Hallo zusammen,

habe wie im Forum erklärt, mit Hilfe von HijackThis eine LogFile erstellt! Kann mir nun bitte jemand sagen welche Einträge gefixt werden müssen?? Was passiert dann eigentlich wenn ich fixe und dann auf "fix checked" klicke?? Sind dann die schädlichen Dateien (Trojaner..) endgültig weg?? Danke schonmal, hoffe auf baldige Hilfe!!

Hier die LogFile:

Logfile of HijackThis v1.99.0
Scan saved at 09:41:33, on 13.01.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\IOMEGA\DRIVEICONS\IMGICON.EXE
C:\PROGRAMME\SICHERHEIT\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\INTERNETVERBINDUNG\DU METER\DUMETER.EXE
C:\PROGRAMME\T-COM\SINUS 154 DATA II\PRISMSVR.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\ESCAN\AVPMWRAP.EXE
C:\PROGRAMME\ESCAN\MAILDISP.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\PROGRAMME\T-COM\SINUS 154 DATA II\TS154USB.EXE
C:\PROGRAMME\ESCAN\AVPM.EXE
C:\PROGRAMME\ESCAN\SPOOLER.EXE
C:\PROGRAMME\ESCAN\AVPM.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\FILZIP\FILZIP.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet3_88.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\PROGRAMME\CANON\EASY-WEBPRINT\TOOLBAND.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Sicherheit\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [DU Meter] C:\PROGRAMME\INTERNETVERBINDUNG\DU METER\DUMETER.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [eScan Updater] C:\PROGRA~1\ESCAN\TRAYICOS.EXE
O4 - HKLM\..\RunServices: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE /service
O4 - Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'mwnsp.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.downloadintern.de/In...nsAssistent.ocx

Hallo, giu,
da diese Datei:
C:\WINDOWS\RUNDLL32.EXE
garantiert etwas sehr böses enthält, bitte ich Dich sie erst einmal bei Jotti online scannen zu lassen.
Poste das Ergebnis, es besteht aus 10 Zeilen verschiedener Virenscanner.
Erst dann kann man entscheiden was weiter zu machen ist.
Nachdem Du jede Menge Zeugs draufhast, kann es sein, daß Du Dein System neu aufsetzen mußt - vor allem wenn die o.a. Datei das enthält, was ich vermute.
Freunde Dich mit dem Gedanken an.
Aber erst mal das Ergebnis schicken.
cacatoa

@Giu
update spybot
lade dir LSP-Fix hier
dann gehe über systemsteuerung, software, und deinstalliere New.Net oder NewDot.net oder ähnliches.
lasse danach spybot scannen.
wechsle danach in den abgesicherten modus und fixe mit HJT
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet3_88.dll
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'mwnsp.dll' missing
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.downloadintern.de/In...nsAssistent.ocx
danach diese dateien manuell löschen
C:\Programme\QuickSearch\QuickSearchBar3_28.dll
neu booten, neues HJT logfile hier posten
chaosman

@cacatoa
unsere postings haben sie gekreuzt, habe deins zu spät gelesen.
hast natürlich recht
hätte mir anders auch nicht der arbeit gemacht
chaosman

@ chaosman
Da die Datei höchstwahrscheinlich einen Backdoortrojaner enthält, wollte ich erst mal das Jotti Ergebnis sehen; denn jetzt macht er (sie) sich einen Haufen Arbeit, um dann später doch neu aufzusetzen.
cacatoa

Oh je, das klingt ja gar nicht soo toll alles!!?? Jedenfalls erstmal besten Danke schonmal für Eure Hilfe!! Werd mich gleich mal ranmachen und versuchen das alles so gut wie es geht durchzuführen!!(Bin halt echt kein Experte!?) Ergebnis poste ich dann!! Danke schonmal!!

Ps: das mit Rundll32 kann gut sein, ich erhielt nämlich bis vor kurzem nämlich die Fehlermeldung: "Rundll32 hat in KERNEL32.DLL einen Fehler verursacht-Rundll32 wird geschlossen...etc." Diese Fehlermeldung, die ich sofort nach dem Hochfahren erhielt, kommt aber seit gestern Abend nicht mehr!!

