7.4.05 21:26:37) Disinfection started
(7.4.05 21:26:37) Bad-Dll(IEP): (not found)
(7.4.05 21:26:37) Bad-Dll(IEP) in BHO: (not found)
(7.4.05 21:26:37) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINDOWS\System32\epje.dll
(7.4.05 21:26:37) Searchassistant Uninstaller - Keys Deleted
(7.4.05 21:26:37) UBF: 4
(7.4.05 21:26:37) UBB: 2
(7.4.05 21:26:37) UBR: 8
(7.4.05 21:26:37) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about :blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about :blank
(7.4.05 21:26:37) Stealth-String not found
(7.4.05 21:26:40) Temp-Files delete on Reboot
(7.4.05 21:26:40) File added to delete: c:\windows\system32\epje.dll
(7.4.05 21:26:40) File added to delete: c:\dokume~1\torcid~1\lokale~1\temp\verlauf\history.ie5\mshist012005040720050408\index.dat
(7.4.05 21:26:40) File added to delete: c:\dokume~1\torcid~1\lokale~1\temp\~dfd29d.tmp
(7.4.05 21:26:40) File added to delete: c:\dokume~1\torcid~1\lokale~1\temp\fsg_tmp
(7.4.05 21:26:40) File added to delete: c:\dokume~1\torcid~1\lokale~1\temp\fsg_tmp\accum
(7.4.05 21:26:40) File added to delete: c:\dokume~1\torcid~1\lokale~1\temp\rb
(7.4.05 21:26:40) File added to delete: c:\dokume~1\torcid~1\lokale~1\temp\temporary internet files
(7.4.05 21:26:40) File added to delete: c:\dokume~1\torcid~1\lokale~1\temp\temporary internet files\content.ie5
(7.4.05 21:26:40) File added to delete: c:\dokume~1\torcid~1\lokale~1\temp\verlauf
(7.4.05 21:26:40) File added to delete: c:\dokume~1\torcid~1\lokale~1\temp\verlauf\history.ie5
(7.4.05 21:26:40) File added to delete: c:\dokume~1\torcid~1\lokale~1\temp\verlauf\history.ie5\mshist012005040720050408
(7.4.05 21:26:40) File added to delete: c:\dokume~1\torcid~1\lokale~1\temp\{56f3e1ff-54fe-4384-a153-6ccaba097814}
(7.4.05 21:26:40) File added to delete: c:\dokume~1\torcid~1\lokale~1\temp\{56f3e1ff-54fe-4384-a153-6ccaba097814}\bitmaps
(7.4.05 21:26:40) Reboot

(7.4.05 21:27:36) SPSeHjFix started v1.1.1
(7.4.05 21:27:36) OS: WinXP (5.1.2600)
(7.4.05 21:27:36) Language: deutsch

[For]Hood2 · 07.04.2005

Original geschrieben von DerTotmacher

Auslastung:
0% 100%
Datei: explorer.exe
Status:
OK
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
mks_vir
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
VBA32
Keine Viren gefunden

...ich könnt heulen.
neuformaten?

Ich mein Ihr seht doch selber im screenshot wie dick der explorer ist. Kann doch was nich stimmen oder?

Hm wenn Du den Bube hättest sollte wenigstens Kapesky Alarmschlagen. Mach mal folgendes, Du brauchst dafür deine Xp CD.
start/ ausführen und tippe sfc /scannow (sfc<leertaste>/scannow)

danach machst Du einen neustart und besuchst (wenn Du eine Flatrate hast)
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
und
http://www.pandasoftware.com/activescan/com/activescan_principal.htm

Das dauert ein bissel und sollte über nacht laufen (natürlich nach einander) Lass sie alles entfernen was sie finden. Die sollten auch logs machen hänge die bitte mit an.

@Fuser:
Schaut gut aus. Keine versteckte Datei. Sollt erledigt sein.
Es schadet nicht mit Adaware einen "perform a full system scan" zu machen. (Sollte noch was finden)
Spywareblaster installieren.

Helmi · 17.04.2005

hi hab den link bekommen da mein BW seid paar tagen ruckelt.
hier mal das logfile. hoffe mir kann einer helfen

Logfile of HijackThis v1.99.1
Scan saved at 14:43:20, on 17.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DeltTray.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\hjt\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

[For]Hood2 · 17.04.2005

Nun da ist nicht viel zu sehen. Run Hijackthis und mach einen haken bei:
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
Schliesse alle PProgramme und klicke Fix.

Mach mal einen Scan mit Spybot und Adaware dann postet Du noch einen HijackThis log.
Du bist wie mit dem Internet verbunden?

