Logfile of HijackThis v1.99.1
Scan saved at 09:30:28, on 23.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\tcpsvcs.exe
E:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
e:\Programme\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\Explorer.EXE
e:\ODI\OStore\BIN\OSCMGR6.EXE
e:\ODI\OStore\BIN\OSSERVER.EXE
e:\Programme\Speed Disk\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Ahead\InCD\InCD.exe
E:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
E:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
E:\Programme\Norton Utilities\SYSDOC32.EXE
C:\Programme\Microsoft Office\Office\WINPROJ.EXE
C:\WINDOWS\system32\mstsc.exe
E:\Programme\Skype\Phone\Skype.exe
C:\Programme\Tobit InfoCenter\DVWIN32.EXE
C:\PROGRA~1\TOBITI~1\DVREMIND.EXE
E:\Programme\HI\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.naupoint.com/toolbar/ie.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.naupoint.com/toolbar/ie.html
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll
O2 - BHO: No description - {88CC91DE-5930-45AD-9E04-6B1233609FEA} - C:\WINDOWS\system32\isu9B6C.dll
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WTS-Logon] \\Voigt-WTS\netlogon\logon.bat
O4 - HKLM\..\Run: [Elo-Druck] \\Voigt-WTS\netlogon\koppe.bat
O4 - HKLM\..\Run: [vptray] E:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\programme\WCESCOMM.EXE"
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: Acrobat Assistant.lnk = E:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: Norton System Doctor.lnk = E:\Programme\Norton Utilities\SYSDOC32.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearc...p=ZNxmk17540DE
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - e:\programme\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - e:\programme\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - e:\programme\INetRepl.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - E:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://terminal.hapec.de/msrdp.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = VOIGT.NET
O17 - HKLM\Software\..\Telephony: DomainName = VOIGT.NET
O17 - HKLM\System\CCS\Services\Tcpip\..\{58BE279F-C0E0-4256-B566-AFA0A1D32E5D}: NameServer = 217.65.24.98
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = VOIGT.NET
O18 - Protocol: stibo - {FFAD3420-6D61-44F6-BA25-293F17152D79} - C:\Programme\Gemeinsame Dateien\Stibo\RS_ProtocolHandler.dll
O20 - Winlogon Notify: iexplore - sml43.dll (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O21 - SSODL: eplrr9 - {C61EC5C1-16BF-4A4C-B7ED-BE8DD667F9DC} - C:\WINDOWS\system32\eplrr9.dll (file missing)
O23 - Service: DefWatch - Symantec Corporation - E:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - E:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - e:\Programme\Norton Utilities\NPROTECT.EXE
O23 - Service: ObjectStore Cache Manager R6.0 - eXcelon Corp. - e:\ODI\OStore\BIN\OSCMGR6.EXE
O23 - Service: ObjectStore Server R6.0 - eXcelon Corp. - e:\ODI\OStore\BIN\OSSERVER.EXE
O23 - Service: Speed Disk service - Symantec Corporation - e:\Programme\Speed Disk\nopdb.exe



Habe das Problem das beim Neustart des Rechners immer ein Fehler der WCESCOMM.EXE ausgegeben wird, die Bezeichnung des Fehlers ist (0xc0000142).
Kann vieleicht jemand helfen?? Ich selber vermute das es mit der Installation für ein handheld der Firma Acer zu tun hat. Bitte schaut mal drüber und sagt mir ob es da noch mehr auszuwerten gibt.

Danke Alex

Moin Alex,

Zitat:

Zitat von arche-22

Habe das Problem das beim Neustart des Rechners immer ein Fehler der WCESCOMM.EXE ausgegeben wird, die Bezeichnung des Fehlers ist (0xc0000142).

Die Datei WCESCOMM.EXE gehört zum Microsoft ActiveSync Connection Manager. Von daher ist Deine Vermutung wohl richtig. Ich würde die Sotfware des Handheld einmal komplett deinstallieren und danach neu installieren.

Unabhängig von diesem Problem hast Du MyWebSearch auf Deinem Rechner. Einige Einträge deuten darauf hin, dass es sich um einen Firmen-PC und nicht um einen Privat-Rechner handelt. Sollte dies stimmen und Du nicht Admin des PC sein, schalte bitte diesen ein, bevor Du etwas unternimmst!

Ansonsten schau mal unter Systemsteuerung -> Software, ob es dort einen Eintrag MyWebSearch (oder ähnlich) gibt. Wenn ja, deinstalliere dies.
Anschließend solltest Du mit HijackThis (im abgesicherten Modus des PC) folgendes fixen:

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.naupoint.com/toolbar/ie.html
(es sei denn, diese Seite ist von Dir bewusst gewählt!)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.naupoint.com/toolbar/ie.html
(es sei denn, diese Seite ist von Dir bewusst gewählt!)

O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusear...?p=ZNxmk17540DE
O20 - Winlogon Notify: iexplore - sml43.dll (file missing)
O21 - SSODL: eplrr9 - {C61EC5C1-16BF-4A4C-B7ED-BE8DD667F9DC} - C:\WINDOWS\system32\eplrr9.dll (file missing)

Anschließend lösche den kompletten Ordner C:\Programme\MyWebSearch und leere den Papierkorb.

