Logfile of HijackThis v1.99.1
Scan saved at 15:12:54, on 26.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
c:\windows\system32\hqwvqip.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\WINDOWS\System32\dwwin.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Stefanie\Desktop\Neuer Ordner\hijackthis\HijackThis.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
C:\WINDOWS\svcproc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [xvwxhmh] c:\windows\system32\hqwvqip.exe r
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{0846F9E7-B71C-429B-B102-846714AE9568}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{0846F9E7-B71C-429B-B102-846714AE9568}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FreePOPs - Unknown owner - C:\Programme\FreePOPs\freepopsservice.exe (file missing)
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe




Es kommt immer wieder dass "explorer.exe" geschlossen werden muss-fehlerbericht senden/nicht senden-kennt ihr sicher....
Hast das mit Nail.exe zu tun?

Hallo TheRealTiffy,

Dein System ist nicht aktuell, SP 2 und alle weiteren Sicherheitsupdates müssen installiert sein.

Arbeite zunächst dieses durch:

http://forum.hijackthis.de/showthread.php?t=3172
Der dort erwähnte "Zufallsschlüssel" ist in Deinem Fall:
[xvwxhmh] c:\windows\system32\hqwvqip.exe r

Folgende Einträge sind darüberhinaus (siehe Link) zu fixen (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Falls Dir unbekannt ebenfalls:
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O23 - Service: FreePOPs - Unknown owner - C:\Programme\FreePOPs\freepopsservice.exe (file missing)

Manuell löschen:
C:\WINDOWS\web\related.htm
C:\Programme\FreePOPs\freepopsservice.exe <-- falls unbekannt

Neues Logfile und berichten

dartus
Poste nach Deinen Aktivitäten ein neues Logfile

dartus

so, hab das jetzt gemacht, hat zwar alles nicht so geklappt, denn der zufallsschlüssel war dann halt nen andere und das hat mich nen bisschen verwirrt....außerdem habe ich dann die datei aus dem Zufallsschlüssel nicht im System32 ordner finden und nicht löschen....aber bis jetzt habe ich zumindestens noch keine fehlermeldung bekommen also gehe ich von aus dass es geklappt hat-danke nochmal...

Logfile of HijackThis v1.99.1
Scan saved at 18:52:08, on 27.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
c:\windows\system32\iadyvud.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Stefanie\Desktop\Neuer Ordner\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [chhjdq] c:\windows\system32\iadyvud.exe r
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{0846F9E7-B71C-429B-B102-846714AE9568}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{0846F9E7-B71C-429B-B102-846714AE9568}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FreePOPs - Unknown owner - C:\Programme\FreePOPs\freepopsservice.exe (file missing)
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

shit, jetzt kommt doch wieder die fehlermeldung mit dem explorer:

Explorer.EXE hat ein Problem festgestellt und muss beendet werden.


Ich dreh echt durch, außerdem krieg ich dann noch von meinem virenprogramm folgende warnun: "adware.BetterInternet"

Ich krieg nen föhn und brauch bitte dringen hilfe...

hallöchen zusammen!habe ein grosses problem.auf meinem rechner ist ein virus oder sowas.es kommt immerwieder nachdem ich es gelöscht habe.vielleicht könnte jemand meine hijacklog lesen und mir helfen.vielen dank

Logfile of HijackThis v1.99.1
Scan saved at 19:05:49, on 27.07.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\DIT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\DITEXP.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\SYSTEM\USBMONIT.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\KODAKCCS.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKUFIND.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLDIAL.EXE
C:\PROGRAMME\MEDIA KEY\MAGICKEY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\MEDIA KEY\OSD.EXE
C:\PROGRAMME\TELEDAT\IWATCH.EXE
C:\VSTASCAN\VSACCESS.EXE
C:\PROGRAMME\KODAK\KODAK EASYSHARE SOFTWARE\BIN\EASYSHARE.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
D:\PROGRAMME\HIJACK\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ACROBATREADER6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\PROGRAMME\SHOPPERREPORTS\BIN\1.0.5.0\SHPRRPRT.DLL (file missing)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\PROGRAMME\CANON\EASY-WEBPRINT\TOOLBAND.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [WeatherOnTray] C:\PROGRAMME\HBTOOLS\BIN\4.6.4.0\HBTWEATHERONTRAY.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Hidserv] Hidserv.exe run
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [USBMonit.exe] "C:\WINDOWS\SYSTEM\USBMonit.exe"
O4 - HKLM\..\Run: [KodakCCS] C:\WINDOWS\System32\Drivers\KodakCCS.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [MagicKey] C:\PROGRA~1\MEDIAK~1\MAGICKEY.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [HbTools] C:\Programme\HbTools\Bin\4.6.4.0\HbtOEAddOn.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE"
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe
O4 - Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Startup: AOL Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearc...p=ZBxdm031YYDE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - C:\PROGRAMME\SHOPPERREPORTS\BIN\1.0.5.0\SHPRRPRT.DLL (file missing)
O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\PROGRAMME\SHOPPERREPORTS\BIN\1.0.5.0\SHPRRPRT.DLL (file missing)
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .au: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .aif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.121.252,192.168.121.253