Helmi · 17.04.2005

so heir der neue log

Logfile of HijackThis v1.99.1
Scan saved at 18:51:08, on 17.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DeltTray.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\hjt\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

hab kabel flatrate.
achja adaware und spybot haben beide nichts gefunden, aber jedesmal wenn ich adaware laufen lasse kommt von antivir die meldung dass er unter d:\system volume information\_restore das troj pferd TR/Click.Small.DI.2 gefunden wurde. dann kommt das gleiche ca 5-10 mal wieder egal ob man löscht überschreibt ins quarantäne verschiebt ... und beim nächsten scan dann wieder gleiche meldung. hab bei google 0 treffer dazu gefunden was mich irgendwie stuzig macht.

edit: der ordner wird weder angezeigt noch kann man unter CMD darauf zugreifen " acces denied"

[For]Hood2 · 18.04.2005

Das ist Deine Systemwiederherstellung.

Die leeren wir nun. Systemsteuerung/System/systemwiederherstellung

deaktivieren. Neustarten Systemwiederherstellung wieder aktivieren.
Neustarten um einen neuen Punkt zu erstellen.

Ok Gehe nach start/ausführen und tippe cmd

In der Eingabeaufforderung gibt Du ein.
ipconfig <enter>
Er zeigt Dir eine IP. Ich brauche die ersten 2 stellen. Poste nicht die ganze IP.

Helmi · 18.04.2005

werd ich gleich ma machen. wörst nur noch so nett mir zu sagen woher du das weisst ? man will ja dazu lernen :]

edit : da die systemwiederherstellung eh noch deaktiviert war ( wie oben empfohlen) hab ich sie jetzt aktiviert, neugestartet, deaktiviert neugestartet, aktiviert, neugestartet, und hab ip 19*.***.**.**

[For]Hood2 · 21.04.2005

Hm woher ich das weis? Hast Du vielleicht mal in meine Sig geschaut?
Selber rausgefunden von anderen abgeschaut, ...

Ok ich meinte ich brauch die ersten 2 stellen ala 192.168.XXX.XXX

Aber ich denke das isses. Du bekommst ne interne Adresse. Eventuel hat Dein Provider etwas verändert.

Wo steht das die Systemwiederherstellung aus sein sollte?

Helmi · 21.04.2005

"Unter Windows Me/XP sollte man, bevor man ein infiziertes System säubert, die Systemwiederherstellung deaktivieren." steht im ersten post drin.

mit dem `"woher weisst du das" meinte ich eigentlich woher du weisst, dass es an der systemwiederherstellung liegt, aber das hab ich jetzt auch schon mitbekommen :]

achja damalshiess meine ip 192.168.xx.xx
jetzt steht da 83.243.xxx.xxx

auch wenn ich alles andere als ein profi bin, aber sollte mir /ipconfig nich meine lan ip zeigen (wie 192.168.0.4 z.b.) und nich meine internet ip ?

[For]Hood2 · 21.04.2005

:\system volume information\_restore ist die System wiederherstellung.

jetzt steht da 83.243.xxx.xxx

auch wenn ich alles andere als ein profi bin, aber sollte mir /ipconfig nich meine lan ip zeigen (wie 192.168.0.4 z.b.) und nich meine internet ip ?[]/quote]

Ipconfig zeigt alle TCP/IP adressen an, egal on LAN oder WAN.
Lagt Dein Broodwar immer noch?

Helmi · 22.04.2005

es ruckelt noch ja, hoffe du hast das am anfang nich missverstanden.
hab kein inet lag oder sonstiges, bw ruckelt nur einfach. auch im singelplayer replay schauen

[For]Hood2 · 22.04.2005

Hm, selbst im Singelplayer. Mit Cd oder image?

FiStOfTeRRoR · 23.04.2005

Hallo könnte vielleicht einer kurz drüber gucken ob das log clean ist
Danke

Logfile of HijackThis v1.99.1
Scan saved at 18:37:17, on 23.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\cFosNT\cFosDNT.exe
E:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\sicherheit\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/freenet
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [cFosDNT] C:\cFosNT\cFosDNT.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Difaripu] dsifaripu.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe

bog · 23.04.2005

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O4 - HKLM\..\RunServices: [Difaripu] dsifaripu.exe
hinfort damit

Gast · 23.04.2005

Original geschrieben von [For]Hood
Hm, selbst im Singelplayer. Mit Cd oder image?

strg + m => cd musik aus?

