kann bitte wer meine log durchsehen ?

Escor · 01.11.2005, 02:35

hi,
folgendes problem mein rechner ist ihrgendwie merksam langsamer geworden und heute mittag hat mir ein freund per icq geschrieben die seite www.******.de ist langweilig komisch daran war nur das ich kruzvoher auf der seite war das machte mich natürlich stuzig ...

hab sofort spybot und kaspersky durchlaufen lassen die haben auch was gefunden aber bin mir nicht sicher ob das auch alles war wäre lieb wenn ma einer gucken könnte

interessant fand ich die nail.exe ... aber schaut selbst ...

Logfile of HijackThis v1.99.1
Scan saved at 02:26:32, on 01.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Windows ControlAd\WinCtlAd.exe
C:\Program Files\Windows ServeAd\WinServAd.exe
C:\Programme\QuickTime\qttask.exe
C:\Program Files\Windows ServeAd\WinServSuit.exe
C:\Program Files\Windows AdStatus\WinStat.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Program Files\Windows AdStatus\WinStatKeep.exe
C:\Program Files\Media Gateway\MediaGateway.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/search?hl=de&q=&meta=lr%3Dlang_de
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {F2A4407B-FFBC-4A1F-A18A-0F68C3E0FC9E} - C:\WINDOWS\System32\baheiuqu.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKLM\..\Run: [bkxohmd] C:\WINDOWS\bkxohmd.exe
O4 - HKLM\..\Run: [Rdbuizj] C:\Program Files\Hamp\Xeuf.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [bdr1etrm] C:\WINDOWS\system32\bdr1etrm.exe
O4 - HKLM\..\Run: [pquiov] C:\WINDOWS\system32\omehehk.exe r
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O4 - Startup: FAH.lnk = ?
O4 - Startup: Product Registration.lnk = G:\ATR1.exe
O4 - Startup: Sid Registration.lnk = G:\ATR1.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6FF12A3-8CEC-4751-B241-AD03FE2803C3}: NameServer = 192.1**.**.**
O17 - HKLM\System\CCS\Services\Tcpip\..\{B0A75457-C772-4819-825E-610FE2BD0D10}: NameServer = 192.1**.**.**
O20 - Winlogon Notify: WB - C:\PROGRA~1\STARDOCK\OBJECT~1\WINDOW~1\fastload.dll
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Labs - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

s.gabriel · 01.11.2005, 10:28

Da schein schon etwas nicht in ordnung zu sein,

kopiere das Log file mal in die Folgende Seite:

http://www.hijackthis.de/

dann wenn die seite neu geladen ist und das eingabefeld leer ist musst du nach unten scrollen, da stehendann deine ergebnisse...

wie man dann am besten weiter vorgeht kann ich dir aber leider auch nicht sagen...

also schaus dir am besten selber mal an du weißt am besten was du installiert hast und was du nicht installiert hast...

greets

dartus · 01.11.2005, 10:59

Hallo Escor,

downloade Dir:

- clearprog 1.4.1 final
- Adaware
- dieses Tool

Adaware installieren und updaten (ebenso "Spybot" und Dein Antivrenprogramm)

Deinstalliere über Systemsteuerung/Software --> Mediatickets, Windows ControlAd, Windows ServeAd, Windows AdStatus, Media Gateway, Hamp oder jeweils ähnlich lautende Software sowie andere Dir unbekannte Programme.

Starte "clearprog" -> Häckchen bei "alles Löschen" und auf löschen klicken

Starte das "Tool". Wenn Du bei Punkt 6 angelangt bist ( im abgesicherten Modus bei deaktivierter Systemwiederherstellung), folgendes ebenfalls fixen (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe (falls noch vorhanden)
O2 - BHO: (no name) - {F2A4407B-FFBC-4A1F-A18A-0F68C3E0FC9E} - C:\WINDOWS\System32\baheiuqu.dll (file missing)
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKLM\..\Run: [bkxohmd] C:\WINDOWS\bkxohmd.exe
O4 - HKLM\..\Run: [Rdbuizj] C:\Program Files\Hamp\Xeuf.exe
O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 - HKLM\..\Run: [bdr1etrm] C:\WINDOWS\system32\bdr1etrm.exe
O4 - HKLM\..\Run: [pquiov] C:\WINDOWS\system32\omehehk.exe r <-- dies ist der "Zufallsschlüssel" leicht zu erkennen am kleinen "r", Dateiname ändert sich bei jedem Neustart)

Manuell löschen (falls noch vorhanden), einstellen ->Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "Häckchen weg“ und "Alle Dateien und Ordner Anzeigen" anklicken:
C:\Program Files\Windows ControlAd
C:\Program Files\Windows ServeAd
C:\Program Files\Windows AdStatus
C:\Program Files\Media Gateway
C:\WINDOWS\bkxohmd.exe
C:\Program Files\Hamp
C:\WINDOWS\system32\bdr1etrm.exe
C:\WINDOWS\system32\omehehk.exe <-- der jeweilige aktuelle Dateiname

Scanne nacheinander mit Antivir-Programm, Spybot und Adaware. Alle Funde löschen.

Papierkorb leeren

Neustart --> Systemwiederherstellung kann wieder aktiviert werden --> neues Logfile

dartus

kann bitte wer meine log durchsehen ?

Log-Analyse und Auswertung: kann bitte wer meine log durchsehen ?