Also:
Hier endlich das Ergebnis von Jotti:


Service load: 0% 100%

File: RUNDLL32.EXE
Status: OK
Packers detected: None

AntiVir No viruses found (0.16 seconds taken)
Avast No viruses found (1.54 seconds taken)
BitDefender No viruses found (0.36 seconds taken)
ClamAV No viruses found (0.39 seconds taken)
Dr.Web No viruses found (0.53 seconds taken)
F-Prot Antivirus No viruses found (0.07 seconds taken)
Kaspersky Anti-Virus No viruses found (0.64 seconds taken)
mks_vir No viruses found (0.21 seconds taken)
NOD32 No viruses found (0.38 seconds taken)
Norman Virus Control No viruses found (0.39 seconds taken)


Scheint also wohl doch alles in Ordnung zu sein!!?? Hoffe doch!!
Wie ist nun weiter zu verfahren??
Werde wohl erstmal nun die Schritte von Chaosman durchführen und dann den neuen Logfile posten!! Bin gespannt was Ihr morgen dazu sagt!?
Danke für die Hilfe - @cacatoa und @chaosman

@ Giu

*lach* ... RUNDLL32 is the Microsoft Windows program that loads DLLs into memory so that they can be used by specific programs or by Windows.

@SD:
nur gehört die Rundll.exe eigentlich in den System32 Ordner; hatten wir heute schon mal...
cacatoa

Hi erstmal,
Achso, das wusst ich nicht mit dem Ordner!!?? Und was heisst das nun??

Hier jedenfalls die neue LogFile:

Logfile of HijackThis v1.99.0
Scan saved at 01:51:33, on 14.01.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\PROGRAMME\CANON\EASY-WEBPRINT\TOOLBAND.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Sicherheit\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [DU Meter] C:\PROGRAMME\INTERNETVERBINDUNG\DU METER\DUMETER.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [eScan Updater] C:\PROGRA~1\ESCAN\TRAYICOS.EXE
O4 - HKLM\..\RunServices: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE /service
O4 - Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O10 - Broken Internet access because of LSP provider 'mwnsp.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm


Ps: Der punkt 010 - Broken Internet..etc. konnte nicht entfernt werden! Es kam eine Meldung, dass diese Datei durch Spybot(habe ich erfolglos versucht!) oder durch IspFix entfernt werden solle!!

Was ist nun weiter zu tun!? Was ist mit der Rundll32.exe Datei??

Hi nochmal, bitte bitte helft mir weiter! Was sollte ich als nächstes tun?

ahja..
lade dir einfach lspfix runter.
öffne es, klicke auf finish und starte neu.
dann sollte der eintrag entfernt sein.

@ chris:
Ist das neu? Ich kenne es, daß man den falschen Eintrag nach rechts ziehen muß und auf "remove"clicken.

Bei mir erscheinen bei lspfix in der linken Tabelle unter keep 4 Files:
- rnr20.dll
- mswsosp.dll
- msasd.dll
- rsvpsp.dll

Und in der rechten Tabelle bei remove:
- MWNSP.dll
- mwtsp.dll

Was soll ich mit diesen Files machen? Was ist mit dem Hacken bei "I know what I'm doing"?
Hab versucht die Datei 010... zu entfernen. Das ging aber nicht. Bei der neuen Logfile ist sie noch immer drin!

Aber auf jeden Fall vielen Dank für Eure Antworten!
Was soll ich jetzt tun?

Jetzt hab ich es geschafft die Datei wegzukriegen! Danke vielmals. Wie soll ich jetzt weiter verfahren? Sind die schädlichen Dateien nun alle weg? Mein Computer ist nämlich immer noch so langsam. Was ist mit rundll32.exe?

@cacatoa ähm das is so:
wenn die dateien gelöscht sind, erkennt lspfix sie als ungültige protokolle und schießt sie autom. zu remove
sind sie nicht gelöscht ist garnichts bei remove
ich nahm an dass sie bereits gelöscht wurden.
@giu
rundll32 ist eine systemdatei, wird von windows benötigt. und der virenscan ergab ja keinen virus..