Hallo CIDRE,

habe ein ziemlich grosses problem mit meinem Rechner.

Der ist mir im netz einfach etwas zu lahm geworden und ich habe anhand
verschiedenster Scans nichts gefunden.

habe meinen Rechner auch 2 mal platt gemacht und trotzdem besteht das problem weiterhin.

Diesmal sind aber beim Hijacken folgende Einträge als Böse eingestuft worden...

kann mit diesen folder dateien nichts anfangen und finde die auch nicht auf meinem System...

kannst du mir vielleicht helfen was diese Einträge bedeuten und kann ich die Fixen ohne das mein System abschmiert ?


O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
Böse Dieser Eintrag ist vermutlich Böse. Sollte gefixt werden!
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
Böse Dieser Eintrag ist vermutlich Böse. Sollte gefixt werden!
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
Böse Dieser Eintrag ist vermutlich Böse. Sollte gefixt werden!
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
Böse Dieser Eintrag ist vermutlich Böse. Sollte gefixt werden!
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
Böse Dieser Eintrag ist vermutlich Böse. Sollte gefixt werden!

wäre dankbar für eine schnelle antwort

coco

_____________
Anm.
Deine und die zugehörigen Posts wurden aus diesen Thread gelöst.
Eröffne das nächste Mal, der Übersichtlichkeit wegen, einen eigenen Thread!

LG Cidre
S-Mod TB

Hallo coco,

es macht wenig Sinn, wenn du deinen Beitrag in irgendeinen Thread knallst, da dieser nur zur Unübersichtlichkeit und Verwirrung beiträgt!
Die logische Konsequenz wäre die nicht Beachtung deines Beitrages und das wollen wir doch alle nicht?!
Erstelle zukünftig einen neuen Thread und schildere dort dein Problem.

Zitat:

kannst du mir vielleicht helfen was diese Einträge bedeuten und kann ich die Fixen ohne das mein System abschmiert ?

Du verwendest den IE der zudem nicht sicher konfiguriert ist!

KillBox z.B. kann die Symptome beseitigen, nicht aber die Ursache und diese beseitigst du indem du einen Browserwechsel vollziehst.

Sorry bin neue hier werde das mit den Threads in zukunft beachten !

habe noch ein paar kleine fragen :

wie konfiguriere ich den meinen ie so das die probleme besänftigt werden
oder besser noch was habe ich falsch konfiguriert
?
muss ich den ie komplett runterschmeissen und dann nur noch mit firefox arbeiten ?

verbraucht der firefox weniger Ram resourcen als der ie ?

ich kann dir auch mein logfile senden und vielleicht findest du ja was auffälliges ?

wenn ja was muss ich beim logfile ändern oder weglassen um es richtig zu posten ?

LG
coco

Zitat:

wie konfiguriere ich den meinen ie...

IE sicherer konfigurieren

Zitat:

muss ich den ie komplett runterschmeissen und dann nur noch mit firefox arbeiten ?

Der IE ist nicht entfernbar, es sei denn du verwendest Win 98.
IE und auch Firefox aktuell halten, aber nur mit letzteren surfen.

Zitat:

verbraucht der firefox weniger Ram resourcen als der ie ?

Firefox hat den höheren Ressourcenverbrauch.

Zitat:

ich kann dir auch mein logfile senden und vielleicht findest du ja was auffälliges ?

Ja, dann mach mal...
Halte dich aber an diese Anleitung -> http://www.trojaner-board.de/showthread.php?t=17493

ok here it is ...

ich habe mittlerweile noch den auffälligen Prozess nwiz.exe gefunden
der zu norton wizzard gehört .... jedenfalls sagt der hikack im resultat das der böse ist was auch immer damit gemeint ist...

danke dir für die Hilfe ....

hier mein log :

Logfile of HijackThis v1.99.1
Scan saved at 19:01:03, on 10.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Plaxo\2.1.0.80\InstallStub.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Hi-jacker\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.musikwoche.de/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ViewSource Class - {2EF37A01-884F-11d5-AC99-B112050ECB4F} - C:\PROGRA~1\ZEROPO~1\ZERO-P~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Programme\Plaxo\2.1.0.80\InstallStub.exe -a
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107912270093
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AAC38279-B8B4-4561-97CF-E877F3425C25}: NameServer = 213.191.74.18 213.191.92.87
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


LG

coco

Zitat:

nwiz.exe gefunden...hikack im resultat das der böse ist was auch immer damit gemeint ist...

