Hallo an alle,

ich habe schon viel über oben genanntes Problem gelesen, aber leider noch keine Lösung gefunden. Registrierungseinträge sind alle ok., im msconfig taucht der mediaplayer auch nicht auf, genausowenig wie im autostart, keine automatischen updates, gar nichts ! Ich werd einfach nicht mehr schlau daraus. Die Virenscaner haben auch alle nichts gefunden.

Nun poste ich hier mal meinen Log, vielleicht hat ja jemand noch eine Idee.

Logfile of HijackThis v1.97.7
Scan saved at 10:16:33, on 18.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Apache Group\Apache\Apache.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Apache Group\Apache\Apache.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\explorer.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Company\Quick Start Button\QSB.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Kleine\Eigene Dateien\Downloads\hijackthis\hijackthis1977\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.10:3128
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F0 - system.ini: Shell=explorer.exe C:\WINDOWS\System32\lsasrv.exe
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\lsasrv.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [lsass] C:\WINDOWS\System32\lsasrv.exe
O4 - HKCU\..\Run: [QSB] C:\Programme\Company\Quick Start Button\QSB.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
O16 - DPF: {7589EEE6-E336-11D4-8A7E-EE1D971D9B47} (AcontiX Control) - http://secure.aconti.net/acontix/goodthinxx.cab
O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} - http://content.netvenda.com/sites/games-intl/de/games4.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37940.1523148148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab

soviel ich weiss heisst der wurm W32/Agobot-BM, aber alles was zur Beseitigung darüber zu lesen ist, habe ich gemacht, jedenfalls taucht in der registry nix darüber auf, so wie es eigentlich sein sollte. schnief.

vielen dank fürs lesen
Katja

neues log mit hjt 1.99.1 machen deine Version ist 1.97.7 (als Hinweis)
vermute (EDIT sry) lsasrv.exe (aka W32/MyDoom)
mehr gibts mit neuem Log ... vielleicht bereitest du dich auch schonmal auf einen eScan vor.
Anleitung beachten!

mfg

Hallo net,

vielen Dank für die schnelle Antwort. Habe nun hier den log mit der aktuellen version von hijack:

Logfile of HijackThis v1.99.1
Scan saved at 18:06:59, on 18.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Apache Group\Apache\Apache.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Apache Group\Apache\Apache.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\explorer.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Company\Quick Start Button\QSB.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Kleine\Eigene Dateien\Downloads\hijackthis\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.10:3128
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\lsasrv.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [lsass] C:\WINDOWS\System32\lsasrv.exe
O4 - HKCU\..\Run: [QSB] C:\Programme\Company\Quick Start Button\QSB.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
O16 - DPF: {7589EEE6-E336-11D4-8A7E-EE1D971D9B47} (AcontiX Control) - http://secure.aconti.net/acontix/goodthinxx.cab
O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} - http://content.netvenda.com/sites/games-intl/de/games4.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache - Unknown owner - C:\Programme\Apache Group\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Ich hoffe du hast recht mit deiner vermutung ;-)

LG katja

Edit: völlig vergessen ... Sry, hat ein wenig länger gedauert mit der Antwort ... hatte noch Arbeit

Zitat:

keine automatischen updates, gar nichts ! Ich werd einfach nicht mehr schlau daraus. Die Virenscaner haben auch alle nichts gefunden.

was heisst den, die Virenscanner haben auch "alle" nicht gefunden? Welche (wie viele) hast du den probiert? Möchte ja ungern etwas fixen was gar nicht da ist und was soll das mit den "keine automatischen updates" ? (mal die c:\windows\system 32\drivers\ hosts-Datei überprüft ?)

Zitat:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.1.10:3128

ist der Proxy-Eintrag gewollt (nutzt du/ihr einen Proxy/Gateway wie z.B. Squid, etc. ?) ansonsten fixen

Zitat:

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\lsasrv.exe

O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)

O4 - HKLM\..\Run: [lsass] C:\WINDOWS\System32\lsasrv.exe

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocach...etup1.0.0.6.cab
O16 - DPF: {7589EEE6-E336-11D4-8A7E-EE1D971D9B47} (AcontiX Control) - http://secure.aconti.net/acontix/goodthinxx.cab
O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} - http://content.netvenda.com/sites/g...l/de/games4.cab

a) hätte eigenlich ganz gerne, dass du zuerst die lsasrv.exe (C:\WINDOWS\System32\lsasrv.exe) bei jotti prüfen lässt ... befürchte aber, dass das System den Zugriff verweigern könnte, ... prüfe mal vorher im Taskmanager (Strg+Alt+Enf) Prozesse ob lsasrv dort aktiv ist ... falls möglich beende den Task ... falls das mit dem Scan nichts wird, mach ohne Scan weiter

