Ich kann, seitdem ich die Datei winbue32.dll in Windows/System 32 mit Amok Delay gelöscht habe, um einen Trojaner zu entfernen, meinen Winamp Player nicht mehr benutzen, wenn ich ihn öffnen will, hängt sich der computer auf und ich muss den Winamp Prozess im Taskmanager abbrechen.
Ich wundere mich auch darüber, dass ich im Taskmanager IMMER zwei "iexplorer" Prozesse habe. Ist das normal? Oder ist das der internet explorer und hat etwas damit zu tun, dass sich öfters Popups öffnen, obwohl der IE eigentlcih garnicht geöffnet war.
Kann mir jemand helfen, mir geht es vor allem um das Winamp Problem, den Mediaplayere hasse ich einfach

edit: Ich musste auch die HiJackThis.exe datei umbenennen, damit es geklappt hat.
Den IE hatte ich bein Erstellen der Logs NICHT an.


Logfile of HijackThis v1.99.1
Scan saved at 21:55:17, on 17.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\NORTON~2\NORTON~2\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\PROGRA~1\GEMEIN~1\MICROS~1\Msinfo\OFFPROV.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\ddu\Desktop\Prüfung.com.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {934E4868-CB43-40F6-B969-63398E37BF38} - C:\WINDOWS\system32\gebyy.dll
O2 - BHO: (no name) - {BB3D12DF-A226-69BC-755D-5DBBF73A17DB} - (no file)
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [lessowns] C:\DOKUME~1\ddu\ANWEND~1\CLOSES~1\chin peak.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7715BF7-7359-440E-ABD8-338A1C3F10C2}: NameServer = 192.168.2.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs:
O20 - Winlogon Notify: gebyy - C:\WINDOWS\system32\gebyy.dll
O20 - Winlogon Notify: winbue32 - winbue32.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~2\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Hallo,

stelle die Frage doch mal Darthshoot, der kennt sich doch so gut aus

SCNR

Gruß

Schrulli

Komm, Schrulli.
Hör auf die TOs zu veralbern

Edit: oookay ... überlassen wir das doch mal darthshoot

mfg,
Markus

Zitat:

Zitat von Schrulli

stelle die Frage doch mal Darthshoot, der kennt sich doch so gut aus

Das liegt bestimmt nicht an Amok... Dann ist noch was drauf.. aber so habe ich keine Lust überhaupt einen Blick ins Log zu werfen..

Obwohl ich konnte es mir doch nicht ganz verkneifen :>

Zitat:

C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.d ll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.d ll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {934E4868-CB43-40F6-B969-63398E37BF38} - C:\WINDOWS\system32\gebyy.dll
O2 - BHO: (no name) - {BB3D12DF-A226-69BC-755D-5DBBF73A17DB} - (no file)

Der gebyy.dll ist laut Google verseucht.

Zitat:

Zitat von Darthshoot

Das liegt bestimmt nicht an Amok... Dann ist noch was drauf..

@Darthshoot
Und da sind wir wieder bei dem Punkt des "Sinnlosen löschens" angelangt! Man kann nicht nur einfach eine infizierte Datei löschen und alles ist wieder i.O., sondern es gehört immer mehr dazu als nur mit "amok" zu arbeiten.
Daher wirst du immer wieder solche Kommentare von den Regulars hören..Sorry

Zitat:

stelle die Frage doch mal Darthshoot, der kennt sich doch so gut aus

@ponti-ddu,
Eigentlich wäre eine Neuinstallation für dein System angebracht, aber versuche es mal so..