Vergiss die automatische Auswertung. Eine Datenbank kann nicht logisch denken...

Dein Log-File sieht bis auf die O16 Einträge sauber aus. Fixe diese und lösche die darin genannten Archive.
Ein abschliessender Check mit eScan könnte imho nicht schaden.

ok welche 016 einträge soll ich den fixen :

O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab

die sind klar aber auch die hier ??? :

O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107912270093
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab

und wenn ich die gefixt habe wie lösche ich die dazugehörigen archive ?

LG

coco

Die kannst Du alle löschen. Gilt für die 016-Einträge grundsätzlich immer.

Die Archive kannst Du vermutlich mit Clearprog bzw. über die Einstellungen des IE löschen.

Gruß
Yopie

übrigens noch eine komische Sache ...

Ich benutze die interne Windows firewall mit Antivir im zusammenspiel hat das bisher das beste ergebnis bei mir gegeben...

jedenfalls zu vorherigen programmen und firewalls....

der Hijack erkennt meine firewall aber nicht oder besser noch er sagt das hier :

Auf Ihrem System wurde keine aktive Firewall gefunden oder Ihre Firewall ist uns nicht bekannt. Wenn Sie keine Firewall benutzen sollten Sie sich eine herunterladen oder die Windows XP eigene aktivieren. Sollten sie Fragen zur Wahl der richtigen Firewall haben oder möchten Sie uns die unbekannte Firewall mitteilen, so melden sie sich im Forum unter www.hijackthis.de/forum

heisst das das die die Firewall nicht kennen oder das meine Firewall echt nicht aktiv ist ?

ersteres kann mich mir einfach nicht vorstellen da die XP firewall SP2 doch bekannt ist oder ?

Mein Windows service center sagt das alles aktiv und auf dem neuesten stand ist ....

???????????

LG coco

danke Yopie werde ich machen....

und wie sieht es aus mit der firewall geschichte die ich danach gefragt habe ,

ist das ein bekanntes problem ?

lg

coco

@ YOPIE :

ist das clear prg besser als die interne datenträgerbereinigung von windows ?

der macht doch eigentlich das gleiche oder ?

LG

coco

Zu der Firewallgeschichte kann ich nix sagen.

Clearprog löscht auch temporäre Dateien von anderen Programmen, man kann also mehr auf einen Rutsch löschen. Praktische Sache das.

Gruß
Yopie

@ coco

Wenn du deine Posts abändern willst, dann benutze doch einfach den 'Editieren' Button.

Zur Firewall Geschichte:
Da die Windows Firewall von mehreren Diensten abhängig ist, wie z.B. Windows-Firewall/Gemeinsame Nutzung der Internetverbindung, Windows-Verwaltungsinstrumentation u.a., läßt es sich aus dem HJT Log-File schwer feststellen, ob diese tatsächlich aktiv ist, da die MS Dienste nicht berücksichtigt werden.

Ansonsten wird es vermutlich ein allgemeiner Hinweis sein, wie nützlich doch eine Desktop Firewall wäre.

@ CIDRE & YOPIE :

Ok danke euch jungs für die Hilfe....

könnt das Thread ruhig entfernen hat mir echt geholfen, werde zwischendurch mal wieder mein log mit einem neuen Thread einwerfen wenn
wieder wat is....

BIG THANX an Euch .... :aplaus:

LG

coco

Zitat:

Zitat von coco

könnt das Thread ruhig entfernen....

Nee, vielleicht hilft das ja irgendwem irgendwann mal weiter, was hier so verzapft wurde. Man darf die Hoffnung nie aufgeben, dass die Boardsuche genutzt wird...

Gruß
Yopie