wenn mir jemand helfen könnte wär ich sehr dankbar.netten und virenfreien abend noch :-)

@dierosenbluete4

Zitat:

hallöchen zusammen!habe ein grosses problem.

1. Full Ack! Wer nicht lesen kann, hat ein großes Problem.
Bei der Registrierung hast du den Nutzungshinweisen zugestimmt und jetzt gegen diese verstoßen!

Zitat:

Dialogstörung liegt vor, wenn ein Mitglied absichtlich den normalen Verlauf der Dialoge in einem Thread stört. Das kann z.B. durch wiederholtes Unterbrechen der Konversation zwischen anderen Mitgliedern geschehen

Auch hier bitte lesen:
Wie poste ich falsch
Fragen, die man nicht stellen sollte
Wenn du das gleiche Problem hast:
- Poste in diesem Thread nur dann, wenn du eine Lösung gefunden hast.
- Folge den Ratschlägen, die in diesem Thread gegeben wurden
- Falls es nicht geholfen hat, mache einen neuen Thread auf.
2. Bitte erstelle/korrigiere deinen Log genau nach dieser Anleitung

Hallo TheRealTiffy,

wechsel noch mal in den abgesicherten Modus bei deaktivierter Systemwiederherstellung.

Der Zufallsschlüssel ist nun:
O4 - HKLM\..\Run: [chhjdq] c:\windows\system32\iadyvud.exe r
Fixe diesen Eintrag, einfach zu erkennen an den kleinen "r" bzw. an dem unaussprechlichen Namen, merke Dir den Dateinamen und löschen ihn dann.
(Wenn noch nicht eingestellt: Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "häckchen weg“ und "Alle Dateien und Ordner Anzeigen" anklicken).

dartus

zum abgesicherten modus folgende frage: dachte man muss auf Ausführen-msconfig und bei systemstart diagnosemodus....ist das korrekt?
Ansonsten weiß ich nicht wie ich da hin komme..habe es mit F8 beim systemstart versucht, hat aber nix gebracht, da hat sich nur die maus nicht mehr bewegt..

Jetz nochmal zu meinem Problem..
Habe jetzt SP2 und adware und spybot installiert und die letzten beiden auch durchlaufen lassen-haben natürlich ne menge gefunden..nur ein file macht mirv jetz noch sorgen: Adware.BetterInternet..
Ich weiß nicht wie ich das beheben kann, denn jedesmal wenn ich es löschen will geht das nicht-das nervt..
Das problem mit dem explorer und nail.exe habe ich seit der installation von SP2 nicht mehr..

Hallo TheRealTiffy,

so wie Du beschrieben hast, ist es auch möglich, in den abgesicherten Modus zu kommen.
Welche Datei wurde als "Adware.BetterInternet" gemeldet?
Hast Du die Datei so wie von mir in vorherigen Post beschrieben gelöscht (die Datei ändert bei jeden Neustart ihren Namen)?
Überprüfe mal Dein System mit Escan und lösche alle gefunden Datei wie in der Anleitung beschrieben.

dartus

Also ich habe e-scan durchlaufen lassen, habe auch ein logfile erhalten, aber da steht nihts konkretes über Viren drin...Ich finde keine "Virus Log Information" nur die "mwav.log"....
das einzige, was irgendwelche informationen gibt ist aus der "mway.log":

Fri Jul 29 13:55:13 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Fri Jul 29 13:55:13 2005 => Loading Spyware Signatures from FIXED Database...
Fri Jul 29 13:55:14 2005 => System found infected with BearShare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: No Action Taken.
Fri Jul 29 13:55:14 2005 => System found infected with BearShare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken.
Fri Jul 29 13:55:14 2005 => System found infected with BearShare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken.
Fri Jul 29 13:55:22 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Fri Jul 29 13:55:22 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Jul 29 13:55:27 2005 => Offending value found in HKLM\Software\magnet\handlers\bearshare !!!
Fri Jul 29 13:55:27 2005 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

.....

