Hallo zusammen !

Ich werde diese Tubby Toolbar einfach nicht los. Adaware und Spy-Sweeper werden der Problematik nicht Herr.

Habe mal ein HijackThis Log erstellt, vielleicht findet ja jemand den Haken.

Logfile of HijackThis v1.98.2
Scan saved at 10:43:02, on 08.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\csrss.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\System32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\Explorer.EXE
C:\WINXP\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINXP\wanmpsvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\LAVASOFT\AD-AWA~2\Ad-Watch.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Backupdaten\download\Installdateien\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-544243544243} - C:\WINXP\System32\TBC.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-544243544243} - C:\WINXP\System32\TBC.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINXP\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\LAVASOFT\AD-AWA~2\Ad-Watch.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [himengs] C:\WINXP\System32\himengs.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [Steam] "d:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: Don't Forget.lnk = C:\Programme\DontForget\DontForget.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Office\Office\OSA9.EXE
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: http://*.neveron.com
O16 - DPF: {11111111-1111-1111-1111-111111113457} -file://c:\explorer.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E553C57-F3F8-4168-97FB-C064FA823961}: NameServer = 217.237.151.33 217.237.149.225

Hi Tiandor:
Folgende mit HJT im abgesicherten Modus fixen (bei den Punkten, die ich Dir sage, im HJT ein Häkchen machen und unten auf "fix checked" clicken")
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-544243544243} - C:\WINXP\System32\TBC.dll
O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-544243544243} - C:\WINXP\System32\TBC.dll
O16 - DPF: {11111111-1111-1111-1111-111111113457} -file://c:\explorer.cab

Wenn du dies nicht kennst, ebenfalls fixen:
O15 - Trusted Zone: http://*.neveron.com

Das folgende bei Jotti online scannen:
C:\WINXP\System32\himengs.exe

Kennst du das:
O4 - Startup: Don't Forget.lnk = C:\Programme\DontForget\DontForget.exe
bitte berichte über das Ergebnis von Jotti, antworte auf die Fragen und schicke ein neues HJTLogfile
Frage:
Warum ist dein System nicht gepatcht?
cacatoa

Wenn du dies nicht kennst, ebenfalls fixen:
O15 - Trusted Zone: http://*.neveron.com
Kenn ich - ist ok so

Das folgende bei Jotti online scannen:
C:\WINXP\System32\himengs.exe

Finde die Datei am angegebenen Ort nicht um sie upzuloaden
Suche nach der Datei blieb erfolglos


Kennst du das:
O4 - Startup: Don't Forget.lnk = C:\Programme\DontForget\DontForget.exe

Kenn ich - Ist nen Terminkalender

bitte berichte über das Ergebnis von Jotti, antworte auf die Fragen und schicke ein neues HJTLogfile

Frage:
Warum ist dein System nicht gepatcht?
Fehlt meines Erachtens "nur" SP2. Bitte nicht schlagen, aber "hab gehört", daß es nicht zwingend notwendig ist wenn man eine eigene FW hat. Hab auch nur ISDN/ call by call und bisher keine Lust gehabt 108 MB zu downloaden. Lasse mich aber gern über die Notwendigkeit belehren.

Neues HJT-log folgt gleich.

Zitat:

Zitat von cacatoa

Hi Tiandor:
Folgende mit HJT im abgesicherten Modus fixen (bei den Punkten, die ich Dir sage, im HJT ein Häkchen machen und unten auf "fix checked" clicken")
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-544243544243} - C:\WINXP\System32\TBC.dll
O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-544243544243} - C:\WINXP\System32\TBC.dll
O16 - DPF: {11111111-1111-1111-1111-111111113457} -file://c:\explorer.cab

Bitte nicht vergessen, die Dateien
C:\WINXP\System32\TBC.dll und c:\explorer.cab auch noch zu löschen und nicht nur die Einträge zu fixen...

Zum SP2:
Das SP2 ist viel mehr, als 'nur' eine Veränderung der Firewall. So wurden auch einige (etliche?) Fehler gefixt. Außerdem werden zukünftige Patches wohl (teilweise) das SP2 erfordern.
Das Du keine Lust hast, dass SP2 über eine ISDN-Leitung zu laden, kann ich gut verstehen. Schau Dich mal in div. PC-Zeitschriften um. Vielleicht hast Du Glück und erwischt noch eine, wo es auf der CD dabei ist. Imho waren es meist die Oktober-Ausgaben. Evtl. hat auch ein Freund/Bekannter das SP2 schon heruntergeladen und kann es Dir brennen. Zuletzt bliebe noch der Microsoft-Support. Die verschicken das SP2 auch als CD...

Linke Maustaste Arbeitsplatz, Extras, Ordneroptionen, Ansicht, hier Häkchen machen bei "alle Dateien und Ordner anzeigen" und Häkchen wegmachen bei "geschützte Systemdateien ausblenden". Dann die Datei nochmals suchen und bei Jotti scannen.
Es fehlen alle Sicherheitsupdates für den IE (wenn Du ihn denn schon nutzt). Die Firewall von SP 2 mußt du ja nicht aktivieren. Aber mit dem SP2 hast Du viele Sicherheitslöcher gestopft, Die bei dir offen sind für vieles. Über Sinn und Unsinn von Firewalls informierst Du dich im Link.
SP 2 gibt´s auch auf Diskette.
Lade dir wenigstens die Sicherheitsupdates runter.
cacatoa

@ Lutz
Danke, hab ich schlichtweg vergessen...

Zitat:

Zitat von cacatoa

@ Lutz
Danke, hab ich schlichtweg vergessen...

Macht ja nix. Das geht in der Hektik schon mal unter...

Die Datei Himengs.Exe lässt sich immer noch nicht finden

Nachdem ich mit HJT die Einträge gefixt hatte und die entsprechenden Dateien gelöscht hatte meldete sich eben auch Norton AV. Die Datei tmpf02.exe wurde gefunden (Download.Trojaner) und gelöscht. Trotzdem tauchte nach der Meldung die Tubby Toolbar wieder auf.

Bitte stell nochmal ein neues Logfile rein.
Hast Du im abgesicherten Modus bei deaktivierter Systemwiederherstellung gefixt?

Zitat:

Zitat von Tiandor

...meldete sich eben auch Norton AV. Die Datei tmpf02.exe wurde gefunden (Download.Trojaner) und gelöscht.

Wo -lt. Log-Datei von N AV- wurde die Datei gefunden?