Moin,

kann mir irgendwer sagen, wie man besagten Nerventöter wieder los wird?

Danke vorab.

McOschie

Moin, Moin

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, damit das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Cidres Anleitung

Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden.
Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe

Moin,

sorry, mußte mich damit erstmal mental auseinandersetzen. Hier sind die Daten:

Logfile of HijackThis v1.99.1
Scan saved at 16:51:59, on 28.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\System32\Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\MailAlert\MailAlert.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\XXXXX\Lokale Einstellungen\Temp\HijackThis.exe

O2 - BHO: BHOMoneyGainer Class - {2559D0B1-AF60-4BD5-965D-0E51383A6367} - C:\WINDOWS\shginas.dll
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\pumba3.dll
O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\pumba3.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PrimaLauncher] C:\WINDOWS\System32\Launcher.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: HP-Karton.lnk = ?
O4 - Startup: MailAlert.lnk = C:\Programme\MailAlert\MailAlert.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = optenkg.local
O17 - HKLM\Software\..\Telephony: DomainName = optenkg.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{014E2C21-EB28-4857-8EC7-45A69FFE6F15}: Domain = t-online.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = optenkg.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{014E2C21-EB28-4857-8EC7-45A69FFE6F15}: Domain = t-online.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = optenkg.local
O17 - HKLM\System\CS2\Services\Tcpip\..\{014E2C21-EB28-4857-8EC7-45A69FFE6F15}: Domain = t-online.de
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: DeskFlash Kernel Service Instant (DfKrnlInstant) - Symantec Corporation - (no file)
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe


Vorab schon mal besten Dank für Hilfe.

McOschie

lasse mal die Datei hier scannen und teile das Ergebnis mit. Beende vor dem Hochladen den Prozess im Tastmanager und auch dein AV-Programm
C:\WINDOWS\System32\Launcher.exe
Sollte die Datei nicht zu finden sein folgende Einstellung vornehmen:

Windows Explorer --> "Extras/Ordneroptionen" --> "Ansicht" --> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren --> "OK"

Lade Dir Spybot-S&D und
Ad-Aware und update beide Programme.
Lade die Killbox (Link unten)

--> boote in den abgesicherter Modus , deaktiviere die
Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken ) Anleitung
folgende Einträge:

O2 - BHO: BHOMoneyGainer Class - {2559D0B1-AF60-4BD5-965D-0E51383A6367} - C:\WINDOWS\shginas.dll
O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\pumba3.dll
O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\pumba3.dll
O23 - Service: DeskFlash Kernel Service Instant (DfKrnlInstant) - Symantec Corporation - (no file)

lösche von Hand mit Hilfe der Killbox:

C:\WINDOWS\shginas.dll
C:\WINDOWS\pumba3.dll

Killbox
Klicke bei der Killbox auf Delete on Reboot, danach Dateien nacheinander rein laden und auf das rote Kreuz drücken. Wenn du gefragt wirst „ Do you want to reboot?“ auf no, erst bei der letzten Datei auf yes drücken.

Scanne jetzt nacheinander mit Spybot und Ad-aware und lösche alle Funde

Neu booten neues HJT posten

Sorry, bin nicht gerade ein Computerfachmann. Was meinst du mit: Beende vor dem Hochladen den Prozess im Tastmanager und auch dein AV-Programm
C:\WINDOWS\System32\Launcher.exe? Vor dem Hochladen der Datei zum Scannen? Wie beende ich das AV-Programm? Durch löschen?

Sorry, aber wie gesagt, bin kein Fachmann.

Also drücke die Tasten Strg+Alt+Entf
jetzt ist der Taskmanager geöffnet. Reiter Prozesse anklicken, den besagten Prozess suchen markieren und Prozess beenden.
Für dein Antivirenprogramm sollte im Desktop unten rechts ein Symbol sein, rechte Maustaste oder doppelklick und beenden, Dann gehst du auf die Seite dort ist ein Durchsuchenbutton da suchst du die besagte Datei

Mit der Datei, die zu scannen war, meintest du doch das logfile, das ich mit HijackThis ermittelt habe, oder? Ergebnis war überall: keine Viren gefunden.

Zitat:

Mit der Datei, die zu scannen war, meintest du doch das logfile, das ich mit HijackThis ermittelt habe, oder?

nein ich meine die fett geschriebene Datei C:\WINDOWS\System32\Launcher.exe

Null Problemo, die hatte ich auch gescannt (hatte da so ein Gefühl). Ebenfalls keine Viren.

Habe nun alles durchgezogen. Sieht verdammt gut aus. Einzig eine Anmerkung: C:\WINDOWS\pumba3.dll war bei mir nicht vorhanden. Ich habe aber C:\WINDOWS\pumba2.dll gefunden und diesen gelöscht. Hoffe, das war ok so.

Auf jeden Fall besten Dank für die Geduld und die Hilfe.

McOschie

Letzte Frage: Kann ich die Systemwiederherstellung wieder aktivieren?

@ McOschie

Zitat:

Letzte Frage: Kann ich die Systemwiederherstellung wieder aktivieren?

ja kannst du