Hallo,

Also ich hab gesehn wie toll den anderen geholfen wurde, nun hoffe ich das ihr es auch bei mir macht
Ich würde diese Swizzor-Nervensäge gerne loswerden, denn mein AV mault jeden Tag mehrere Male


Logfile of HijackThis v1.99.1
Scan saved at 16:30:53, on 18.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\WebRebates4\webrebates.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\StarOffice6.0\program\soffice.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WebRebates4\w11150.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Sierra\EE-ZDE\EE-AOC.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\User\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/ymsgr6/us/*http://www.yahoo.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/us/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/ymsgr6/us/*http://www.yahoo.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R3 - Default URLSearchHook is missing
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O2 - BHO: (no name) - {6045B5D7-CA4E-4D95-9D10-10597E77026F} - C:\WINDOWS\system32\Audiodew.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: ADefaultSearch Class - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Programme\Accoona\ASearchAssist.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programme\Anti-Blaxx\Anti-Blaxx.exe
O4 - HKLM\..\Run: [webrebates] "C:\Programme\WebRebates4\webrebates.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Global Five Trust Blah] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Wait bias global five\PLATFORM KIND.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] REM C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Audio mess] C:\DOKUME~1\User\ANWEND~1\POLLDE~1\Hold Does Trans.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Startup: StarOffice 6.0.lnk = C:\Programme\StarOffice6.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb029YYDE_ZCYYYYYYYYDE
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Web Rebates. - file://C:\Programme\WebRebates4\websrebates\webtrebates\toprC0.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programme\Yahoo!\Common/ycsms.htm
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei-2/SmileyCentralFWBInitialSetup1.0.0.8-2.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {47CEF84E-92D8-4C4A-86D7-CB982889DCC0} (Oberon Media Network Optimizer) - http://mp1.mplay.oberon-media.com/client/flashnet.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Bitte Bitte helft mir


Aber bitte ned zu viele "Fachbegriffe" verwenden, ich bin nicht grade die bewandertste Person bei der Computersprache!

Greetz c0MMi...

Hallo,
Swizzor ist aber nicht dein einziges Problem, du hast noch mindesten zwei bis drei weitere. Arbeite erstmal diese anleitung ab und poste dann ein neues HijackThis Logfile, die für Swizzor wichtigen Einträge sind:

O4 - HKLM\..\Run: [Global Five Trust Blah] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Wait bias global five\PLATFORM KIND.exe
O4 - HKCU\..\Run: [Audio mess] C:\DOKUME~1\User\ANWEND~1\POLLDE~1\Hold Does Trans.exe


Grüße Wildone

Danke erstma für diese schnelle Antwort, also ich arbeite das jetzt ab!

Ich weiß jetzt nicht ob ich die

O4 - HKLM\..\Run: [Global Five Trust Blah] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Wait bias global five\PLATFORM KIND.exe

und

O4 - HKCU\..\Run: [Audio mess] C:\DOKUME~1\User\ANWEND~1\POLLDE~1\Hold Does Trans.exe

löschen soll O.o bei HijackThis

Greezt c0MMi

Hallo,
einfach die Anleitung abarbeiten, dort wird genau (hoffe ich) erklärt was du mit den Einträgen bzw. mit den Ordnern auf die sie sich besziehen machen sollst.
Ich wollte dir nur ersparen die einträge selbst suchen zu müssen (Anleitung Punkt 3.)


Grüße Wildone

Da hab ich schon die nächste Frage, sorry für den Stress!

Also soll ich die Anleitung gleich voll abarbeiten oder erstmal abwarten ob Meldungen von AV immernoch kommen? (Punkt 1)
Oder gleich weitermachen mit Punkt 2; 3; 4; etc.?


Greezt c0MMi

Hallo,
arbeite mal alles ab, oder weißt du von welchem Programm du es hast, und hast diese deinstalliert?


Grüße Wildone

Nein, nich bewusst! Jedoch habe ich aus einem anderen Thread schonma gelesen das es hauptsächlich von Netpumper und MessengerPlus3 kommt, drum hab ich das schon im voraus deinstalliert!

