startseite im internet explorer

flightplanner · 28.08.2005, 10:24

liebe experten !

seit einiger zeit gibt mir der internet explorer als startseite immer "about:blank",
egal welche homepage als stanard gespeicher wird. zusätzlich kommt hin und wieder eine warnmeldung "your computer might be at risk..." mit einem symbol im systray, ganz vereinzelt warnt mich norton internet security, weil irgendein dubioses exe-file auf das internet zugreifen möchte.
mit pest patrol werden immer wieder schädlinge entdeckt, die ich dann lösche, aber "cws.homesearch" bleibt immer bestehen.

jetzt habe ich ein logfile mit HijackThis erstellt, vielleicht kann mir jemand helfen
um die plagegeister los zu werden.

Logfile of HijackThis v1.99.1
Scan saved at 11:02:33, on 28.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\HHVcdV6Sys\VC6SecS.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\Programme\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\addyk32.exe
C:\Programme\NoAds\NoAds.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Utilities\Traxex\TraXEx.exe
C:\Programme\Microsoft Office\Office\1031\MSOFFICE.EXE
C:\Program Files\Utilities\pcwBinToolTip.exe
C:\Programme\CA\eTrust PestPatrol\PPActiveDetection.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\l e o\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\inopq.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.findin.org/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.at/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {3DBE3B76-3521-BE11-EDF8-9D6FD61F6027} - C:\WINDOWS\appnu32.dll
O2 - BHO: Class - {574F8EC4-FA78-8A43-7216-A401257D764A} - C:\WINDOWS\system32\sysel.dll
O2 - BHO: Class - {7E44E0B2-B513-3E88-F759-F9CD02FD285D} - C:\WINDOWS\mswh32.dll
O2 - BHO: Class - {7FDF9C3E-86C5-8A37-1FB0-CAF34B57433C} - C:\WINDOWS\apidy.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {C8E09E11-D541-F895-3F54-4597E03FF821} - C:\WINDOWS\system32\msuy32.dll
O2 - BHO: Class - {D6A0E97F-3C18-7E5D-E033-44852E515B86} - C:\WINDOWS\ipzs.dll
O2 - BHO: Class - {FD02057F-8DD4-96DD-4618-800A02D21C65} - C:\WINDOWS\system32\wince32.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [msxk.exe] C:\WINDOWS\system32\msxk.exe
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\CA\eTrust PestPatrol\PPActiveDetection.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [iptu.exe] C:\WINDOWS\iptu.exe
O4 - HKLM\..\Run: [apium.exe] C:\WINDOWS\apium.exe
O4 - HKLM\..\Run: [addyk32.exe] C:\WINDOWS\addyk32.exe
O4 - HKLM\..\RunOnce: [javako32.exe] C:\WINDOWS\system32\javako32.exe
O4 - HKLM\..\RunOnce: [appvk.exe] C:\WINDOWS\appvk.exe
O4 - HKLM\..\RunOnce: [iegg32.exe] C:\WINDOWS\system32\iegg32.exe
O4 - HKLM\..\RunOnce: [winng.exe] C:\WINDOWS\winng.exe
O4 - HKLM\..\RunOnce: [sysei32.exe] C:\WINDOWS\sysei32.exe
O4 - HKLM\..\RunOnce: [crws.exe] C:\WINDOWS\system32\crws.exe
O4 - HKLM\..\RunOnce: [Pest Cleaning] "C:\Programme\CA\eTrust PestPatrol\core\ppclean.exe" "clean" "smartfinder" "2"
O4 - HKCU\..\Run: [NoAds] "C:\Programme\NoAds\NoAds.exe"
O4 - Startup: MSOFFICE.EXE.lnk = C:\Programme\Microsoft Office\Office\1031\MSOFFICE.EXE
O4 - Startup: pcwBinToolTip.lnk = C:\Program Files\Utilities\pcwBinToolTip.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: TraXEx 2.1.lnk = C:\Program Files\Utilities\Traxex\TraXEx.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Microsoft® VBScript® Console - {590270E8-D2FB-4110-A8CD-B9CF84B9FAF4} - C:\WINDOWS\System32\vbterm.dll
O9 - Extra 'Tools' menuitem: VBScript Terminal - {590270E8-D2FB-4110-A8CD-B9CF84B9FAF4} - C:\WINDOWS\System32\vbterm.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O9 - Extra button: GetWebPics - {4B51A27A-6F76-49E5-BC45-06AE2DDD2A1A} - C:\Program Files\GetWebPics22\Gwp4Ie.dll (HKCU)
O9 - Extra 'Tools' menuitem: Download pictures with GetWebPics - {4B51A27A-6F76-49E5-BC45-06AE2DDD2A1A} - C:\Program Files\GetWebPics22\Gwp4Ie.dll (HKCU)
O9 - Extra button: Microsoft® VBScript® Terminal - {590270E8-D2FB-4110-A8CD-B9CF84B9FAF4} - C:\WINDOWS\system32\comdlg32.ocx (HKCU)
O9 - Extra 'Tools' menuitem: VBScript Terminal - {590270E8-D2FB-4110-A8CD-B9CF84B9FAF4} - C:\WINDOWS\system32\comdlg32.ocx (HKCU)
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E31669A-BDAC-4070-A349-B996783B850A}: NameServer = 195.34.133.10,195.34.133.11
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\javako32.exe" /s (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Virtual CD v6 Management Service (VC6SecS) - H+H Software GmbH - C:\Programme\HHVcdV6Sys\VC6SecS.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

cronos · 28.08.2005, 10:31

Scanne dein System mit Escan und teile uns anschließend die Ergebnisse mit.
Anleitung bitte genau beachten!

flightplanner · 28.08.2005, 20:56

danke für die rasche antwort !

ich habe den scan wie vorgeschlagen gemacht. hat eine ewigkeit gedauert und
knapp 2000 ergebnisse gebracht (inklusive zahlreicher files die von norton in quarantäne gestellt wurden). es würde wohl den rahmen sprengen, wenn ich diese log file hier poste. das meiste waren .exe-files im windows und system32 ordner. die hab ich dann mit dem e-scan check enfernt und jetzt nochmal HijackThis laufen lassen.

