Logfile of HijackThis v1.99.1
Scan saved at 20:21:45, on 23.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
C:\Programme\Media Key\mouse\MOUSE32A.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
C:\Programme\Opera\Opera.exe
C:\Programme\WinAce\WinAce.exe
C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.usa.com/member/login.page
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: WebHlprObj Class - {51FE6352-22F5-45ab-95F4-DF1582612229} - C:\Dokumente und Einstellungen\**\Eigene Dateien\1819003.dll (file missing)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LexPPS.exe] C:\WINDOWS\System32\lexpps.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Media Key\mouse\MOUSE32A.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [RtWLan] C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe /H
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [0190 Alarm] C:\Programme\0190 Alarm\0190Alarm.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00000000-5555-0704-0B53-2C8830E9FAEC} - http://install.questnet.de/soft/ieloader.cab
O16 - DPF: {1B9935E4-8A50-4DD8-BD09-A7518723BF97} (eAssist NetAgent Customer ActiveX Control version 3) - http://etalk.epson.de/netagent/objects/custappx3.CAB
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (pixaco IE Drop-Upload) - http://express.bilderservice.de/static/download/iedropupload.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/18a498a6731461fd8516/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\TA\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe



Wäre nett, wenn mir jemadn helfen könnte den Code hier zu entschlüsseln VIIEEEELEN DANK!!

Hallo,
sieht recht sauber aus, den hier:
O16 - DPF: {00000000-5555-0704-0B53-2C8830E9FAEC} - hxxp://install.questnet.de/soft/ieloader.cab
solltest du noch fixen (Haken davor und auf "fix checked").

Außerdem solltest du dich mal mit einem alternativen Browser(Firefox, Opera, Mozilla) beschäftigen und/oder konfiguriere den IE besser.

Edit:
sehe gerade du nutzt schon Opera, also vergiß das oben gepostete.

Grüße Wildone

Hi, vielen Dank für die schnelle Antwort ich benutze schon ne weile Opera, weis nicht warum IE angezeigt wird (vielleicht standard?)

Was meinst du mit fixen? NAch dem Scan oder wie?

hallo

du hast einen dialer auf deinem PC (0190Alarm.exe)
lade dir adaware herunter und scanne damit deine festplatte
link zum ad aware download: http://www.download.com/3120-20_4-0.html?qt=ad+aware&tg=dl-20&search.x=0&search.y=0&search=+Go%21

und mit HijackThis diese einträge fixen:

O2 - BHO: WebHlprObj Class - {51FE6352-22F5-45ab-95F4-DF1582612229} - C:\Dokumente und Einstellungen\**\Eigene Dateien\1819003.dll (file missing)

O16 - DPF: {00000000-5555-0704-0B53-2C8830E9FAEC} - http://install.questnet.de/soft/ieloader.cab

O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\TA\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)

Also brauche ich gar nix fixen?

Ich hätte da noch einmal eine Frage...
Würde mal gerne wissen, wie man ein infiziertes System an der HJT File erkennen kann. Also was das HJT aussagt usw...
Wäre echt nett, wenn du mir das mal erklären könntest (natürlich nur, wenn du Lust und Zeit hast) oder ist das zu umfangreich?

Lg

Hallo,
fixen= einen Haken bei HijackThis vor den Eintrag machen und dann auf "fix checked" klicken.
Edit:
doch das sollst du schon fixen.

Die andere Frage ist schwer, man sieht bei HijackThis z.B. welche Prozesse laufen, und wenn dort welche laufen die nicht "normal" sind hat man schon mal einen Verdacht. Außerdem sieht man veränderungen die an den Browsereinstellungen vorgenommen wurden (Veränderung der Startseite, Umleitung gewisser Seiten etc.) Außerdem wird angezeigt welche Programme automatisch gestartet werden, was Malware ja muss sonst würde sie nach jedem Neustart inaktiv in der Ecke liegen. Weitere Details/Ausnahmen usw. würde dann aber doch den Rahmen sprengen.



Grüße Wildone

[QUOTE=The Don - D.R.]hallo

du hast einen dialer auf deinem PC (0190Alarm.exe)

Hi,
kann es nicht auch sein, dass das ein DialerSchutzProgramm ist? Ich habe das nämlich mal von Computerbild installiert... wawr eigentlich gegen Dialer gedacht

ich persönlich mache es immer mit der hilfe von dieser page:
http://www.trojaner-board.de/51130-a...ijackthis.html

wenn file missing neben einem eintrag steht, bedeutet das, dass die datei, die zu diesem eintrag gehört fehlt.

zu 0190Alarm.exe:

bei solchen dateien die mir verdächtig vorkommen google ich nach und dann hab ich das herausgefunden.
wenn du diese datei kennst dann ist ja alles in ordnung

Hallo,
@The Don - D.R.
0190alarm.exe gehört aber meines Wissens zu einem Dialerschutzprogramm.

Edit
Habe dein Posting glaube ich falsch verstanden, ist schon spät, ich glaube ich ziehe mich jetzt langsam zurück.

Grüße Wildone

Hi Wildone,
ne ich glaube er hat schon gemeint, dass es ein Dialer ist...
Und ich habe geschrieben, dass ich es als schutzprogramm von Computerbild installiert habe.

Aber ich danke euch zwei auf jedenfall herzlich für die Hilfe!!!!

Wünsche euch noch einen schönen abend!