b) Oberen Link zum Escan nutzen downloaden und Anleitung beachten (entzippen nach bases, updaten, etc)
c) McAfee-Stinger direkter download könnte "vielleicht" hilfreich sein (aber auch nur im abgesicherten Modus nutzen)
d) deaktiviere die Systemwiederherstellung: Start/systemsteuerung/System/Systemwiederherstellung/Systemwiederherstellung deaktivieren (Systemwiederherstellungspunkte gehen dabei verloren, man sollte also möglichst auf eine andere Sicherung zugreifen können)
e) Start/Ausführen: regedit (Datei/Exportieren/Alles speichern under C:\ z.B. als regsicherung.reg)

f) Boote dann in den abgesicherten Modus (F8)
g) Systemdateien / Datei-Erweiterungen anzeigen lassen durch folgende Einstellungen : Windows Explorer -> Reiter: "Extras/Ordneroptionen" -> Reiter: "Ansicht" -> Haken entfernen bei "Erweiterungen bei bekannten Dateitypen ausblenden" u. "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren ...... ok klicken und für alle Ordner übernehmen
h) Dann mit Hijack This (Häkchen setzen und auf Fix Checked klicken) die oben genannten Eintrage fixen und zusätzlich die Datei lsasrv.exe (unter C:\WINDOWS\System32\) von Hand löschen oder umbenennen (z.B. in lsasrv.exe.old)
i) scan mit Stinger dein System
j) Scan mit eScan dein System (wie im oberen Link/Anleitung beschrieben) anschliessend "
Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

(i und j können je nach Menge der Daten, die auf deinem System sind sehr lange dauern .... sry)

reboot in normalen Modus

neues hjt und das Ergebniss des eScan

wichtigste wieder vergessen damit das alles nicht umsonst ist, solltest du dir das Service Pack 2 (SP2) für Windows XP herunterladen zzgl. danach erschienener Sicherheitsupdates ... und vielleicht denkst du auch schon mal über einen alternativen Browser, ein alternatives Emailprogramm (bzw. die Absicherung von Outlook/Outlook-Express nach) ... ein besserer Virenscanner wäre auch nicht verkehrt ... ist aber alles eher abhängig davon wie leichtsinnig man vorgeht ... also kein muss sondern ein kann

mfg

Hallo Net,

supiiiiiiiiiii habe deine einträge mit hijack gefixt und kein mediaplayer hat sich mehr geöffnet..juchuuuh..vielen vielen dank für deine super professionelle anleitung. aber nu folgendes :

will ich im internetexplorer unter extras-optionen sagt er mir was von:
dieser vorgang wurde aufgrund von einschränkungen abgebrochen, die für ihren computer gelten. bitte wenden sie sich an den systemadministrator.

ähm..ich hoffe nix schlimmes ?

was meinst du ausserdem mit:
mal die c:\windows\system 32\drivers\ hosts-Datei überprüft ?) ???


LG Katja

Hallo Katja321
a) hast du bereits versucht windows-up(-zu-)date(-n) ---> SP2 ???
b) wurde von eScan etwas gemeldet ?
c) arbeitest du unter einem eingeschränkten Konto oder mit Administrator Rechten (bezieht sich auf deine "neue" Frage)
d) unter dem Pfad (Sry) C:\WINDOWS\system32\drivers\etc\ solltest du eine Datei "hosts" finden ... öffne die mal mit Notepad (öffnen mit) da solltest du eigentlich nur einen Eintrag: 127.0.0.1 localhost finden ... ansonsten poste bitte den Inhalt, die Ergebnisse des eScan und ein neues hjt

mfg

Hallo net,

a) hast du bereits versucht windows-up(-zu-)date(-n) ---> SP2 ???
... den SP2 hatte ich bereits vor dem wurm upgedatet
b) wurde von eScan etwas gemeldet ?
...den escan habe ich nicht durchgeführt
c) arbeitest du unter einem eingeschränkten Konto oder mit Administrator Rechten (bezieht sich auf deine "neue" Frage)
.... habe administratorrechte
d) unter dem Pfad (Sry) C:\WINDOWS\system32\drivers\etc\ solltest du eine Datei "hosts" finden ... öffne die mal mit Notepad (öffnen mit) da solltest du eigentlich nur einen Eintrag: 127.0.0.1 localhost finden ... ansonsten poste bitte den Inhalt, die Ergebnisse des eScan und ein neues hjt
... steht folgendes drin:

## Copyright (c) 1993-2001 Microsoft Corp.
#
# This file has been automatically generated for use by Microsoft Internet
# Connection Sharing. It contains the mappings of IP addresses to host names
# for the home network. Please do not make changes to the HOSTS.ICS file.
# Any changes may result in a loss of connectivity between machines on the
# local network.