Logfile of HijackThis v1.99.1
Scan saved at 21:49:00, on 28.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\HHVcdV6Sys\VC6SecS.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\sysuq.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\Programme\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
C:\Programme\CA\eTrust PestPatrol\PPActiveDetection.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\PC Booster\pcbooster.exe
C:\Programme\NoAds\NoAds.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Utilities\Traxex\TraXEx.exe
C:\Programme\Microsoft Office\Office\1031\MSOFFICE.EXE
C:\Program Files\Utilities\pcwBinToolTip.exe
C:\Dokumente und Einstellungen\l e o\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\tjwxc.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.findin.org/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.at/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {516A362F-DE3A-94DC-5804-B13F008710B5} - C:\WINDOWS\system32\winbw32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Class - {B291DEE2-D9B2-592B-0C2E-27B58D348424} - C:\WINDOWS\msul32.dll
O2 - BHO: Class - {BD6313A4-2C0C-75A1-DC8E-8EE34EAAF230} - C:\WINDOWS\system32\ipvu32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {FD02057F-8DD4-96DD-4618-800A02D21C65} - C:\WINDOWS\system32\wince32.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [msxk.exe] C:\WINDOWS\system32\msxk.exe
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\CA\eTrust PestPatrol\PPActiveDetection.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [iptu.exe] C:\WINDOWS\iptu.exe
O4 - HKLM\..\Run: [apium.exe] C:\WINDOWS\apium.exe
O4 - HKLM\..\Run: [addyk32.exe] C:\WINDOWS\addyk32.exe
O4 - HKLM\..\Run: [PC Booster] C:\Programme\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [winwa32.exe] C:\WINDOWS\system32\winwa32.exe
O4 - HKLM\..\Run: [sysuq.exe] C:\WINDOWS\sysuq.exe
O4 - HKLM\..\RunOnce: [sysei32.exe] C:\WINDOWS\sysei32.exe
O4 - HKLM\..\RunOnce: [crws.exe] C:\WINDOWS\system32\crws.exe
O4 - HKLM\..\RunOnce: [apiqv.exe] C:\WINDOWS\apiqv.exe
O4 - HKLM\..\RunOnce: [Pest Cleaning] "C:\Programme\CA\eTrust PestPatrol\core\ppclean.exe" "clean" "smartfinder" "2"
O4 - HKCU\..\Run: [NoAds] "C:\Programme\NoAds\NoAds.exe"
O4 - Startup: MSOFFICE.EXE.lnk = C:\Programme\Microsoft Office\Office\1031\MSOFFICE.EXE
O4 - Startup: pcwBinToolTip.lnk = C:\Program Files\Utilities\pcwBinToolTip.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: TraXEx 2.1.lnk = C:\Program Files\Utilities\Traxex\TraXEx.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Microsoft® VBScript® Console - {590270E8-D2FB-4110-A8CD-B9CF84B9FAF4} - C:\WINDOWS\System32\vbterm.dll (file missing)
O9 - Extra 'Tools' menuitem: VBScript Terminal - {590270E8-D2FB-4110-A8CD-B9CF84B9FAF4} - C:\WINDOWS\System32\vbterm.dll (file missing)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O9 - Extra button: GetWebPics - {4B51A27A-6F76-49E5-BC45-06AE2DDD2A1A} - C:\Program Files\GetWebPics22\Gwp4Ie.dll (HKCU)
O9 - Extra 'Tools' menuitem: Download pictures with GetWebPics - {4B51A27A-6F76-49E5-BC45-06AE2DDD2A1A} - C:\Program Files\GetWebPics22\Gwp4Ie.dll (HKCU)
O9 - Extra button: Microsoft® VBScript® Terminal - {590270E8-D2FB-4110-A8CD-B9CF84B9FAF4} - C:\WINDOWS\system32\comdlg32.ocx (HKCU)
O9 - Extra 'Tools' menuitem: VBScript Terminal - {590270E8-D2FB-4110-A8CD-B9CF84B9FAF4} - C:\WINDOWS\system32\comdlg32.ocx (HKCU)
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E31669A-BDAC-4070-A349-B996783B850A}: NameServer = 195.34.133.10,195.34.133.11
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\javako32.exe" /s (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Virtual CD v6 Management Service (VC6SecS) - H+H Software GmbH - C:\Programme\HHVcdV6Sys\VC6SecS.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Chris14 · 28.08.2005, 21:24

fixe erstmal diese einträge:
1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\tjwxc.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {516A362F-DE3A-94DC-5804-B13F008710B5} - C:\WINDOWS\system32\winbw32.dll
O2 - BHO: Class - {B291DEE2-D9B2-592B-0C2E-27B58D348424} - C:\WINDOWS\msul32.dll
O2 - BHO: Class - {BD6313A4-2C0C-75A1-DC8E-8EE34EAAF230} - C:\WINDOWS\system32\ipvu32.dll
O2 - BHO: Class - {FD02057F-8DD4-96DD-4618-800A02D21C65} - C:\WINDOWS\system32\wince32.dll
O4 - HKLM\..\Run: [msxk.exe] C:\WINDOWS\system32\msxk.exe
O4 - HKLM\..\Run: [iptu.exe] C:\WINDOWS\iptu.exe
O4 - HKLM\..\Run: [apium.exe] C:\WINDOWS\apium.exe
O4 - HKLM\..\Run: [addyk32.exe] C:\WINDOWS\addyk32.exe
O4 - HKLM\..\Run: [winwa32.exe] C:\WINDOWS\system32\winwa32.exe
O4 - HKLM\..\Run: [sysuq.exe] C:\WINDOWS\sysuq.exe
O4 - HKLM\..\RunOnce: [sysei32.exe] C:\WINDOWS\sysei32.exe
O4 - HKLM\..\RunOnce: [crws.exe] C:\WINDOWS\system32\crws.exe
O4 - HKLM\..\RunOnce: [apiqv.exe] C:\WINDOWS\apiqv.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Microsoft® VBScript® Console - {590270E8-D2FB-4110-A8CD-B9CF84B9FAF4} - C:\WINDOWS\System32\vbterm.dll (file missing)
O9 - Extra 'Tools' menuitem: VBScript Terminal - {590270E8-D2FB-4110-A8CD-B9CF84B9FAF4} - C:\WINDOWS\System32\vbterm.dll (file missing)
O9 - Extra button: GetWebPics - {4B51A27A-6F76-49E5-BC45-06AE2DDD2A1A} - C:\Program Files\GetWebPics22\Gwp4Ie.dll (HKCU) (falls unbekannt)
O9 - Extra 'Tools' menuitem: Download pictures with GetWebPics - {4B51A27A-6F76-49E5-BC45-06AE2DDD2A1A} - C:\Program Files\GetWebPics22\Gwp4Ie.dll (HKCU) (falls unbekannt)
O9 - Extra 'Tools' menuitem: VBScript Terminal - {590270E8-D2FB-4110-A8CD-B9CF84B9FAF4} - C:\WINDOWS\system32\comdlg32.ocx (HKCU)
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\javako32.exe" /s (file missing)

C:\WINDOWS\system32\winbw32.dll
C:\WINDOWS\msul32.dll
C:\WINDOWS\system32\ipvu32.dll
C:\WINDOWS\system32\wince32.dll
C:\WINDOWS\system32\msxk.exe
C:\WINDOWS\apium.exe
C:\WINDOWS\addyk32.exe
C:\WINDOWS\system32\winwa32.exe
C:\WINDOWS\sysuq.exe
C:\WINDOWS\sysei32.exe
C:\WINDOWS\system32\crws.exe
C:\WINDOWS\apiqv.exe

lösche im abgesicherten modus die gerade genannten dateien.

anschließend neues HJT-Logfile posten.
und wenn es sein muss - hänge die infectedlog an (also das was sich escan_neu.txt nennt)
und leere deinen infected ordner bei norton