[For]Hood2 · 23.04.2005

@warchief checke mal hier: http://virusscan.jotti.org/
C:\Programme\Internet Explorer\IEXPLORE.EXE

Helmi · 24.04.2005

mit cd.
die bw musik hab ich eh nie an.
da ich jetzt endlich meine xp cd wieder gefunden habe, habe ich einfach formatiert, da ich um ehrlich zu sein keinen nerf mehr hatte.
jetzt geht wieder alles.
trotzdem 1000 dank für die gute hilfe

Dr. Picasso · 24.04.2005

Original geschrieben von IntoThe[KLO]
keinen nerf mehr hatte

FiStOfTeRRoR · 24.04.2005

ok
das mit der seite http://virusscan.jotti.org/ hab ich gemacht und er hat nix gefunden und die beiden sachen von bog hab ich auch gefixed, denke das er nu wieder sauber ist

besten dank

fenixguy · 03.05.2005

mein problem hab ich HIER schon beschrieben. hab jetzt mit kaspersky und dem andren gescant, windows update is alles das neuste, neugestartet habbich ~10mal... hab echt kA mehr -.-

Logfile of HijackThis v1.99.1
Scan saved at 02:48:24, on 03.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Antivirus-Profi-Paket\AVKService.exe
C:\Programme\Antivirus-Profi-Paket\AVKWCtl.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\F\LOKALE~1\Temp\Rar$EX00.468\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://benserv.de:4080/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1108386299717
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\Antivirus-Profi-Paket\AVKService.exe
O23 - Service: Antivirus Wachter (AVKWCtl) - Unknown owner - C:\Programme\Antivirus-Profi-Paket\AVKWCtl.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Anti-Virus Personal\kavsvc.exe

Gast · 03.05.2005

fenix, 2 resistente virenwächter?...

den hier fixen: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://benserv.de:4080/

fenixguy · 03.05.2005

Original geschrieben von mAiLmAn
fenix, 2 resistente virenwächter?...

den hier fixen: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://benserv.de:4080/

den kaspersky hattich nur einma kurz drauf (wie von reddy geraten) um nen scan zu machen, is schon wieder runter
und wieso das fixen? das is gewollt

den IE benutz ich wirklich _nur_, um diese seite zu "besurfen", ansonsten firefox.
ansonsten nix zu sehn? war ja klar.. -.- klasse, windows neuinstallation, ich komme -.-

Gast · 03.05.2005

gewollt? upsi... gibt bei mir ne 404.

fenixguy · 03.05.2005

Original geschrieben von mAiLmAn
gewollt? upsi... gibt bei mir ne 404.

natürlich gibs bei dir nur nen 404er

das is die weboberfläche des donkeys der auf meinem linux servers hier läuft, accessable aber nur von im dhcp eingetragenen IPs

edit: LOOOOOOL WARTE!!....
wieso konnte ich da gerade ein ü schreiben? asdf-.-

ich hab zwar KEINE ahnung wieso, aber nachdem der rechner jetzt wieder 24h unbeaufsichtigt (an) hier rumstand hat sich das problem von allein erledigt.... ich raff gar nix mehr... windows >> me :ugly:

btw hier ma nen log vom laptop, einfach nur mal zur sicherheit, damit ich weiß, dass alles sauber is

Logfile of HijackThis v1.99.1
Scan saved at 18:25:58, on 03.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Antivirus-Profi-Paket\AVKService.exe
C:\Programme\Antivirus-Profi-Paket\AVKWCtl.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\1XConfig.exe
C:\Programme\Miranda IM\miranda32.exe
Y:\Temp\BitTorrent++\BT++.exe
C:\games\Steam\Steam.exe
C:\Programme\Skype\Skype.exe
Y:\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://benserv.de:4080/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{907B4~1\Setup.exe -rebootC:\PROGRA~1\INSTAL~1\{907B4~1\reboot.ini -l0x7
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "c:\games\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [MPlayer2_FixUp] C:\WINDOWS\inf\unregmp2.exe /Fixups
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1100469222945
O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\Antivirus-Profi-Paket\AVKService.exe
O23 - Service: Antivirus Wächter (AVKWCtl) - Unknown owner - C:\Programme\Antivirus-Profi-Paket\AVKWCtl.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe

bog · 03.05.2005

toeten:

O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{907B4~1\Setup.exe -rebootC:\PROGRA~1\INSTAL~1\{907B4~1\reboot.ini -l0x7

O4 - HKCU\..\RunOnce: [MPlayer2_FixUp] C:\WINDOWS\inf\unregmp2.exe /Fixups

O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll
(wenn du es nicht kennst, kommt mir stark unbekannt vor)

fenixguy · 03.05.2005

Original geschrieben von bog
toeten:

O4 - HKLM\..\RunOnce: [InstallShieldSetup] C:\PROGRA~1\INSTAL~1\{907B4~1\Setup.exe -rebootC:\PROGRA~1\INSTAL~1\{907B4~1\reboot.ini -l0x7

O4 - HKCU\..\RunOnce: [MPlayer2_FixUp] C:\WINDOWS\inf\unregmp2.exe /Fixups

O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll
(wenn du es nicht kennst, kommt mir stark unbekannt vor)

oh das 3. hattich gar nich gesehn
die andren beiden dachtich mir auch, totmachn ^^
hab ma alle 3 gekillt

KnowYourEnemy · 18.05.2005

is da alles i.o. ?
paar sachen kommen mir komisch vor
zB was sind diese wmc sachen und dieses weboffer?

Logfile of HijackThis v1.99.1
Scan saved at 21:26:12, on 18.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - D:\WINDOWS\localNRD.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - D:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunServices: [microsoft-software] ybgi.exe
O4 - HKLM\..\RunOnce: [WMC_0] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\drmstor.dll"
O4 - HKLM\..\RunOnce: [WMC_1] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\drmclien.dll"
O4 - HKLM\..\RunOnce: [WMC_2] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\drmv2clt.dll"
O4 - HKLM\..\RunOnce: [WMC_3] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\blackbox.dll"
O4 - HKLM\..\RunOnce: [WMC_4] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\msnetobj.dll"
O4 - HKLM\..\RunOnce: [WMC_5] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\wmnetmgr.dll"
O4 - HKLM\..\RunOnce: [WMC_6] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\wmadmod.dll"
O4 - HKLM\..\RunOnce: [WMC_7] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\wmsdmod.dll"
O4 - HKLM\..\RunOnce: [WMC_8] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\mp4sdmod.dll"
O4 - HKLM\..\RunOnce: [WMC_9] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\mp43dmod.dll"
O4 - HKLM\..\RunOnce: [WMC_10] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\wmvdmod.dll"
O4 - HKLM\..\RunOnce: [WMC_11] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\mpg4dmod.dll"
O4 - HKLM\..\RunOnce: [WMC_12] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\wmspdmod.dll"
O4 - HKLM\..\RunOnce: [WMC_13] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\laprxy.dll"
O4 - HKLM\..\RunOnce: [WMC_14] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\wmadmoe.dll"
O4 - HKLM\..\RunOnce: [WMC_15] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\wmsdmoe2.dll"
O4 - HKLM\..\RunOnce: [WMC_16] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\wmspdmoe.dll"
O4 - HKLM\..\RunOnce: [WMC_17] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\wmvdmoe2.dll"
O4 - HKLM\..\RunOnce: [WMC_18] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\qasf.dll"
O4 - HKLM\..\RunOnce: [WMC_19] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\wmvcore.dll"
O4 - HKLM\..\RunOnce: [WMC_20] "D:\WINDOWS\System32\logagent.exe" /RegServer
O4 - HKLM\..\RunOnce: [WMC_21] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\l3codeca.acm"
O4 - HKCU\..\RunServices: [microsoft-software] ybgi.exe
O4 - HKCU\..\RunOnce: [MPlayer2_FixUp] D:\WINDOWS\inf\unregmp2.exe /Fixups
O4 - HKCU\..\RunOnce: [Web Offer] D:\WINDOWS\System32\ezPopStub.exe /UninstPOP2 D:\Programme\Web Offer
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: concept/design's onlineTV - {771E9FAA-4062-41C9-B3C9-8F46F7DFAC85} - D:\Programme\onlineTV\onlineTV.exe (file missing)
O16 - DPF: {2AEEAC34-FD74-4142-B891-4B05C0C03C87} - http://akamai.downloadv3.com/binaries/DialHTML/EGCOMSERVICE_1048_pack_XP.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1116443703718
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E70BE43-E1E7-4157-8050-72E04A2AAFA5}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - D:\Programme\HHVcdV5Sys\VC5SecS.exe

bog · 18.05.2005

toeten:

auf jeden fall:
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - D:\WINDOWS\localNRD.dll

wenn du die eintraege nicht kennst/identifizieren kannst:
O4 - HKLM\..\RunServices: [microsoft-software] ybgi.exe