Fri Jul 29 14:53:56 2005 => ***** Scan vollständig. *****

Fri Jul 29 14:53:56 2005 => Gescannte Dateien: 49611
Fri Jul 29 14:53:56 2005 => Gefundene Viren: 30
Fri Jul 29 14:53:56 2005 => Anzahl der desinfizierten Dateien: 0
Fri Jul 29 14:53:56 2005 => Umbenannte Dateien: 0
Fri Jul 29 14:53:56 2005 => Anzahl der gelöschten Dateien: 0
Fri Jul 29 14:53:56 2005 => Anzahl Fehler: 82
Fri Jul 29 14:53:56 2005 => Zeit vergangen: 00:59:11
Fri Jul 29 14:53:56 2005 => Virus Datenbank Datum: 2005/07/28
Fri Jul 29 14:53:56 2005 => Virus Datenbank Zähler: 140334


ansonsten kann ich da nix raus schließen, kann die probleme auch nicht mit der software beheben, muss das dann kaufen...
Das Problem mit "Adware.BetterInternet" scheint wohl größer zu sein als ich dacht-man kann es mit keinem Programm löschen-hab gegoogelt...
Hiiiiilf eeeeee

Lese Dir die Anleitung zum escan nochmals genau durch, besonders den Abschnitt zur Datei find.rar bzw. find.bat. Poste das mit dieser Datei erzeugte Logfile.

das hatte ich ja eben nicht verstanden-wo ist dir find.rar bzw. find.bat datei?wo finde ich die?

Hallo,

ganz einfach in der Anleitung unter "eScan Anwenden" Punkt [5] ist das beschrieben (siehe meine Signatur) du musst die find.rar wie dort beschrieben speichern unter usw.

ahaaaaa,da ich die anleitung direkt ausgedruck hatte, habe ich nicht gesehen dass man "find.rar" anklicken konnte *gg*
Ich werd das programm dann nochmal erneut durchlaufen lassen und es dann posten-danke nochmals...

sooo liebe leute, da habt ihr was ihr braucht um mir zu helfen *gg*...