Ich frage mich allerdings, ob bei einem selbstvervielfältigtem Trojaner der noch aus dem internet nachlädt eine Neuinstallation nicht die saubere und schnellere möglichkeit ist zumal du ja ne malwareexplosion da hast und ich aufgrund des starken malwarebefalls auch backdoor darunter vermute..

flightplanner · 29.08.2005, 00:55

danke für deine antwort chris14 !

nach den löschungen schaut mein logfile jetzt so aus:

Logfile of HijackThis v1.99.1
Scan saved at 01:51:14, on 29.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\HHVcdV6Sys\VC6SecS.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\Programme\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
C:\Programme\CA\eTrust PestPatrol\PPActiveDetection.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\PC Booster\pcbooster.exe
C:\Programme\NoAds\NoAds.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Utilities\Traxex\TraXEx.exe
C:\Programme\Microsoft Office\Office\1031\MSOFFICE.EXE
C:\Program Files\Utilities\pcwBinToolTip.exe
C:\Dokumente und Einstellungen\l e o\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\prean.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\prean.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\prean.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\prean.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\prean.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\prean.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.findin.org/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\prean.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.at/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {FD61B84C-0010-955A-086A-0FC97935B74A} - C:\WINDOWS\sysen.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\CA\eTrust PestPatrol\PPActiveDetection.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [PC Booster] C:\Programme\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [netld.exe] C:\WINDOWS\netld.exe
O4 - HKLM\..\Run: [mfcea.exe] C:\WINDOWS\system32\mfcea.exe
O4 - HKLM\..\RunOnce: [appqv32.exe] C:\WINDOWS\system32\appqv32.exe
O4 - HKLM\..\RunOnce: [Pest Cleaning] "C:\Programme\CA\eTrust PestPatrol\core\ppclean.exe" "clean" "smartfinder" "2"
O4 - HKLM\..\RunOnce: [sdkzf32.exe] C:\WINDOWS\system32\sdkzf32.exe
O4 - HKCU\..\Run: [NoAds] "C:\Programme\NoAds\NoAds.exe"
O4 - Startup: MSOFFICE.EXE.lnk = C:\Programme\Microsoft Office\Office\1031\MSOFFICE.EXE
O4 - Startup: pcwBinToolTip.lnk = C:\Program Files\Utilities\pcwBinToolTip.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: TraXEx 2.1.lnk = C:\Program Files\Utilities\Traxex\TraXEx.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O9 - Extra button: GetWebPics - {4B51A27A-6F76-49E5-BC45-06AE2DDD2A1A} - C:\Program Files\GetWebPics22\Gwp4Ie.dll (HKCU)
O9 - Extra 'Tools' menuitem: Download pictures with GetWebPics - {4B51A27A-6F76-49E5-BC45-06AE2DDD2A1A} - C:\Program Files\GetWebPics22\Gwp4Ie.dll (HKCU)
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E31669A-BDAC-4070-A349-B996783B850A}: NameServer = 195.34.133.10,195.34.133.11
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\appqv32.exe" /s (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Virtual CD v6 Management Service (VC6SecS) - H+H Software GmbH - C:\Programme\HHVcdV6Sys\VC6SecS.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

so wie oben in einer zeile beginnend mit R1 angegeben, kommt immer wieder
"about blank" als startseite im internet explorer.
wenn ich mit dem firefox ins netz einsteige bleibt die von mir selektierte startseite bestehen.

grüße
heinz

Chris14 · 29.08.2005, 09:27

lösche diese dateien im abgesicherten modus:
C:\WINDOWS\netld.exe
C:\WINDOWS\system32\mfcea.exe
C:\WINDOWS\system32\appqv32.exe
C:\WINDOWS\system32\sdkzf32.exe

fixe diese einträge:
O4 - HKLM\..\Run: [netld.exe] C:\WINDOWS\netld.exe
O4 - HKLM\..\Run: [mfcea.exe] C:\WINDOWS\system32\mfcea.exe
O4 - HKLM\..\RunOnce: [appqv32.exe] C:\WINDOWS\system32\appqv32.exe
O4 - HKLM\..\RunOnce: [sdkzf32.exe] C:\WINDOWS\system32\sdkzf32.exe

jetzt sollteste mal SpHjFix ausführen.
poste dann den log von dem programm.
achja eScan ergebnisse bitte anhängen.

neues HJT-Logfile posten

Sabina · 29.08.2005, 11:03

Hallo@flightplanner

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\prean.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\prean.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\prean.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\prean.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\prean.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\prean.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.findin.org/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\prean.dll/sp.html#37049

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {FD61B84C-0010-955A-086A-0FC97935B74A} - C:\WINDOWS\sysen.dll
O4 - HKLM\..\Run: [netld.exe] C:\WINDOWS\netld.exe
O4 - HKLM\..\Run: [mfcea.exe] C:\WINDOWS\system32\mfcea.exe
O4 - HKLM\..\RunOnce: [appqv32.exe] C:\WINDOWS\system32\appqv32.exe
O4 - HKLM\..\RunOnce: [sdkzf32.exe] C:\WINDOWS\system32\sdkzf32.exe
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\appqv32.exe" /s (file missing)

PC neustarten

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

11Fßä#·ºÄÖ`I

Press 'OK'

warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Meldung (Symantec)--
warnmeldung:bösartiges skript entdeckt --> ignorieren
Object: Windows Script Host Shell Object
Activity: Run
File: C:\Dokumente und E..\RegSrch.vbs

ich will ueberpruefen, ob der Dienst in der Registry mit diesem hier uebereinstimmt:
http://nikita.eddys-domain.de/Artike...7%BA%C4%D6%60I

CCleaner--> loesche alle *temp-Datein
http://nikita.eddys-domain.de/IE.html

•AboutBuster (poste mir dann den Report vom Scan)--> die txt vom Tool suchen
http://nikita.eddys-domain.de/antispywaretools.html
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm (im abgesicherten Modus) ausführen.

dann bitte abarbeiten und alles posten (mit Pfadangabe)
http://nikita.eddys-domain.de/datfindbat.html

flightplanner · 30.08.2005, 14:33

@ sabina & chris14:

danke vorerst für eure antworten, sobald ich wieder vor meinem pc sitze werde ich weitermachen.

bis dann !

