180AX.exe

Jeronimo · 04.12.2004, 12:58

Hallo zusammen,

ich benötige dringend detailierte Hilfe. Ich habe seit ein paar Tagen diverse Probleme. Meine Firewall meldet dauernd Zugriffversuche von EXE-DATEIEN
(Rundll32, byykzo,180ax, inetfuel, wrapperouter, tetap, usw.) Außerdem haben sich auch Sowtware wie Bulls Eye Network, Cashback und Top Conventing unter C:Programme breit gemacht. Des Weiteren springt nach dem PC Start auch immer gleich die DFÜ Verbindung auf obwohl ich noch gar nicht mit dem Net verbunden werden möchte. Mit dem Programm Spybot habe ich schon einiges entfernen können und mit Registry Wizard habe ich die 180AX Software deinstaliert, welche sich beim Neustart aber immer wieder instaliert. Nun habe ich mir das HijackThis geladen (wurde hier empfohlen). Dort sind aber so viele Hinweise aufgelistet mit denen ich gar nichts anfangen kann bzw. unsicher geworden bin was ich löschen soll.
Kann mir hier jemand bitte weiterhelfen (wenns geht unmissverständlich, da nur gemeiner user

) Anbei die Logdatei von Hijackthis:

Passat2002 · 04.12.2004, 16:33

hi
bitte poste das logfile wie alle anderen auch!
ich lade mir nichts auf meinen rechner

Jeronimo · 04.12.2004, 18:28

Zitat:

Zitat von Passat2002

hi
bitte poste das logfile wie alle anderen auch!
ich lade mir nichts auf meinen rechner

Hallo Passat2002,

alles klar, kann ich verstehen und hoffe das du mir nun helfen kannst.

Gruß
Jeronimo

Logfile of HijackThis v1.98.2
Scan saved at 12:22:00, on 04.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\HPZTSB01.EXE
C:\PROGRAMME\TDSLSM\SPEEDMGR.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\TWINK64.EXE
C:\PROGRAMME\BABYLON\BABYLON.EXE
C:\WINDOWS\ANWENDUNGSDATEN\ACUO.EXE
C:\WINDOWS\SYSTEM\BYYKZO.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\MICROSOFT NACHSCHLAGEWERKE\LEXIROM 3.0\QS97D.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\BABYLON\utils\shlhook.exe
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE
C:\PROGRAMME\WINRAR\WINRAR.EXE
C:\TEMP\RAR$EX00.952\HIJACKTHIS.EXE
C:\WINDOWS\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Wiedemann-Co Projekt
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] C:\PROGRAMME\TDSLSM\SPEEDMGR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [tetap] C:\WINDOWS\tetap.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Babylon Translator] C:\PROGRAMME\BABYLON\babylon.exe
O4 - HKCU\..\Run: [Pter] C:\WINDOWS\Anwendungsdaten\acuo.exe
O4 - HKCU\..\Run: [Tnabxu] C:\WINDOWS\SYSTEM\byykzo.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: AOL5.0 Tray Icon.lnk = C:\AOL5.0\aoltray.exe
O4 - Startup: QuickShelf Deutsch 3.0.lnk = C:\Programme\Microsoft Nachschlagewerke\LexiROM 3.0\QS97D.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0819.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0819.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .aif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .bat: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .tif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.wiedemann-co-projekt.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.slotchbar.com
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...43/yacscom.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/pote_x.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/game.../y/mjst3_x.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/game.../y/fltt0_x.cab
O16 - DPF: Yahoo! MahJong - http://download.games.yahoo.com/game...ts/y/ot0_x.cab
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/game...s/y/blt1_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/game...s/y/pyt1_x.cab
O16 - DPF: Yahoo! Dots - http://download.games.yahoo.com/game...s/y/dtt0_x.cab
O16 - DPF: Yahoo! Klondike Solitaire - http://yog55.games.scd.yahoo.com/yog/y/ks12_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/game...s/y/dot2_x.cab
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/game...ts/y/ct0_x.cab
O16 - DPF: Yahoo! Gin - http://download.games.yahoo.com/game...ts/y/nt0_x.cab
O16 - DPF: Tornado 21 - http://download.games.yahoo.com/game.../y/t21t0_x.cab
O16 - DPF: Yahoo! Freecell Solitaire - http://yog55.games.scd.yahoo.com/yog/y/fs9_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/game...s/y/ywt0_x.cab
O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/game...s/y/grt4_x.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab

chaosman · 04.12.2004, 18:42

@Jeronimo
lade dir bitte escan
http://www.mwti.net/antivirus/free_utilities.asp

lese die anleitung
http://www.trojaner-board.de/42731-escan-anleitung.html

mache es genauso wie beschrieben wird.