hier noch mein neuer log:
Logfile of HijackThis v1.99.1
Scan saved at 16:13:33, on 19.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Apache Group\Apache\Apache.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Apache Group\Apache\Apache.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Company\Quick Start Button\QSB.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Kleine\Eigene Dateien\Downloads\hijackthis\hijackthis_neu\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.10:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [QSB] C:\Programme\Company\Quick Start Button\QSB.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1108821570692
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache - Unknown owner - C:\Programme\Apache Group\Apache\Apache.exe" --ntservice (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
mfg Katja

- also den Kopf von der hosts Datei meinte ich eigentlich nicht egal ... fehlt der Eintrag 127.0.0.1 localhost oder hast du den nur weggelassen?
- gibt es eine besonderen Grund dafür, dass du den eScan nicht gemacht hast??? Wie soll man wissen, ob da nicht doch noch was war/ist? Hattest du die Datei (lsasrv.exe) vorher bei jotti gescannt ... falls nein, warum nicht?
- von dem SP2 update sehe ich nichts im hjt-header:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
... hattest du vorher mal die Systemwiederherstellung genutzt?
Sicherheitscenter unter Systemsteuerung vorhanden ... was sagt Windows-Update, wenn du http://windowsupdate.microsoft.com/ aufrufst

hallo net,

ok stimmt. machen den sp2 wieder drauf.
mit dem scan hab ihc mich nicht getraut..bin doch nur ein computerlaie.
beim windowsupdate schmeisst er mir folgendes raus:

Sicherheitsupdate für Windows XP (KB841356)
Sicherheitsupdate für Windows XP (KB891711)
Sicherheitsupdate für Windows XP (KB871250)
Sicherheitsupdate für Windows XP (KB833987)
Sicherheitsupdate für Windows XP (KB885835)
Sicherheitsupdate für Windows XP (KB888302)
Sicherheitsupdate für Windows XP (KB890047)
Sicherheitsupdate für Windows Media Player 9-Reihe (KB885492)
Sicherheitsupdate für Windows XP (KB885250)
Windows-Tool zum Entfernen bösartiger Software - FEB 2005 (KB890830)
Sicherheitsupdate für Windows XP (KB873333)
Sicherheitsupdate für Windos XP (KB890175)
Sicherheitsupdate für Windows XP (KB873339)
Sicherheitsupdate für Windows XP (KB885836)
Microsoft GDI+-Erkennungsprogramm (KB873374)


---sind die alle wichtig ???????

fehlt der Eintrag 127.0.0.1 localhost oder hast du den nur weggelassen?
---dieser eintrag fehlt !

Zitat:

Zitat von Katja321

mit dem scan hab ihc mich nicht getraut..bin doch nur ein computerlaie.

die Beispielanleitungen vom TB sind doch wohl gut verständlich ... Sry, auch wenn sich das jetzt hart anhört, aber da habe ich kein Verständnis für. Naja, du must wissen was du tust. So jedenfalls kann dir keiner weiterhelfen.

Zitat:

---sind die alle wichtig ???????

ja, als Grundschutz schon

Zitat:

fehlt der Eintrag 127.0.0.1 localhost oder hast du den nur weggelassen?
---dieser eintrag fehlt !

dann trage ihn dort mal ein. Wichtig ist dabei nur das mindestens eine Leerstelle zwischen dem 127.0.0.1 und localhost ist. Öffnen mit dem Editor, eintragen und Speichern drücken (nicht speichern unter sonst wird es wohlmöglich eine txt)

vielen dank auf jeden fall für deine super hilfe.
immerhin funzt jetzt alles wieder. das problem mit dem iexplorer habe ich auch hinbekommen :-)

für was ist der eintrag mit dem localhorst denn überhaupt ?

LG

Zitat:

Zitat von Katja321

vielen dank auf jeden fall für deine super hilfe.

por nada

Zitat:

immerhin funzt jetzt alles wieder.

die Frage ist wie lange

Zitat:

das problem mit dem iexplorer habe ich auch hinbekommen :-)

wäre nett, wenn du noch kurz erklärst, wie du du das Problem in den Griff bekommen hast ... hilft vielleicht nochmal jemand anderem

Zitat:

für was ist der eintrag mit dem localhorst denn überhaupt ?

das sollte jemand mit einem WAMP wissen

wünsche noch ein schönes Wochenende

Gruss
net

fehlermeldung "dieser vorgang wurde aufgrund von einschränkungen abgebrochen, die für ihren computer gelten. bitte wenden sie sich an den systemadministrator." kann man folgendermassen beheben:

Unter
HKEY_CURRENT_USER\ Software\Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer

und/oder

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
löschen Sie den Eintrag NoFolderOptions.

Unter
HKEY_CURRENT_USER\ Software\ Policies\ Microsoft \Internet Explorer\ Restrictions

bzw.

HKEY_LOCAL_MACHINE\ Software\ Policies\ Microsoft \Internet Explorer\ Restrictions

löschen Sie den Eintrag NoBrowserOptions.


--------------
lieber net,
vielen dank für dein aufmunterndes zuwinkern, das das problem behoben scheint.

mfg katja