flightplanner · 30.08.2005, 22:00

so, das ist jetz das log vom SPSeHjFix

(30.8.05 22:52:41) SPSeHjFix started v1.1.2
(30.8.05 22:52:41) OS: WinXP Service Pack 2 (5.1.2600)
(30.8.05 22:52:41) Language: deutsch
(30.8.05 22:52:41) Win-Path: C:\WINDOWS
(30.8.05 22:52:41) System-Path: C:\WINDOWS\system32
(30.8.05 22:52:41) Temp-Path: C:\DOKUME~1\LEO~1\LOKALE~1\Temp\
(30.8.05 22:52:49) Disinfection started
(30.8.05 22:52:49) Bad-Dll(IEP): c:\windows\prean.dll
(30.8.05 22:52:49) UBF: 8 - UBB: 3 - UBR: 11
(30.8.05 22:52:49) UBF: 8 - UBB: 3 - UBR: 11
(30.8.05 22:52:49) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://c:\windows\prean.dll/sp.html#37049
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar:
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page:
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Search_URL:
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant:
(30.8.05 22:52:49) Stealth-String not found
(30.8.05 22:52:49) No locked Files to delete. End without Reboot
(30.8.05 22:52:56) Disinfection started
(30.8.05 22:52:56) Bad-Dll(IEP): c:\windows\prean.dll
(30.8.05 22:52:56) UBF: 8 - UBB: 3 - UBR: 11
(30.8.05 22:52:56) UBF: 8 - UBB: 3 - UBR: 11
(30.8.05 22:52:56) Bad IE-pages: (none)
(30.8.05 22:52:56) Stealth-String not found
(30.8.05 22:52:56) No locked Files to delete. End without Reboot

(30.8.05 22:53:27) SPSeHjFix started v1.1.2
(30.8.05 22:53:27) OS: WinXP Service Pack 2 (5.1.2600)
(30.8.05 22:53:27) Language: deutsch
(30.8.05 22:53:27) Win-Path: C:\WINDOWS
(30.8.05 22:53:27) System-Path: C:\WINDOWS\system32
(30.8.05 22:53:27) Temp-Path: C:\DOKUME~1\LEO~1\LOKALE~1\Temp\
(30.8.05 22:53:36) Disinfection started
(30.8.05 22:53:36) Bad-Dll(IEP): (not found)
(30.8.05 22:53:36) Bad-Dll(IEP) in BHO: (not found)
(30.8.05 22:53:36) UBF: 8 - UBB: 3 - UBR: 11
(30.8.05 22:53:36) UBF: 8 - UBB: 3 - UBR: 11
(30.8.05 22:53:36) Bad IE-pages: (none)
(30.8.05 22:53:36) Stealth-String not found
(30.8.05 22:53:36) Not infected->END

und hjt:

Logfile of HijackThis v1.99.1
Scan saved at 22:58:29, on 30.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\HHVcdV6Sys\VC6SecS.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
C:\Programme\CA\eTrust PestPatrol\PPActiveDetection.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\PC Booster\pcbooster.exe
C:\WINDOWS\system32\ntfm.exe
C:\Programme\NoAds\NoAds.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Utilities\Traxex\TraXEx.exe
C:\Programme\Microsoft Office\Office\1031\MSOFFICE.EXE
C:\Program Files\Utilities\pcwBinToolTip.exe
C:\Dokumente und Einstellungen\l e o\Startmenü\Programme\015 Systempflege\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.findin.org/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.at/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {FD61B84C-0010-955A-086A-0FC97935B74A} - C:\WINDOWS\sysen.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\CA\eTrust PestPatrol\PPActiveDetection.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [PC Booster] C:\Programme\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [ntfm.exe] C:\WINDOWS\system32\ntfm.exe
O4 - HKLM\..\RunOnce: [Pest Cleaning] "C:\Programme\CA\eTrust PestPatrol\core\ppclean.exe" "clean" "smartfinder" "2"
O4 - HKLM\..\RunOnce: [appqv32.exe] C:\WINDOWS\system32\appqv32.exe
O4 - HKCU\..\Run: [NoAds] "C:\Programme\NoAds\NoAds.exe"
O4 - Startup: MSOFFICE.EXE.lnk = C:\Programme\Microsoft Office\Office\1031\MSOFFICE.EXE
O4 - Startup: pcwBinToolTip.lnk = C:\Program Files\Utilities\pcwBinToolTip.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: TraXEx 2.1.lnk = C:\Program Files\Utilities\Traxex\TraXEx.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O9 - Extra button: GetWebPics - {4B51A27A-6F76-49E5-BC45-06AE2DDD2A1A} - C:\Program Files\GetWebPics22\Gwp4Ie.dll (HKCU)
O9 - Extra 'Tools' menuitem: Download pictures with GetWebPics - {4B51A27A-6F76-49E5-BC45-06AE2DDD2A1A} - C:\Program Files\GetWebPics22\Gwp4Ie.dll (HKCU)
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E31669A-BDAC-4070-A349-B996783B850A}: NameServer = 195.34.133.10,195.34.133.11
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\appqv32.exe" /s (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Virtual CD v6 Management Service (VC6SecS) - H+H Software GmbH - C:\Programme\HHVcdV6Sys\VC6SecS.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Sabina · 30.08.2005, 22:36

Hallo@flightplanner

SpHjFix ausführen. ist absoluter Unsinn bei diesem Hijacker /Virus
arbeite bitte alles ab, was ich gepostet habe

dartus · 30.08.2005, 22:54

Hallo,

bei diesem Malware-Befall ist es IMHO "Unsinn" es zu bereinigen, da immer wieder etwas "neues" auftaucht.

dartus

Sabina · 30.08.2005, 23:33

Hallo@dartus

nein, das ist ein altbekannter "StartseitenVirus", dem man mit ein wenig "Arbeit" leicht loeschen kann.
Man muss den Dienst in der Registry loeschen, alle infizierten Dateien loeschen , mit Antivirus free und AboutBuster im abgesicherten Modus scannen, die *temp-Dateien loeschen, die Systemwiederherstellung deaktivieren und dann ist alles clean

Auf keinen Fall ist es die se.dll\sp.html .. also hat das Tool was Seeker entwickelt hat, keinen Sinn
Man muss schon verstehen, mit den einzelnen Viren+ Antivirentools umzugehen, ...einfach irgendwelche Tools anzupreisen, in der Hoffnung, dass es hilft...nutzt leider nichts.

flightplanner · 31.08.2005, 00:24

jetzt hab ich mich durch deine anweisung durchgeackert.

Das registry search tool hat nach dem scan nur diese meldung gezeigt:

no instances of 11Fßä #•ºÄÖ`I found

AboutBuster 5.0 reference file 28
Scan started on [31.08.2005] at [00:36:37]
------------------------------------------------
Removed Stream! C:\WINDOWS\AquaReal.scr:vvude
Removed Stream! C:\WINDOWS\b2_t_VIDEO%C3%BCBERSPIELUNGEN&323.xml:lrveap
Removed Stream! C:\WINDOWS\b2_t_VIDEO%C3%BCBERSPIELUNGEN&979.xml:hlbsyi
Removed Stream! C:\WINDOWS\Blaue Spitzen 16.bmp:latmhf
Removed Stream! C:\WINDOWS\bootstat.dat:amuxss
Removed Stream! C:\WINDOWS\CDEX.INI:ebdsjp
Removed Stream! C:\WINDOWS\control.ini:lpathq
Removed Stream! C:\WINDOWS\Dpstw.sfq:sdxcjo
Removed Stream! C:\WINDOWS\efdcet.dat:lehply
Removed Stream! C:\WINDOWS\msdfmap.ini:hfieh
Removed Stream! C:\WINDOWS\Nemo's Aquarium 3D Anemonen-Feld.scr:lhxqml
Removed Stream! C:\WINDOWS\orun32.isu:qoagkn
Removed Stream! C:\WINDOWS\SIGVERIF.TXT:vhbbi
Removed Stream! C:\WINDOWS\Swap008E.ini:ccmxto
Removed Stream! C:\WINDOWS\tuhyd.dat:igfssu
Removed Stream! C:\WINDOWS\uhxou.txt