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Jul 29 13:55:14 2005 => System found infected with BearShare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: No Action Taken.
Fri Jul 29 13:55:14 2005 => System found infected with BearShare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken.
Fri Jul 29 13:55:14 2005 => System found infected with BearShare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken.
Fri Jul 29 14:47:00 2005 => Scanne Verzeichniss: G:\RECYCLER\S-1-5-21-1085031214-823518204-682003330-500\Dg6\INFECTED\*.*
Fri Jul 29 15:36:43 2005 => System found infected with BearShare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: Keine Aktion vorgenommen.
Fri Jul 29 15:36:43 2005 => System found infected with BearShare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: Keine Aktion vorgenommen.
Fri Jul 29 15:36:43 2005 => System found infected with BearShare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: Keine Aktion vorgenommen.
Fri Jul 29 16:38:22 2005 => Scanne Verzeichniss: G:\RECYCLER\S-1-5-21-1085031214-823518204-682003330-500\Dg6\INFECTED\*.*
Sun Jul 31 18:39:53 2005 => System found infected with BearShare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: Keine Aktion vorgenommen.
Sun Jul 31 18:39:53 2005 => System found infected with BearShare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: Keine Aktion vorgenommen.
Sun Jul 31 18:39:53 2005 => System found infected with BearShare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: Keine Aktion vorgenommen.
Sun Jul 31 19:54:31 2005 => Scanne Verzeichniss: G:\RECYCLER\S-1-5-21-1085031214-823518204-682003330-500\Dg6\INFECTED\*.*
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Jul 29 14:00:41 2005 => File C:\Dokumente und Einstellungen\Stefanie\Lokale Einstellungen\Temp\D608\aurora.exe tagged as "not-a-virus:AdWare.BetterInternet.l". Action Taken: No Action Taken.
Fri Jul 29 14:11:18 2005 => File C:\System Volume Information\_restore{D65C1219-9FEE-4712-B664-E2B76D16EF71}\RP1\A0000004.exe tagged as "not-a-virus:AdWare.BetterInternet.l". Action Taken: No Action Taken.
Fri Jul 29 14:16:16 2005 => File C:\System Volume Information\_restore{D65C1219-9FEE-4712-B664-E2B76D16EF71}\RP2\A0004670.exe tagged as "not-a-virus:AdWare.MediaMotor.f". Action Taken: No Action Taken.
Fri Jul 29 14:25:10 2005 => File C:\WINDOWS\mm63.ocx tagged as "not-a-virus:AdWare.MediaMotor.a". Action Taken: No Action Taken.
Fri Jul 29 14:47:25 2005 => File G:\Setups\Bearshare\BSINSTALL.exe tagged as "not-a-virus:AdWare.SaveNow.c". Action Taken: No Action Taken.
Fri Jul 29 14:47:28 2005 => File G:\Setups\Bearshare\BSINSTALLa.exe tagged as "not-a-virus:AdWare.SaveNow.z". Action Taken: No Action Taken.
Fri Jul 29 14:47:52 2005 => File G:\Setups\Bildbearbeitung\shortcut.PhotoMagic.serial.number.rar tagged as "not-a-virus:AdWare.MediaMotor.a". Action Taken: No Action Taken.
Fri Jul 29 15:43:33 2005 => File C:\Dokumente und Einstellungen\Stefanie\Lokale Einstellungen\Temp\D608\aurora.exe tagged as "not-a-virus:AdWare.BetterInternet.l". Action Taken: Keine Aktion vorgenommen.
Fri Jul 29 16:07:25 2005 => File C:\WINDOWS\mm63.ocx tagged as "not-a-virus:AdWare.MediaMotor.a". Action Taken: Keine Aktion vorgenommen.
Fri Jul 29 16:39:11 2005 => File G:\Setups\Bearshare\BSINSTALL.exe tagged as "not-a-virus:AdWare.SaveNow.c". Action Taken: Keine Aktion vorgenommen.
Fri Jul 29 16:39:15 2005 => File G:\Setups\Bearshare\BSINSTALLa.exe tagged as "not-a-virus:AdWare.SaveNow.z". Action Taken: Keine Aktion vorgenommen.
Fri Jul 29 16:39:59 2005 => File G:\Setups\Bildbearbeitung\shortcut.PhotoMagic.serial.number.rar tagged as "not-a-virus:AdWare.MediaMotor.a". Action Taken: Keine Aktion vorgenommen.
Sun Jul 31 18:40:41 2005 => File C:\WINDOWS\mm63.ocx tagged as "not-a-virus:AdWare.MediaMotor.a". Action Taken: Keine Aktion vorgenommen.
Sun Jul 31 18:52:04 2005 => File C:\Dokumente und Einstellungen\Stefanie\Lokale Einstellungen\Temp\BKN\aurareco.exe tagged as "not-a-virus:AdWare.Win32.BetterInternet.m". Action Taken: Keine Aktion vorgenommen.
Sun Jul 31 18:52:05 2005 => File C:\Dokumente und Einstellungen\Stefanie\Lokale Einstellungen\Temp\D608\aurora.exe tagged as "not-a-virus:AdWare.BetterInternet.l". Action Taken: Keine Aktion vorgenommen.
Sun Jul 31 19:22:31 2005 => File C:\WINDOWS\mm63.ocx tagged as "not-a-virus:AdWare.MediaMotor.a". Action Taken: Keine Aktion vorgenommen.
Sun Jul 31 19:55:21 2005 => File G:\Setups\Bearshare\BSINSTALL.exe tagged as "not-a-virus:AdWare.SaveNow.c". Action Taken: Keine Aktion vorgenommen.
Sun Jul 31 19:55:25 2005 => File G:\Setups\Bearshare\BSINSTALLa.exe tagged as "not-a-virus:AdWare.SaveNow.z". Action Taken: Keine Aktion vorgenommen.
Sun Jul 31 19:56:09 2005 => File G:\Setups\Bildbearbeitung\shortcut.PhotoMagic.serial.number.rar tagged as "not-a-virus:AdWare.MediaMotor.a". Action Taken: Keine Aktion vorgenommen.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~