das scheinen zum grossteil irgendwelche verwaisten codeceintraegsregistrationen zu sein, keine ahnung weshalb das noch im runonce liegt.. fixen:
O4 - HKLM\..\RunOnce: [WMC_0] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\drmstor.dll"
O4 - HKLM\..\RunOnce: [WMC_1] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\drmclien.dll"
O4 - HKLM\..\RunOnce: [WMC_2] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\drmv2clt.dll"
O4 - HKLM\..\RunOnce: [WMC_3] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\blackbox.dll"
O4 - HKLM\..\RunOnce: [WMC_4] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\msnetobj.dll"
O4 - HKLM\..\RunOnce: [WMC_5] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\wmnetmgr.dll"
O4 - HKLM\..\RunOnce: [WMC_6] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\wmadmod.dll"
O4 - HKLM\..\RunOnce: [WMC_7] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\wmsdmod.dll"
O4 - HKLM\..\RunOnce: [WMC_8] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\mp4sdmod.dll"
O4 - HKLM\..\RunOnce: [WMC_9] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\mp43dmod.dll"
O4 - HKLM\..\RunOnce: [WMC_10] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\wmvdmod.dll"
O4 - HKLM\..\RunOnce: [WMC_11] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\mpg4dmod.dll"
O4 - HKLM\..\RunOnce: [WMC_12] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\wmspdmod.dll"
O4 - HKLM\..\RunOnce: [WMC_13] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\laprxy.dll"
O4 - HKLM\..\RunOnce: [WMC_14] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\wmadmoe.dll"
O4 - HKLM\..\RunOnce: [WMC_15] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\wmsdmoe2.dll"
O4 - HKLM\..\RunOnce: [WMC_16] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\wmspdmoe.dll"
O4 - HKLM\..\RunOnce: [WMC_17] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\wmvdmoe2.dll"
O4 - HKLM\..\RunOnce: [WMC_18] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\qasf.dll"
O4 - HKLM\..\RunOnce: [WMC_19] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\wmvcore.dll"
O4 - HKLM\..\RunOnce: [WMC_20] "D:\WINDOWS\System32\logagent.exe" /RegServer
O4 - HKLM\..\RunOnce: [WMC_21] D:\WINDOWS\System32\regsvr32.exe /s "D:\WINDOWS\System32\l3codeca.acm"

weiterhin wenn unbekannt:
O4 - HKCU\..\RunServices: [microsoft-software] ybgi.exe
O4 - HKCU\..\RunOnce: [MPlayer2_FixUp] D:\WINDOWS\inf\unregmp2.exe /Fixups

gemein:
O4 - HKCU\..\RunOnce: [Web Offer] D:\WINDOWS\System32\ezPopStub.exe /UninstPOP2 D:\Programme\Web Offer

kann weg da verwaist:
O9 - Extra button: concept/design's onlineTV - {771E9FAA-4062-41C9-B3C9-8F46F7DFAC85} - D:\Programme\onlineTV\onlineTV.exe (file missing)

TOETEN:
O16 - DPF: {2AEEAC34-FD74-4142-B891-4B05C0C03C87} - http://akamai.downloadv3.com/binari...048_pack_XP.cab

so. als naechstes
- ziehst du dir einen virenwaechter, meinetwegen freeav(.de), kaspersky oder etwas vergleichbares.
- installierst du das windows xp service pack 2. (265mb)
- ziehst du dir alle verfuegbaren updates von www.windowsupdate.com.

wenn du damit durch bist schadet sicher auch ein blick in den stickythread nicht. da stehen haufenweise geschichten drin die deine arme kiste ein bisschen rehabilitieren werden. hf.

KnowYourEnemy · 18.05.2005

kk ich werds in angriff nehmen
obwohl die kiste an sich echt gut läuft und ich keine probleme habe
aber kA

[For]Hood2 · 18.05.2005

VOR der installation von SP2 UNBEDINGT Adaware downloaden, UPDATEN und einen full system scan machen!

http://www.lavasoftusa.com/software/adaware/

KnowYourEnemy · 18.05.2005

danke für den tip
hab ich aber drauf und ich mach ständig die scans
ok full system scan evtl. net

edit:
ok ich hatte net 1.05 drauf sondern 6.181 personal mit letztem update file vom 26.10
ich wunderte mich schon wieso der den net mehr upgradet T_T

Hilfe bei Schädlingsbefall -ARCHIV-

[For]Hood2

Guest

Gast

Guest

Gast

Guest

Fuser

Guest

[For]Hood2

Guest

[For]Hood2

Guest

Fuser

Guest

[For]Hood2

Guest

[For]Hood2

Guest

[For]Hood2

Guest

[For]Hood2

Guest

[For]Hood2

Guest

[For]Hood2

Guest

FiStOfTeRRoR

Guest

Gast

Guest

[For]Hood2

Guest

FiStOfTeRRoR

Guest

Gast

Guest

Gast

Guest

[For]Hood2

Guest