wvulv
Removed Stream! C:\WINDOWS\WMPrfAra.prx:fbkfjb
Removed Stream! C:\WINDOWS\wmprfcsy.prx:ytdkll
Removed Stream! C:\WINDOWS\wmprftrk.prx:ixneq
Removed Stream! C:\WINDOWS\WORDPAD.INI:glalg
------------------------------------------------
Removed File! : C:\Windows\bsufa.dll
Removed File! : C:\Windows\caeps.dll
Removed File! : C:\Windows\fmqjp.dll
Removed File! : C:\Windows\lmliw.dll
Removed File! : C:\Windows\mbtwl.dll
Removed File! : C:\Windows\ogblg.dll
Removed File! : C:\Windows\onuah.dll
Removed File! : C:\Windows\sftdp.dat
Removed File! : C:\Windows\tizhx.dll
Removed File! : C:\Windows\tooor.dat
Removed File! : C:\Windows\vblde.dll
Removed File! : C:\Windows\wkaam.dat
Removed File! : C:\Windows\wvkzo.dll
Removed File! : C:\Windows\System32\augsq.dll
Removed File! : C:\Windows\System32\cclcd.dll
Removed File! : C:\Windows\System32\iabqi.dll
Removed File! : C:\Windows\System32\jcqcg.dll
Removed File! : C:\Windows\System32\jewrf.dll
Removed File! : C:\Windows\System32\lnrhu.dll
Removed File! : C:\Windows\System32\njxwz.dat
Removed File! : C:\Windows\System32\ppayi.dll
Removed File! : C:\Windows\System32\riqop.dll
Removed File! : C:\Windows\System32\rmlsa.dat
Removed File! : C:\Windows\System32\roknt.dll
Removed File! : C:\Windows\System32\tbxot.dat
Removed File! : C:\Windows\System32\vbzbf.dat
Removed File! : C:\Windows\System32\wayko.dll
Removed File! : C:\Windows\System32\yiovc.dll
Removed File! : C:\Windows\System32\zimkq.dll
Removed File! : C:\Windows\System32\zqsio.dll
------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 00:37:29

Und finally die logs vom datfind.bat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D4CD-0E26

Verzeichnis von C:\WINDOWS\system32

30.08.2005 22:25 1.158 wpa.dbl
26.08.2005 21:12 11.758 netnf.exe
26.08.2005 06:50 287.704 FNTCACHE.DAT
25.08.2005 18:28 13.581 uczao.dat
25.08.2005 03:24 13.581 hyrkm.txt
25.08.2005 00:06 3.082 affv11952p1now.sys
24.08.2005 05:44 3.567 imifc.log
24.08.2005 04:27 89.801 winsv32.dll
23.08.2005 18:55 89.801 ipeu32.dll
23.08.2005 14:27 3.567 tzrwv.log
23.08.2005 09:32 89.801 cruu32.dll
23.08.2005 02:12 89.801 atlkv.dll
22.08.2005 07:02 89.801 crur32.dll
22.08.2005 06:15 3.567 znupf.log
22.08.2005 01:51 89.801 mfczk32.dll
22.08.2005 00:03 0 netwh32.exe
22.08.2005 00:03 0 sdkib.exe
22.08.2005 00:03 0 apiez.exe
22.08.2005 00:00 0 javasv.exe
21.08.2005 23:45 11.758 javadv32.exe
21.08.2005 14:15 89.801 syskp32.dll
21.08.2005 06:25 3.567 axfdy.txt
20.08.2005 16:49 13.581 mxqyg.txt
20.08.2005 12:00 89.801 sysuy32.dll
20.08.2005 03:46 197.755 cgwnj.txt
20.08.2005 03:11 197.755 ajaks.log
19.08.2005 23:24 197.755 xzbrc.txt
19.08.2005 22:21 197.755 kpbyb.txt
19.08.2005 21:34 89.801 sdkkr32.dll
19.08.2005 19:23 89.801 apilr32.dll
19.08.2005 17:33 197.755 gkaad.txt
19.08.2005 17:22 89.801 msyg.dll
19.08.2005 16:41 197.755 ydrjn.log
19.08.2005 07:27 11.758 ntmt32.exe
19.08.2005 05:55 89.801 msjz32.dll
19.08.2005 03:41 0 winko32.dll
18.08.2005 22:57 89.801 atlau.dll
18.08.2005 20:52 11.758 apigl.exe
18.08.2005 20:29 11.758 winqm32.exe
18.08.2005 20:16 13.581 apupt.dat
18.08.2005 16:19 11.758 apivo32.exe
18.08.2005 13:23 1.464.160 MRT.exe
18.08.2005 10:29 89.801 addcc.dll
18.08.2005 02:58 197.755 lqxip.dat
17.08.2005 17:39 89.801 netue32.dll
17.08.2005 09:17 197.755 flyvi.dat
17.08.2005 07:28 0 wingc.dll
17.08.2005 03:41 35.319 crgq.exe
16.08.2005 23:33 13.581 xcnzw.log
16.08.2005 19:44 3.567 inold.txt
16.08.2005 10:56 35.319 d3oy32.exe
16.08.2005 10:23 89.801 atldd32.dll
15.08.2005 22:57 89.801 javabc.dll
15.08.2005 19:29 89.801 msqq.dll
15.08.2005 17:53 197.755 npknk.log
15.08.2005 11:38 35.310 ntfm.exe
14.08.2005 22:47 197.755 zxils.log
14.08.2005 20:42 89.801 crdm.dll
14.08.2005 20:17 197.755 edjdx.log
14.08.2005 17:37 3.567 qxdaq.txt
14.08.2005 12:17 197.755 qtsyt.txt
14.08.2005 11:56 89.801 wingr.dll
14.08.2005 11:51 0 sysio32.dll
13.08.2005 13:08 35.310 ieqc32.exe
13.08.2005 11:18 89.801 mfcak32.dll
13.08.2005 02:51 89.801 ipfk.dll
12.08.2005 22:16 3.567 rbpmt.log
12.08.2005 15:40 35.310 javagn32.exe
12.08.2005 09:03 89.801 mfccl32.dll
11.08.2005 23:41 11.758 appqv32.exe
11.08.2005 23:36 89.801 addgp32.dll
11.08.2005 23:20 35.310 ipbr.exe
11.08.2005 23:01 662.528 wininet.dll
11.08.2005 16:44 13.581 ogwqt.dat
11.08.2005 15:30 89.801 sdklo.dll
11.08.2005 12:56 89.801 wingh32.dll
11.08.2005 03:14 13.581 uqkxh.dat
11.08.2005 01:44 0 winaj.dll
11.08.2005 00:42 89.801 mfcxx.dll
10.08.2005 23:19 197.755 yiabq.dat
10.08.2005 20:09 89.801 d3dy32.dll
10.08.2005 13:01 13.581 eeqtw.txt
10.08.2005 09:49 197.755 frnpd.dat
10.08.2005 02:13 197.755 ynbib.dat
09.08.2005 21:24 3.567 kapbr.log
09.08.2005 19:43 197.755 hxtds.dat
09.08.2005 14:15 89.801 sysfp.dll
09.08.2005 12:18 197.755 zyddp.txt
09.08.2005 12:04 89.801 javagx.dll
09.08.2005 10:03 89.801 atlkl.dll
09.08.2005 08:47 35.319 msct32.exe
09.08.2005 07:50 89.801 sdkiv.dll
09.08.2005 05:17 89.801 netvr.dll
09.08.2005 03:39 89.801 apihr32.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D4CD-0E26