Also ich werde mich dann mal an die Arbeit machen...

Vielen Dank, Greezt c0MMi

Ähm ich glaube ich bin dafür zu dumm oder zu blind vielleicht ist aber auch einfach nichts davon da

Wenn ich in deine Anleitung ansehe (Punkt 3) dann finde ich solche Sachen nicht, außer: O4 - HKCU\..\Run: [Audio mess] C:\DOKUME~1\User\ANWEND~1\POLLDE~1\Hold Does Trans.exe

und noch einige? Ich finde es nicht ich weiß du fasst dir jetzt an den Kopf aber du musst sie mir wahrscheinlich noch vorsagen

Greezt c0MMi

Ach SORRY SORRY, 4give me pls! Ich hab die Message oben überlesen!!!

Das sind die doch oder? Willst mir ja ersparen es selbst zu suchen!

Greezt c0MMi

Hallo,
jetzt ist der Groschen gefallen
Wenn es weitere Probleme gibt frage einfach nach.


Grüße Wildone

Also ich hab das jetzt gefixt, diese 2 Ordner/Dateien die du mir geschrieben hast, aber ich verstehe das mit dem R1/R0 Eintrag noch ned muss ich die löschen die in der Anleitung stehen, oder sind die benutzerdefiniert? Wenn sie benutzerdefiniert sind, könntest du sie mir bitte nennen?
Und genau dasselbe mit den Ordnern, eigentlich ist das mit dem fixen das einzige was ich verstanden hab, die Ordnersuche da versteh ich nur Bahnhof...also welche Ordner das bei mir sind??? Wäre nett wenn du hilfst

Greezt und unendlichen Dank für die Aufopferung deiner wertvollen Zeit c0MMi

Hallo,
ich dachte wirklich ich hätte es einfach formuliert in der Anleitung.
Also ein R0 oder R1 Eintrag der so ähnlich aussieht ist bei dir nciht vorhanden, daher schrieb ich in der anleitung:

Zitat:

und, falls vorhanden, einen R1/R0 Eintrag der folgendermaßen aussieht:

Hast du die Ordner jetzt schon im abgesicherten Modus gelöscht? Die Ordner sind natürlich:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Wait bias global five\
C:\DOKUME~1\User\ANWEND~1\POLLDE~1

Grüße Wildone

Ja okay, vielen Danke!

Also ich hab jetzt nur die Ordner gesucht, rechtsklick auf den gesamten Ordner und dann löschen? Ist das so korrekt?

Greezt c0MMi

Hallo,
ach coMMi, du machst mich wirklich fertig. Ich habe doch genau geschrieben wie die Ordner gelöscht werden sollen:

Zitat:

4.) Wenn ihr jetzt die betreffenden einträge gefunden habt geht ihr in den abgesicherten Modus und löscht dort die betrefenden Ordner, bei den Beispieleinträgen wären das folgende:

Also im abgesicherten Modus per Rechtsklick löschen.

Grüße Wildone

Also ich hab alles gemacht, soweit ich das beurteilen kann! Ich hoffe mein AV is jetzt ruhig

Ich hatte keine *.job Dateien weil ich die schonmal runtergehauen hab, als du einem anderen "Opfer" von Swizzor geholfen hast. Ich hoffe das is ned das Problem!

Also wenn ich dir nicht zu anstrengend bin wäre es nett, wenn du mir bei den anderen Sachen die sich noch bei mir tummeln, auch so behilflich wärst. Du meintest ja es seien noch 2 oder 3 andere auf meinem PC. Wäre sehr nett, ich versuche dann auch etwas selbstständiger ranzugehen da ich jetzt um einiges schlauer bin.

Unendlichen Dank an dich, ich bin beeindruckt wieviel du aus so einem Gewirr von Zahlen, Symbolen und Buchstaben erkennen kannst. Du hast meinen vollen Respekt!!!

Danke nochmal vielmals your c0MMi