Überprüfe diese Dateien einmal an folgender Stelle -> http://virusscan.jotti.org/

Zitat:

O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll
O2 - BHO: No description - {88CC91DE-5930-45AD-9E04-6B1233609FEA} - C:\WINDOWS\system32\isu9B6C.dll

Teile uns das Ergebnis der Überprüfung mit und erstelle nach dem Fixen und einem Reboot ein neues Log mit HijackThis und poste dies ebenfalls.

danke erst mal und es stimmt ist ein Netzwerk-PC, lege den neuen Log nachher rein wäre schön wenn dann noch mal einer kontrolliert.

gibt es einen Themenabschnitt in dem man die Log-files erklärt bekommt oder eine erklärung der Denste und Anwendungen die HJ ausgibt??? wenn ja weisst mich doch mal dahin.

danke danke danke

Zitat:

Zitat von arche-22

gibt es einen Themenabschnitt in dem man die Log-files erklärt bekommt oder eine erklärung der Denste und Anwendungen die HJ ausgibt???

Die deutsche Übersetzung des HiJackThis-Tutorials findest Du hier: http://www.trojaner-board.de/51130-a...ijackthis.html

so hab alles mal gemacht, wenn dann mal bitte einer drüberfliegen könnte ob ich alles richtig gemacht habe:

1. auswertung der 2 dateien auf der seite http://virus....

a) submithook.dll

is ein mailadware-kein trojanner==>erkannt von kaspersky

b) isu9b6c.dll

das selbe

2. der logfile nach dem fixen der dateien die du gesagt hast, zusätzlich habe ich die files a) und b) auch gefixt, werte es bitte nohmals aus und sag mir bescheid ob ich etwas übersehen habe.

Logfile of HijackThis v1.99.1
Scan saved at 14:18:19, on 01.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\tcpsvcs.exe
E:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
e:\Programme\Norton Utilities\NPROTECT.EXE
e:\ODI\OStore\BIN\OSCMGR6.EXE
e:\ODI\OStore\BIN\OSSERVER.EXE
e:\Programme\Speed Disk\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Ahead\InCD\InCD.exe
E:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programme\Logitech\iTouch\iTouch.exe
E:\Programme\wcescomm.exe
C:\WINDOWS\system32\userinit.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
E:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
E:\Programme\Norton Utilities\SYSDOC32.EXE
E:\Programme\HI\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WTS-Logon] \\Voigt-WTS\netlogon\logon.bat
O4 - HKLM\..\Run: [Elo-Druck] \\Voigt-WTS\netlogon\koppe.bat
O4 - HKLM\..\Run: [vptray] E:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Programme\wcescomm.exe"
O4 - Global Startup: Acrobat Assistant.lnk = E:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Norton System Doctor.lnk = E:\Programme\Norton Utilities\SYSDOC32.EXE
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - e:\programme\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - e:\programme\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - e:\programme\INetRepl.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - E:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://terminal.hapec.de/msrdp.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = VOIGT.NET
O17 - HKLM\Software\..\Telephony: DomainName = VOIGT.NET
O17 - HKLM\System\CCS\Services\Tcpip\..\{58BE279F-C0E0-4256-B566-AFA0A1D32E5D}: NameServer = 217.65.24.98
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = VOIGT.NET
O18 - Protocol: stibo - {FFAD3420-6D61-44F6-BA25-293F17152D79} - C:\Programme\Gemeinsame Dateien\Stibo\RS_ProtocolHandler.dll
O20 - Winlogon Notify: iexplore - sml43.dll (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O21 - SSODL: eplrr9 - {C61EC5C1-16BF-4A4C-B7ED-BE8DD667F9DC} - C:\WINDOWS\system32\eplrr9.dll (file missing)
O23 - Service: DefWatch - Symantec Corporation - E:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - E:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - e:\Programme\Norton Utilities\NPROTECT.EXE
O23 - Service: ObjectStore Cache Manager R6.0 - eXcelon Corp. - e:\ODI\OStore\BIN\OSCMGR6.EXE
O23 - Service: ObjectStore Server R6.0 - eXcelon Corp. - e:\ODI\OStore\BIN\OSSERVER.EXE
O23 - Service: Speed Disk service - Symantec Corporation - e:\Programme\Speed Disk\nopdb.exe

na dann, freue mich auf die antwort

Hi,

fixen kannst Du auf jeden Fall noch folgendes:

Zitat:

O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)
O21 - SSODL: eplrr9 - {C61EC5C1-16BF-4A4C-B7ED-BE8DD667F9DC} - C:\WINDOWS\system32\eplrr9.dll (file missing)

Bei folgender Datei bin ich mir nicht ganz sicher:

Zitat:

O20 - Winlogon Notify: iexplore - sml43.dll (file missing)

Ich denke, falls die Datei überhaupt noch da ist, solltest Du diese auch mal bei jotti scannen lassen. Wenn sie nicht mehr vorhanden ist, kannst Du den Eintrag fixen...

O20 - Winlogon Notify: iexplore - sml43.dll (file missing)

die datei hatte ich vor einiger zeit mit einem vierescanner isoliert, weiss auch nicht was sie kongret macht, aber der vierenscanner hat sie ständig gemeldet. danke erst mal fixe den rest und wenn ich wieder mal ein problem hab melde ich mich.

cu alex