Verzeichnis von C:\DOKUME~1\LEO~1\LOKALE~1\Temp

31.08.2005 01:03 16.384 ~WRF0000.tmp
31.08.2005 01:03 512 ~DFF483.tmp
31.08.2005 01:03 512 ~DFB6F0.tmp
31.08.2005 01:03 0 Des2D.tmp
31.08.2005 01:03 2.550 2C.tmp
31.08.2005 00:59 797.676 IMT43.xml
31.08.2005 00:59 426 IMT42.xml
31.08.2005 00:59 2.036 IMT41.xml
31.08.2005 00:55 797.676 IMT1E.xml
31.08.2005 00:55 426 IMT1D.xml
31.08.2005 00:55 2.036 IMT1C.xml
31.08.2005 00:55 797.676 IMT1B.xml
31.08.2005 00:55 426 IMT1A.xml
31.08.2005 00:55 2.036 IMT19.xml
31.08.2005 00:54 797.676 IMT6.xml
31.08.2005 00:54 426 IMT5.xml
31.08.2005 00:54 2.036 IMT4.xml
17 Datei(en) 3.220.510 Bytes
0 Verzeichnis(se), 54.518.849.536 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D4CD-0E26

Verzeichnis von C:\WINDOWS

31.08.2005 01:10 1.691 Edit4Win_Uninstall.in
31.08.2005 01:08 362.838 WindowsUpdate.log
31.08.2005 01:02 0 0.log
31.08.2005 01:01 2.048 bootstat.dat
31.08.2005 00:34 165.086 ntbtlog.txt
31.08.2005 00:32 32.622 SchedLgU.Txt
28.08.2005 23:32 49 NeroDigital.ini
26.08.2005 08:16 35.319 ipne.exe
26.08.2005 01:32 89.801 systx.dll
25.08.2005 17:31 11.758 sdkdi32.exe
25.08.2005 08:37 33 Karte.INI
24.08.2005 23:32 768 ODBC.INI
24.08.2005 05:29 33.336 WMPrfAra.prx
23.08.2005 22:53 67 X2CD.INI
22.08.2005 00:00 0 mfcxx32.exe
21.08.2005 23:49 1.948 ModemLog_Nokia 6610 (Cable).txt
21.08.2005 23:49 4.116 ModemLog_FM-56PCI-HSFi-AB.txt
21.08.2005 23:49 0 d3xc32.exe
21.08.2005 16:12 316.640 WMSysPr9.prx
21.08.2005 11:33 35.319 msul32.exe
21.08.2005 10:00 25 X-System 6 Language & Res.prf
21.08.2005 02:18 3.617 b2_t_VIDEO%C3%BCBERSPIELUNGEN&75.xml
20.08.2005 23:37 89.801 mfcbl32.dll
20.08.2005 22:07 4.520 ODBCINST.INI
20.08.2005 20:12 11.758 apikh.exe
20.08.2005 20:10 32.852 wmprfnor.prx
20.08.2005 20:10 0 xpsp1hfm.log
20.08.2005 20:10 0 ~GLC0000.TMP
20.08.2005 16:35 3.567 uswpl.txt
20.08.2005 08:53 1.474 CDEX.INI
20.08.2005 06:09 8.921 b2_t_VIEDEO%C3%BCBERSPIELUNG&455.xml
20.08.2005 05:49 35.310 iejc32.exe
20.08.2005 04:12 89.801 atlfj32.dll
19.08.2005 12:44 89.801 winat32.dll
19.08.2005 05:57 23.304 WMPrfJpn.prx
18.08.2005 23:12 89.801 ipzs.dll
18.08.2005 17:15 89.801 apinb.dll
18.08.2005 12:05 18.804 WMPrfCHT.prx
18.08.2005 09:43 89.801 atldf.dll
18.08.2005 08:00 11.758 winng.exe
18.08.2005 05:48 3.617 b2_t_VIDEO%C3%BCBERSPIELUNGEN&979.xml
18.08.2005 04:37 3.617 b2_t_VIDEO%C3%BCBERSPIELUNGEN&403.xml
18.08.2005 04:15 197.043 orun32.isu
18.08.2005 03:25 849 orun32.ini
18.08.2005 02:42 13.581 usukm.dat
18.08.2005 00:41 35.319 nteo32.exe
17.08.2005 09:50 89.801 iedu.dll
17.08.2005 05:41 89.801 syssx32.dll
17.08.2005 04:00 89.801 sdkea.dll
17.08.2005 03:07 30 IEDIT.INI
17.08.2005 02:23 89.801 netqd32.dll
16.08.2005 12:57 89.801 apidy.dll
16.08.2005 10:45 1.272 Blaue Spitzen 16.bmp
16.08.2005 08:01 31.764 wmprffin.prx
16.08.2005 07:40 35.822 wmprfplk.prx
16.08.2005 07:40 13.581 ibefh.dat
16.08.2005 07:11 32.022 wmprftrk.prx
16.08.2005 06:28 0 PestPatrol5.INI
16.08.2005 06:08 197.755 hdqst.txt
16.08.2005 06:07 197.755 kkwbs.txt
16.08.2005 05:38 167.936 Living Marine Aquarium Full.scr
16.08.2005 04:26 14 X-System 6 EULA.prf
16.08.2005 03:43 128 ATLAS7.INI
16.08.2005 03:22 3.617 b2_t_VIDEO%C3%BCBERSPIELUNGEN&117.xml
16.08.2005 03:10 89.801 sdkff.dll
16.08.2005 02:32 59 vbaddin.ini
16.08.2005 02:32 13.581 uhxou.txt
15.08.2005 22:03 89.801 javakn.dll
15.08.2005 19:53 0 mgr.INI
15.08.2005 17:53 33.694 wmprfptb.prx
15.08.2005 17:34 401.708 d_eJay4.inf
15.08.2005 16:12 13.581 wvftw.dat
15.08.2005 10:05 71 pex.INI
15.08.2005 07:28 3.209.641 setupapi.log.0.old
15.08.2005 07:01 8.874 b2_t_VIDEO%C3%BCBERSPIELUNG&216.xml
15.08.2005 06:46 13.581 wadps.dat
15.08.2005 05:42 13.581 fspfe.txt
14.08.2005 22:35 13.581 wnlyy.dat
14.08.2005 18:52 50.682 UNNMP.cfg
14.08.2005 15:00 0 PROTOCOL.INI
14.08.2005 13:38 0 atlry32.dll
14.08.2005 13:21 197.755 hbphp.dat
14.08.2005 12:47 89.801 ieow32.dll
14.08.2005 11:51 65.954 Pr„riewind.bmp
14.08.2005 07:55 11.758 mfchq.exe
14.08.2005 05:17 197.755 hhoju.dat
13.08.2005 22:37 1.405 msdfmap.ini
13.08.2005 18:27 89.801 crfn32.dll
13.08.2005 15:03 3.887 b2_t_FACHHOCHSCHULE+EUROP%C3%A4ISCHE+WIRTSCHAFT&49.xml
13.08.2005 13:45 3.567 yqwlt.txt
13.08.2005 13:30 11.758 sdkff.exe
13.08.2005 08:12 197.755 kaudi.dat
13.08.2005 08:12 13.581 jxecj.dat
13.08.2005 03:27 13.581 slinb.txt
13.08.2005 03:11 197.755 ioqsg.dat
13.08.2005 01:51 89.801 wineg32.dll
13.08.2005 01:37 144 Ulead32.ini
12.08.2005 22:11 567 imaginationx.ini
12.08.2005 21:43 0 msui.dll
12.08.2005 20:40 89.801 sdkky32.dll
12.08.2005 16:01 11.758 apior.exe
12.08.2005 10:02 197.755 dftxx.txt
12.08.2005 04:46 698 JeppView.ini
12.08.2005 01:35 35.319 ieve.exe
11.08.2005 20:22 37.916 wmprffra.prx
11.08.2005 18:28 11.758 netmn32.exe
11.08.2005 15:26 13.581 tzkql.dat
11.08.2005 14:58 311 tb60r.ini
11.08.2005 14:49 3.887 b2_t_FACHHOCHSCHULE+EUROP%C3%A4ISCHE+WIRTSCHAFT&558.xml
11.08.2005 13:46 11.758 atlko32.exe
11.08.2005 12:55 403.483 X-System 6 X-Plane.prf
11.08.2005 12:55 299.552 WMSysPrx.prx
11.08.2005 12:33 3.362 express.eqx
11.08.2005 12:12 445 EntPack.dat
11.08.2005 12:12 106 Display.ini
11.08.2005 10:15 2.700 mozver.dat
11.08.2005 10:05 197.755 fyvbu.dat
11.08.2005 06:55 89.801 apiev32.dll
10.08.2005 22:36 38.232 wmprfsky.prx
10.08.2005 22:32 8.874 b2_t_VIDEO%C3%BCBERSPIELUNG&945.xml
10.08.2005 14:39 8.921 b2_t_VIEDEO%C3%BCBERSPIELUNG&604.xml
10.08.2005 14:19 89.801 javaen.dll
10.08.2005 12:18 89.801 appic.dll
10.08.2005 12:04 6.123 b2_t_%22OVB+ERFAHRUNG%22&116.xml
10.08.2005 08:35 89.801 addak32.dll
10.08.2005 05:35 13.581 ofskt.txt
10.08.2005 05:33 35 winreg.ini
10.08.2005 05:24 33.820 WMPrfDEU.prx
10.08.2005 05:11 82.944 clock.avi
09.08.2005 19:18 172.128 msview.ini
09.08.2005 18:38 8.874 b2_t_VIDEO%C3%BCBERSPIELUNG&324.xml
09.08.2005 18:01 89.801 d3fh32.dll
09.08.2005 17:58 89.801 crgm32.dll
09.08.2005 17:31 1.032.192 AquaReal.scr
09.08.2005 16:09 48.680 winnt.bmp
09.08.2005 14:13 72 control.ini
09.08.2005 13:52 125 asym.ini
09.08.2005 12:20 13.581 wtjzr.txt
09.08.2005 07:53 89.801 mfcol32.dll
09.08.2005 06:08 28.718 wmprfheb.prx
09.08.2005 05:35 11.758 d3ay.exe
09.08.2005 05:09 9.522 Zapotek.bmp
09.08.2005 05:09 36.594 wmprfell.prx
09.08.2005 03:35 1.840 euroconv.inf

