hallo zusammen,

habe auf der rechten seite meines desktops so eine "tolle" leiste mit online pharmacy, gambling etc.....
microsoft anti spyware findet nix...........
bitte schaut euch mal mein hijack file an und sagt mir bitte was ich tun muss

danke




Logfile of HijackThis v1.99.1
Scan saved at 11:08:29, on 09.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programme\HHVcdV5Sys\VC5Play.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DayDisplay\DayDisplay.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\Programme\Helexis\Drive Health\dhcore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Programme\Virtual CD v5\System\VC5Tray.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\HHVcdV5Sys\VC5SecS.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\MONIKA\Desktop\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [VC5Player] C:\Programme\HHVcdV5Sys\VC5Play.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\system32\yaemu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DayDisplay] C:\Programme\DayDisplay\DayDisplay.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A104ED6-4A8F-470E-8513-602C77D14A0D}: NameServer = 85.255.114.67,85.255.112.13
O17 - HKLM\System\CS1\Services\Tcpip\..\{2A104ED6-4A8F-470E-8513-602C77D14A0D}: NameServer = 85.255.114.67,85.255.112.13
O17 - HKLM\System\CS2\Services\Tcpip\..\{2A104ED6-4A8F-470E-8513-602C77D14A0D}: NameServer = 85.255.114.67,85.255.112.13
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: DriveHealth - Helexis Software Development - C:\Programme\Helexis\Drive Health\dhcore.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Programme\HHVcdV5Sys\VC5SecS.exe

Hallo,
könnte übel sein, untersuche dein System mal mit F-Secure Blacklight und poste das Log (die Textdatei die im selben Pfad erstellt wird).


Grüße Wildone

hat anscheinend was gefunden!


12/09/05 11:41:18 [Info]: BlackLight Engine 1.0.29 initialized
12/09/05 11:41:18 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/09/05 11:41:18 [Note]: 7019 4
12/09/05 11:41:18 [Note]: 7005 0
12/09/05 11:41:21 [Note]: 7006 0
12/09/05 11:41:21 [Note]: 7011 1248
12/09/05 11:41:22 [Note]: FSRAW library version 1.7.1013
12/09/05 11:41:55 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
12/09/05 11:41:55 [Note]: 10002 1
12/09/05 11:41:56 [Info]: Hidden file: C:\WINDOWS\system32\idemlog.exe
12/09/05 11:41:56 [Note]: 10002 1
12/09/05 11:41:57 [Info]: Hidden file: C:\WINDOWS\system32\csxan.exe
12/09/05 11:41:57 [Note]: 7002 32
12/09/05 11:41:57 [Note]: 7003 1
12/09/05 11:41:57 [Note]: 10002 1
12/09/05 11:41:57 [Info]: Hidden file: C:\WINDOWS\system32\favset.exe
12/09/05 11:41:57 [Note]: 10002 1
12/09/05 11:42:01 [Info]: Hidden file: C:\WINDOWS\system32\howiper.exe
12/09/05 11:42:01 [Note]: 10002 1
12/09/05 11:42:02 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
12/09/05 11:42:02 [Note]: 10002 1
12/09/05 11:42:04 [Info]: Hidden file: C:\WINDOWS\system32\sphlp32.exe
12/09/05 11:42:04 [Note]: 10002 1
12/09/05 11:42:05 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
12/09/05 11:42:05 [Note]: 10002 1

Hallo,
also, da du ein Rootkit auf dem rechner hast tendiere ich dazu dir zu raten den Rechner neu aufzusetzen. Du solltest dir auch mal wirklich Gedanken über die Absicherung machen, das ist jetzt innerhalb der letzten drei Monate das zweite Mal das du eine schwerwiegende Infektion hast, das kommt wahrscheinlich davon das du dich auf Warezseiten rumtreibst, bzw. Programme von diesen ausführst.
Hier ist eine Anleitung wie du beim Neuaufsetzen und nachfolgenden absichern vorgehen solltest.


Grüße Wildone

hi,

waren 2 unterschiedliche pcs, auf denen ich die probleme hatte. auf diesem hier hab ich eigentlich immer brav alle updates ausgeführt. alles von microsoft, meinen virenscanneren, servicepack 2 etc.......

aber naja, wenn du meinst, dass mir nichts anderes übrig bleibt, muss ich den wohl neu aufsetzen........
meinst du es gibt wenigstens eine möglichkeit diese leiste am desktop wegzubekommen??? also auch ohne aufsetzen???

lg

Hallo,
also die Leiste würde mir an deiner Stelle am wenigsten Sorgen machen, mehr Sorgen solltest du dir machen das im Moment alle Anfragen von dir an das Internet über einen Server in der Ukraine geleitet werden...
Und nochmal, das hat wenig mit Systemaktualität zu tun, wenn man sich fragwürdige Programme auf den Rechner holt kann einen das aktuellste System und der beste Virenscanner davor nicht schützen.
Auch möglich das es mit den Sicherheitsdeinstellungen des IE zu tun hat, und sich das Programm automatisch installieren konnte. Abhilfe schafft da nur IE besser konfigurieren (steht unter anderem auch in der Anleitung zum neu aufsetzen) oder ein alternativer Browser.


Grüße Wildone

hi,

kann schon sein, dass das am IE liegt, denn ich habe (zumindest nicht wissentlich) kein fragwürdiges programm installiert..........
wie gesagt, würde trotzdem gern mal diese leiste weg bekommen, wenn das geht......
da ich den pc zum neu aufsetzen wohl meinem schwiegervater geben werde und der muss nicht unbedingt diese online pharmacy, xxx-vids leiste sehen *g* ich weiß es ist lächerlich, aber trotzdem *g*

also, wenn du ein remove tool kennst, mit dem ich die leiste wegbringe, dann sags mir bitte!!!

danke

Hallo,
verstehe, gehe mal bei F-Secure Blacklight auf Rename bei allen Dateien ausser
C:\WINDOWS\system32\wbem\wbemtest.exe .
Diese sehen dann so aus:
C:\WINDOWS\system32\idemlog.exe.ren
C:\WINDOWS\system32\csxan.exe.ren
.
.
.
Die löschst du dann alle (Dateien richtig suchen)
und fixt dann mit HijackThis die drei O17 Einträge, dann erstattest du mal Bericht ob die Leiste noch da ist.


Grüße Wildone

was bedeutet fixen der O17 einträge??
wie funktioniert das?

Hallo,
fixen heißt bei HijackThis einen Haken vor den jeweiligen eintrag machen und auf "fix checked" klicken.


Grüße Wildone

hi,

danke, die leiste scheint weg zu sein.....
den rest wird dann wohl mein schwiegerpapi machen *g*

danke dir vielmals.....

lg

Hallo,

Zitat:

danke dir vielmals.....

De rien, wie der Franzmann sagt. Für die Zukunft noch mal der Vorschlag, alternativer Browser (Firefox, Mozilla, Opera) oder/und IE sicher konfigurieren.


Grüße Wildone