@ Spocky

lass Dir ruhig Zeit .. vor morgen abend tauche ich hier eh nicht wieder auf ...
... ich geh jetzt und begebe mich zur wohlverdienten

SD

Hi Shadowdance,

habe die Zusammenstellung der zwei Scanläufe zusammengestellt. Bekomme aber die Liste hier nicht als Post rein. Habe diese als Textdatei angehängt.

Zur Vervollständigung der Daten über den Systemzustand noch ein aktuelles HJT Logfile

Logfile of HijackThis v1.98.2
Scan saved at 19:00:33, on 02.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\PackethSvc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\Programme\Trust\Ami Mouse Optical\TAMOMOUS.exe
C:\Programme\Pinnacle\Studio PCTV\Remote\Remoterm.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Netpumper\NetPumper\NetPumperIEProxy.exe
C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINNT\NCLAUNCH.EXe
C:\Programme\PrintKey2000\Printkey2000.exe
D:\Neuer Ordner (2)\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
F2 - REG:system.ini: UserInit=
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Ami Mouse Optical] C:\Programme\Trust\Ami Mouse Optical\TAMOMOUS.exe
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\Studio PCTV\Remote\Remoterm.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NetPumper] "C:\Netpumper\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [zSPGuard] c:\programme\pjw\spguard\spguard.exe /s /r
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINNT\NCLAUNCH.EXe
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O8 - Extra context menu item: Download with NetPumper - C:\Netpumper\NetPumper\AddUrl.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} -
O16 - DPF: {FE1A240F-B247-4E06-A600-30E28F5AF3A0} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{9916AE38-4A62-4154-8436-2E5BCF9CB429}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8492B15-E2D2-4D36-B021-909B9F0B153E}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - (no file)
O20 - AppInit_DLLs: C:\WINNT\system32\wdmdm.dll

Ich hoffe, dass Du nun alle Infos hast um nach einer Auswertung mir mitteilen zu können, ob und was ich nun noch machen muss. In dem Zusammenhang (da ich hier darüber was gelesen habe) noch die Frage, was mit den Einträgen

F2 - REG:system.ini: UserInit=
O15 - Trusted Zone: http://*.63.219.181.7

ist. Sind das nicht auch Viren oder Trojaner bzw. durch diese hervorgerufene schädliche Einträge.

Bin mal gespannt.

Gruß

Spocky

Anhang
Logfile eScan

@ Spocky

ich bitte um Geduld. Ich hoffe, dass ich morgen etwas früher ins Netz kommen kann. Heute kann ich hier leider nichts mehr tun, das wird zu spät.

Mit freundlichen Grüßen
Shadowdance

Fixe dies:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} -
O16 - DPF: {FE1A240F-B247-4E06-A600-30E28F5AF3A0} -
O20 - AppInit_DLLs: C:\WINNT\system32\wdmdm.dll


Sende die Datei C:\WINNT\system32\wdmdm.dll zur Überprüfung an partytime-germany.ice@web.de mit Hinweis auf diesen Thread.

Danach lösche die Datei im abg. Modus.

Dein Browser ist übrigens veraltet.
Verwende zum Schutz einen sicheren Browser: www.firefox-browser.de
Kostenlos!