flightplanner · 31.08.2005, 00:27

...der smiley im vorigen logtext ist da unbeabsichtigt reingerutscht...

Sabina · 31.08.2005, 10:05

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\appqv32.exe" /s (file missing)

•KillBox
http://bilder.informationsarchiv.net...ls/KillBox.zip
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\netnf.exe
C:\WINDOWS\system32\uczao.dat
C:\WINDOWS\system32\hyrkm.txt
C:\WINDOWS\system32\affv11952p1now.sys
C:\WINDOWS\system32\imifc.log
C:\WINDOWS\system32\winsv32.dll
C:\WINDOWS\system32\ipeu32.dll
C:\WINDOWS\system32\tzrwv.log
C:\WINDOWS\system32\cruu32.dll
C:\WINDOWS\system32\atlkv.dll
C:\WINDOWS\system32\crur32.dll
C:\WINDOWS\system32\znupf.log

C:\WINDOWS\system32\mfczk32.dll
C:\WINDOWS\system32\netwh32.exe
C:\WINDOWS\system32\sdkib.exe
C:\WINDOWS\system32\apiez.exe
C:\WINDOWS\system32\javasv.exe
C:\WINDOWS\system32\javadv32.exe
C:\WINDOWS\system32\syskp32.dll
C:\WINDOWS\system32\axfdy.txt
C:\WINDOWS\system32\mxqyg.txt
C:\WINDOWS\system32\sysuy32.dll
C:\WINDOWS\system32\cgwnj.txt
C:\WINDOWS\system32\ajaks.log
C:\WINDOWS\system32\xzbrc.txt
C:\WINDOWS\system32\kpbyb.txt
C:\WINDOWS\system32\sdkkr32.dll
C:\WINDOWS\system32\apilr32.dll
C:\WINDOWS\system32\gkaad.txt
C:\WINDOWS\system32\msyg.dll
C:\WINDOWS\system32\ydrjn.log
C:\WINDOWS\system32\ntmt32.exe
C:\WINDOWS\system32\msjz32.dll
C:\WINDOWS\system32\winko32.dll
C:\WINDOWS\system32\atlau.dll
C:\WINDOWS\system32\apigl.exe
C:\WINDOWS\system32\winqm32.exe
C:\WINDOWS\system32\apupt.dat
C:\WINDOWS\system32\apivo32.exe

C:\WINDOWS\system32\addcc.dll
C:\WINDOWS\system32\lqxip.dat
C:\WINDOWS\system32\netue32.dll
C:\WINDOWS\system32\flyvi.dat
C:\WINDOWS\system32\wingc.dll
C:\WINDOWS\system32\crgq.exe
C:\WINDOWS\system32\xcnzw.log

immer nur ab C:\ reinkopieren...