1.) Deinstalliere über Software, den MessengerPlus3
C:\Programme\MessengerPlus! 3\MsgPlus.exe

2..) Lade dir VundoFix auf den Desktop (doppelklick auf die .exe und Dateien entpacken)
-dann in den abgesicherten Modus starten, den VundoFix Ordner öffnen, und doppelklick auf: KillVundo.bat
-einnmal ENTER, und beim nächsten Punkt wirst du gefragt:

Zitat:

"Please Type in the filepath as instructed by the forum staff
and then press enter:

dann das eingeben: C:\WINDOWS\system32\gebyy.dll ENTER

3.) dann starte HijackThis und fixe folgende Zeilen:

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
O2 - BHO: (no name) - {934E4868-CB43-40F6-B969-63398E37BF38} - C:\WINDOWS\system32\gebyy.dll
O2 - BHO: (no name) - {BB3D12DF-A226-69BC-755D-5DBBF73A17DB} - (no file)
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe
O20 - AppInit_DLLs:
O20 - Winlogon Notify: gebyy - C:\WINDOWS\system32\gebyy.dll
O20 - Winlogon Notify: winbue32 - winbue32.dll (file missing)

4.) Lade dir die Killbox und lösche folgendes Verzeichnis mit "delete on reboot"
C:\DOKUME~1\ddu\ANWEND~1\CLOSES~1\chin peak.exe
(solltest du die Datei nicht finden, nutze diesen LINK

Dann ein neues HijackLog posten..

Gruß
Daniel

EDIT: @ Darthshoot, das ist genau das was ich meine

Also wenn ich jetz jedesmal so dumme Posts höre, dann bin ich hier raus.. das wird mir zu krass..

<private MEINUNG>

das hat doch nichts mit dummen Posts zu tun, sondern sind es einfach mal HINWEISE was an deinen Post "nur teilweise" richtig (also falsch) ist. Es will dich hier keiner kritisieren, oder dich aus dem Board vertreiben, aber du nimmst dir keinerlei Hinweise an
Außerdem ist es nun mal Tatsache das du Hilfesuchenden meist immer erklärst wie sie bestimmte Dateien löschen können, ohne darüber nachzudenken das eventuell mehr dahinter stecken könnte!
Und da du selber geschrieben hast wie "gut" du dich damit auskennst, und im nachhinein immer wieder liest das es meist doch nicht der Fall ist..

Also ich muss den Ende deines Posts schon kritisieren lol. Ach egal ich geh freiwillig.

Habt euch lieb
welche lösung ist denn jetzt die beste?^^

und ist das mit den zwei IE Prozessen normal, auch wenn der IE garnicht läuft?

Zitat:

Zitat von [Gc]Sunny

3.) dann starte HijackThis und fixe folgende Zeilen:

Wie soll ich die denn fixen? habe sehr wenig ahnung

Zitat:

Zitat von ponti-ddu

Habt euch lieb

Das haben wir!

Zitat:

und ist das mit den zwei IE Prozessen normal, auch wenn der IE garnicht läuft?

Nein, das ist nicht normal, hast du schon das alles abgearbeitet was ich dir im vorletzten Post geschrieben habe?

Gruß
Daniel

ich hab im post grade noch gefragt, wiue das mit dem fixen geht

Sorry habs überlesen!

Öffne Hijackthis.exe-->"do a System scan and save a log" anklicken, dann öffnet er einmal den Editor und ein weiteres Fenster, den Editor kannst du schliessen, und du setzt eine Haken bei den Zeilen:

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
O2 - BHO: (no name) - {934E4868-CB43-40F6-B969-63398E37BF38} - C:\WINDOWS\system32\gebyy.dll
O2 - BHO: (no name) - {BB3D12DF-A226-69BC-755D-5DBBF73A17DB} - (no file)
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe
O20 - AppInit_DLLs:
O20 - Winlogon Notify: gebyy - C:\WINDOWS\system32\gebyy.dll
O20 - Winlogon Notify: winbue32 - winbue32.dll (file missing)

wenn du alle Haken gesetzt hast, den Button -> "Fix checked" anklicken und die Einträge werden gelöscht (sollten zumindest)
Und dann weitermachen wie beschrieben!

Gruß
Daniel

ok, werd ich machen, danke
wenn ich nicht mehr antworte, weißt du,k dass es nicht gekolappt hat