@ Blackswitch

erstelle ein weiteres Hijack This Logfile und poste es.

SD

Hi Shadowdance, hier bitte:

Logfile of HijackThis v1.98.2
Scan saved at 23:52:12, on 08.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\Tools\Java\bin\jusched.exe
C:\Programme\Tools\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe
C:\Programme\Tools\Messenger\ymsgr_tray.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\Office\OFFICE11\OUTLOOK.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Tools\PowerArchiver\POWERARC.EXE
C:\DOKUME~1\Sabine\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.baumwollseil.de/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Tools\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Tools\Messenger\ycomp.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [AdressLittle] C:\PROGRA~1\Office\ADRESS~1.0\ageb.exe /geb
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Tools\Java\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Tools\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Tools\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - Global Startup: HPAiODevice(hp officejet d series) - 2.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet d series\Bin\hpoojd07.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Tools\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Tools\MESSEN~1\YPager.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02e29a43...dxIE601_de.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www2.pc-sicherheit.web.de/ols/fscax.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Lexware\Know-How-Box\HRInstmon.dll

@ Blackswitch,

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com

Überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\NCLAUNCH.EXe

teile uns das Ergebnis der Überprüfung mit.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h**p://a840.g.akamai.net/7/840/537/...all/xscan53.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Lexware\Know-How-Box\HRInstmon.dll

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

Downloade das Programm SpywareBlaster 3.2 und führe es auf dem Rechner aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit jedesmal, bevor Du online gehst, den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen!

Pflichtlektüre:

- Vorbeugende Maßnahmen
- IE sicher konfigurieren und Browser-Sicherheit
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- Entfernung von Schädlingen und Kompromittierung unvermeidbar?
- faq.underflow.de
- Hijacker-Entfernung

SD

Nu', das war wohl 'a pain in the ass' :-((

@ shadowdance; der Kommentar bezieht sich auf meinen PC und das SP2 - nicht auf Deinen Vorschlag - also bitte net persönlich nehmen ;-))

Nachdem das Update über's Internet nach 8 Stunden Laufzeit das PC's gerade mal bei 20% war, habe ich das SP2 von CD installiert.

Nun geht gar nichts mehr, der Startbildschirn bleibt, schaltet nach kurzer Zeit auf 256 Farben um. Mankann die Startmelodie von Windows hören und das "plopp"; ihr wisst schon "neue Updates stehen zum Download bereit". Es tut sich am Bildschirm aber nix, auch mit STRG ALT + ENTF - keine Reaktion. Auch im abgesicherten Modus startet die Kiste nimmer. Hier habe ich dann Längsstreifen am Bildschirm. Wenn ich die "letzte als bekannt Funktionierende Konfiguration" laden will - ebenfalls Fehlanzeige.

Ich bin frustiert und schütt' mich jetzt zu *heuel* ... Was ist nur mit der Kiste los??

Geknickte Grüße
Blackswitch

Ach ja, auch wenn an meinem Rechner nichs mehr geht, bin ich doch mit dem Forum verbunden. Der Bürorechner gegenüber funzt noch einwandfrei, zum Glück ;-) - nur an meine eigenen Daten komm ich gar nicht mehr ran und fühle mich total hilflos. Über eine weitere Hilfestellung von Euch würde ich mich sehr freuen.

Liebe Grüße
Blackswitch

Hallo Blackswitch,

dieser Sachlage stehe ich ebenfalls hilflos gegenüber und weiss nicht weiter. Hattest Du die Datei noch online überprüfen können? Ich antworte Dir, damit Dein Beitrag nicht in Vergessenheit gerät, ich werde die anderen auf Deinen Beitrag aufmerksam machen ... vielleicht kann Dir jemand von uns weiter helfen, ich kann es leider nicht.

Lieben Gruss
Shadowdance

Zitat:

Zitat von Shadowdance

Hattest Du die Datei noch online überprüfen können?

Nein, leider nicht. Das werde ich jetzt nachholen ...

Ich habe die Reparaturinstallation über die Recovery-CD gemacht und nun funktioniert - nach ein paar Treiberupdates und mit einem unwilligen HP-Drucker - alles wieder einigermaßen stabil. Das SP2 hat sich noch gar nicht auf dem Rechner "eingenistet". Und ich bin mir auch net sicher, ob ich's nochmal probieren soll ;o)

Am WE haben wir mal "spaßeshalber" eine andere Netzwerkkarte reingehängt - und siehe da: die alte Internetperformance ist wieder da! Versteh' ich nicht: ich war bisher der Meinung so ein Teil kann kaputt sein - oder funktionieren. Dass es aber möglich ist, die Daten nur noch im Schneckentempo zu transportieren und im Gerätemanager dennoch als "Funktionsbereit" zu stehen, war nicht nur mir neu.

Ich danke Dir und allen allen für Eure Tipps und Hilfeleistungen. Für die Zukunft habe ich einiges dazu gelernt... Und dem Forum möchte ich auf jeden Fall treu bleiben!

Den Online-Test werde ich damnächst durchführen und das Ergebnis mitteilen, vorgestern hat die Seite nicht funktioniert.

Liebe Grüße
Blackswitch