16.08.2005 19:44 3.567 C:\WINDOWS\system32\inold.txt
16.08.2005 10:56 35.319 C:\WINDOWS\system32\d3oy32.exe
16.08.2005 10:23 89.801 C:\WINDOWS\system32\atldd32.dll
15.08.2005 22:57 89.801 C:\WINDOWS\system32\javabc.dll
15.08.2005 19:29 89.801 C:\WINDOWS\system32\msqq.dll
15.08.2005 17:53 197.755 C:\WINDOWS\system32\npknk.log
15.08.2005 11:38 35.310 C:\WINDOWS\system32\ntfm.exe
14.08.2005 20:42 89.801 C:\WINDOWS\system32\crdm.dll
14.08.2005 20:17 197.755 C:\WINDOWS\system32\edjdx.log
14.08.2005 17:37 3.567 C:\WINDOWS\system32\qxdaq.txt
14.08.2005 12:17 197.755 C:\WINDOWS\system32\qtsyt.txt
14.08.2005 11:56 89.801 C:\WINDOWS\system32\wingr.dll
14.08.2005 11:51 0 C:\WINDOWS\system32\sysio32.dll
13.08.2005 13:08 35.310 C:\WINDOWS\system32\ieqc32.exe
13.08.2005 11:18 89.801 C:\WINDOWS\system32\mfcak32.dll
13.08.2005 02:51 89.801 C:\WINDOWS\system32\ipfk.dll
12.08.2005 22:16 3.567 C:\WINDOWS\system32\rbpmt.log
12.08.2005 15:40 35.310 C:\WINDOWS\system32\javagn32.exe
12.08.2005 09:03 89.801 C:\WINDOWS\system32\mfccl32.dll
11.08.2005 23:41 11.758 C:\WINDOWS\system32\appqv32.exe
11.08.2005 23:36 89.801 C:\WINDOWS\system32\addgp32.dll
11.08.2005 23:20 35.310 C:\WINDOWS\system32\ipbr.exe

11.08.2005 16:44 13.581 C:\WINDOWS\system32\ogwqt.dat
11.08.2005 15:30 89.801 C:\WINDOWS\system32\sdklo.dll
11.08.2005 12:56 89.801 C:\WINDOWS\system32\wingh32.dll
11.08.2005 03:14 13.581 C:\WINDOWS\system32\uqkxh.dat
11.08.2005 01:44 0 C:\WINDOWS\system32\winaj.dll
11.08.2005 00:42 89.801 C:\WINDOWS\system32\mfcxx.dll
10.08.2005 23:19 197.755 C:\WINDOWS\system32\yiabq.dat
10.08.2005 20:09 89.801 C:\WINDOWS\system32\d3dy32.dll
10.08.2005 13:01 13.581 C:\WINDOWS\system32\eeqtw.txt
10.08.2005 09:49 197.755 C:\WINDOWS\system32\frnpd.dat
10.08.2005 02:13 197.755 C:\WINDOWS\system32\ynbib.dat
09.08.2005 21:24 3.567 C:\WINDOWS\system32\kapbr.log
09.08.2005 19:43 197.755 C:\WINDOWS\system32\hxtds.dat
09.08.2005 14:15 89.801 C:\WINDOWS\system32\sysfp.dll
09.08.2005 12:18 197.755 C:\WINDOWS\system32\zyddp.txt
09.08.2005 12:04 89.801 C:\WINDOWS\system32\javagx.dll
09.08.2005 10:03 89.801 C:\WINDOWS\system32\atlkl.dll
09.08.2005 08:47 35.319 C:\WINDOWS\system32\msct32.exe
09.08.2005 07:50 89.801 C:\WINDOWS\system32\sdkiv.dll
09.08.2005 05:17 89.801 C:\WINDOWS\system32\netvr.dll
09.08.2005 03:39 89.801 C:\WINDOWS\system32\apihr32.dll

C:\WINDOWS\ipne.exe
C:\WINDOWS\systx.dll
C:\WINDOWS\sdkdi32.exe
C:\WINDOWS\mfcxx32.exe
C:\WINDOWS\d3xc32.exe
C:\WINDOWS\msul32.exe
C:\WINDOWS\apikh.exe
C:\WINDOWS\iejc32.exe
C:\WINDOWS\atlfj32.dll
C:\WINDOWS\winat32.dll
C:\WINDOWS\winng.exe
C:\WINDOWS\usukm.dat
C:\WINDOWS\nteo32.exe
C:\WINDOWS\iedu.dll
C:\WINDOWS\syssx32.dll
C:\WINDOWS\sdkea.dll
C:\WINDOWS\netqd32.dll
C:\WINDOWS\apidy.dll
C:\WINDOWS\ibefh.dat
C:\WINDOWS\wvftw.dat
C:\WINDOWS\wadps.dat
C:\WINDOWS\fspfe.txt
C:\WINDOWS\wnlyy.dat
C:\WINDOWS\atlry32.dll
C:\WINDOWS\hbphp.dat
C:\WINDOWS\ieow32.dll
C:\WINDOWS\mfchq.exe
C:\WINDOWS\hhoju.dat
C:\WINDOWS\crfn32.dll
C:\WINDOWS\yqwlt.txt
C:\WINDOWS\sdkff.exe
C:\WINDOWS\kaudi.dat
C:\WINDOWS\jxecj.dat
C:\WINDOWS\slinb.txt
C:\WINDOWS\ioqsg.dat
C:\WINDOWS\wineg32.dll
C:\WINDOWS\imaginationx.ini
C:\WINDOWS\msui.dll
C:\WINDOWS\sdkky32.dll
C:\WINDOWS\apior.exe
C:\WINDOWS\dftxx.txt
C:\WINDOWS\ieve.exe
C:\WINDOWS\netmn32.exe
C:\WINDOWS\tzkql.dat
C:\WINDOWS\tb60r.ini
C:\WINDOWS\atlko32.exe
C:\WINDOWS\fyvbu.dat
C:\WINDOWS\apiev32.dll
C:\WINDOWS\javaen.dll
C:\WINDOWS\appic.dll
C:\WINDOWS\addak32.dll
C:\WINDOWS\ofskt.txt
C:\WINDOWS\d3fh32.dll
C:\WINDOWS\crgm32.dll
C:\WINDOWS\wtjzr.txt
C:\WINDOWS\mfcol32.dll

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://nikita.eddys-domain.de/reinig...sregistry.html

•Antivirus (free)
http://nikita.eddys-domain.de/antivirus.html
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

•Ad-aware SE Personal
http://nikita.eddys-domain.de/antispywaretools.html
http://nikita.eddys-domain.de/adaware.html

gehe in den abgesicherten Modus
http://www.trojaner-board.de/63335-w...s-starten.html

scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scan
vonm Antivirus + AdAware SE

scanne auch noch mal mit AboutBuster, solange, bis nichts mehr erscheint im Text-Log

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
+
das neue Log vom HIjacktHis

startseite im internet explorer

Log-Analyse und Auswertung: startseite im internet explorer