Escan anweisungen löschen
"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre). Systemwiederherstellung aktivieren, in den normalen Modus booten.

poste danach ein neues HJT logfile
ein escan dauert 1 stunde mindestens
chaosman

Jeronimo · 05.12.2004, 14:06

Hallo Chaosman,

habe nun alles entsprechend deinen Anweisungen durchgeführt und habe auch schon nicht mehr den Dfü-Verbindungs pop up nach dem boot und das System scheint mir auch wieder mit normaler Geschwindigkeit zu arbeiten.
Trotzdem verstehe ich nicht warum ich nach dem eScan 39 total viruses und 42 total errors hatte und bei der Suche über das logfile nur 3 infected files aufgeführt wurden und davon wiederum nur 2 Stück über die Windows Suche
finden/löschen konnte. (nr.3 sollte unter Downloaded Program Files sein und heißt loader2.ocx). Außerdem finde ich immer noch den 180 ax unter Windows. Das neue HJT logfile nach den eScan sende ich gleich noch separat, weil ich mehr als die erlaubten 10000 Zeichen habe.

Im voraus schon mal vielen Dank für die Unterstützung.
Gruß
Jeronimo

Jeronimo · 05.12.2004, 14:08

Hier das HJT logfile nach dem eScan:
Logfile of HijackThis v1.98.2
Scan saved at 12:07:24, on 05.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\HPZTSB01.EXE
C:\PROGRAMME\TDSLSM\SPEEDMGR.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\BABYLON\BABYLON.EXE
C:\WINDOWS\ANWENDUNGSDATEN\ACUO.EXE
C:\WINDOWS\SYSTEM\BYYKZO.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\MICROSOFT NACHSCHLAGEWERKE\LEXIROM 3.0\QS97D.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\BABYLON\utils\shlhook.exe
C:\PROGRAMME\WINRAR\WINRAR.EXE
C:\TEMP\RAR$EX00.558\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Wiedemann-Co Projekt
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] C:\PROGRAMME\TDSLSM\SPEEDMGR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Babylon Translator] C:\PROGRAMME\BABYLON\babylon.exe
O4 - HKCU\..\Run: [Pter] C:\WINDOWS\Anwendungsdaten\acuo.exe
O4 - HKCU\..\Run: [Tnabxu] C:\WINDOWS\SYSTEM\byykzo.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: AOL5.0 Tray Icon.lnk = C:\AOL5.0\aoltray.exe
O4 - Startup: QuickShelf Deutsch 3.0.lnk = C:\Programme\Microsoft Nachschlagewerke\LexiROM 3.0\QS97D.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0819.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0819.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .aif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .bat: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .tif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.wiedemann-co-projekt.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.slotchbar.com
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...43/yacscom.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/pote_x.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/game.../y/mjst3_x.cab
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/game.../y/fltt0_x.cab
O16 - DPF: Yahoo! MahJong - http://download.games.yahoo.com/game...ts/y/ot0_x.cab
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/game...s/y/blt1_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/game...s/y/pyt1_x.cab
O16 - DPF: Yahoo! Dots - http://download.games.yahoo.com/game...s/y/dtt0_x.cab
O16 - DPF: Yahoo! Klondike Solitaire - http://yog55.games.scd.yahoo.com/yog/y/ks12_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/game...s/y/dot2_x.cab
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/game...ts/y/ct0_x.cab
O16 - DPF: Yahoo! Gin - http://download.games.yahoo.com/game...ts/y/nt0_x.cab
O16 - DPF: Tornado 21 - http://download.games.yahoo.com/game.../y/t21t0_x.cab
O16 - DPF: Yahoo! Freecell Solitaire - http://yog55.games.scd.yahoo.com/yog/y/fs9_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/game...s/y/ywt0_x.cab
O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/game...s/y/grt4_x.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab

Cidre · 05.12.2004, 14:19

Die Virus Log Information von eScan AntiVirus steht noch aus!

Zitat:

MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Installiere IE 6 SP1 und weitere Sicherheitspatches.
http://www.microsoft.com/downloads/d...displaylang=de

Zitat:

über die Windows Suche
finden/löschen konnte.

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Fixe diese Einträge im abgesicherten Modus (Haken setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.0190-dialer.com/autoload.cfm?5-1-25-83
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Wiedemann-Co Projekt
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKCU\..\Run: [Pter] C:\WINDOWS\Anwendungsdaten\acuo.exe
O4 - HKCU\..\Run: [Tnabxu] C:\WINDOWS\SYSTEM\byykzo.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Alle O15
Alle O16

Lösche diese und die von eScan gefundenen Dateien:
C:\WINDOWS\Anwendungsdaten\acuo.exe
C:\WINDOWS\SYSTEM\byykzo.exe

- neue Startseite vergeben
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HijackThis und die Virus Log Information von eScan posten

180AX.exe

Log-Analyse und Auswertung: 180AX.exe

180AX.exe

180AX.exe

180AX.exe

180AX.exe

180AX.exe

180AX.exe

180AX.exe

Ähnliche Themen: 180AX.exe

04.12.2004, 16:33	#2
Passat2002	180AX.exe hi bitte poste das logfile wie alle anderen auch! ich lade mir nichts auf meinen rechner __________________ __________________