Hallo,

gelegentlich werde ich nach Google-Recherchen entweder DIREKT oder nach anklicken eines Links auf unerwünschte Seiten geleitet. Ich denke mir, dass das Problem auf meinem Rechner liegt - finde aber keine Lösung... auch nach Studium verschiedener Forembeiträge. Deshalb hier mein HJ-Logfile mit der Bitte um Prüfung - Vielen Dank im Voraus!

Logfile of HijackThis v1.99.1
Scan saved at 14:29:08, on 03.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\csrss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\System32\SCardSvr.exe
F:\Programme\AntiVir PersonalEdition Premium\sched.exe
F:\Programme\AntiVir PersonalEdition Premium\avguard.exe
F:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\Programme\Canon\Memory Card Utility\PIXMA iP6000D\PDUiP6000DMemCrdMgr.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\wdfmgr.exe
F:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
F:\WINDOWS\system32\CTHELPER.EXE
F:\Programme\Logitech\iTouch\iTouch.exe
F:\Programme\Picasa2\PicasaMediaDetector.exe
F:\Programme\Canon\Memory Card Utility\PIXMA iP6000D\PDUiP6000DMon.exe
F:\Programme\Canon\Memory Card Utility\PIXMA iP6000D\PDUiP6000DTskbr.exe
F:\Programme\Java\jre1.5.0_06\bin\jusched.exe
F:\Programme\Logitech\MouseWare\system\em_exec.exe
F:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
F:\Programme\Winamp\winampa.exe
F:\Programme\iTunes\iTunesHelper.exe
F:\Programme\QuickTime\qttask.exe
F:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe
F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
F:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
F:\Programme\OpenOffice.org 2.0\program\soffice.exe
F:\Programme\iPod\bin\iPodService.exe
F:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Downloads\AutoDialUp\AutoDialUp.exe
F:\WINDOWS\System32\alg.exe
F:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Programme\Outlook Express\msimn.exe
F:\WINDOWS\system32\wuauclt.exe
C:\Downloads\HiJackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - F:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] F:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Picasa Media Detector] F:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [PDUiP6000DMon] F:\Programme\Canon\Memory Card Utility\PIXMA iP6000D\PDUiP6000DMon.exe
O4 - HKLM\..\Run: [PDUiP6000DTskbr] F:\Programme\Canon\Memory Card Utility\PIXMA iP6000D\PDUiP6000DTskbr.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] F:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Google Desktop Search] "F:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [WinampAgent] F:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] F:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [AutoDialRun] "C:\Downloads\AutoDialUp\AutoDialUp.exe"
O4 - Startup: OpenOffice.org 2.0.lnk = F:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://F:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://F:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://F:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://F:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {70BA8FD0-BEA9-406D-9BA0-74A43BC2292D} - F:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {70BA8FD0-BEA9-406D-9BA0-74A43BC2292D} - F:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.2.2.89.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1146404018492
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA73C6B5-F410-4276-B5B0-859C85D3AFAD}: NameServer = 85.255.113.140 85.255.112.135
O20 - AppInit_DLLs: F:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: WgaLogon - F:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - F:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AVIRA GmbH - F:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir Engine Service (AVEService) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Canon PIXMA iP6000D Memory Card Manager (PDUiP6000DMemCrdMgr) - CANON INC. - F:\Programme\Canon\Memory Card Utility\PIXMA iP6000D\PDUiP6000DMemCrdMgr.exe

Hallo Board,

ich dachte, vielleicht ist meine Frage von vorgestern untergegangen und schiebe sie deshalb noch einmal nach oben - besteht die Möglichkeit, dass jemand die unten stehende HJT-Logdatei einmal kontrolliert? Siehe auch dazu gehörige Fragestellung. Vielen Dank!

Gruß vom Lump

Hallo,

also es könnte an diesem eintrag liegen:

O4 - Startup: PowerReg Scheduler.exe

Lass diese datei einmal Online bei Jotti prüfen.
Link findest du in meiner Signatur

Hallo Hoerni26,

vielen Dank für Deine Antwort. Ich habe also die Datei bei Jotti prüfen lassen - hier das Ergebnis. Du lagst mit Deiner Vermutung wohl richtig.

[Zitat On]
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
...
AVG Antivirus Generic.DTX gefunden
...
Fortinet Adware/Powerreg gefunden
...
NOD32 Win32/PowerReg application gefunden
...
[Zitat Off]

Hört sich gruselig an - was würdest Du tun? Die Datei löschen?

Gruß vom Lump

Hallo,

kann bitte noch einmal jemand die JOTTI-SCAN-Antwort interpretieren bzw. einen Lösungsvorschlag machen?

Vielen Dank sagt der Lump

Hallo,

die Umleitung der Goolge Ergebnisse wird hierdurch gesteuert:

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{EA73C6B5-F410-4276-B5B0-859C85D3AFAD}: NameServer = 85.255.113.140 85.255.112.135

Bei der Rückverfolgung der IP komme ich auf folgendem/-n Server heraus:

Zitat:

inetnum: 85.255.112.0 - 85.255.127.255

person: Andrei Kislizin
address: OOO Inhoster,
address: ul.Antonova 5, Kiev,
address: 03186, Ukraine
phone: +38 044 2404332
nic-hdl: AK4026-RIPE
source: RIPE # Filtered
person: Fast Web Hosting Support
address: 01110, Ukraine, Kiev, 20Á, Solomenskaya street. room 201.
address: UA
phone: +35 79 91 17 759
e-mail: support@fwebhost.net
nic-hdl: FWHS1-RIPE
source: RIPE # Filtered

Dieses soll heißen das alle Anfragen an das Internet, egal was du machst, über diesen ukrainischen Server umgeleitet werden. Somit können Passwörter, private Dinge sowie Surfgewohnheiten abgefangen, ausgewertet bzw. missbraucht werden!

Es ist fast unmöglich diese Umleitung aus dem System zu bekommen, daher kann ich dir nur eine Neuinstallation ans Herz legen. (beachte dazu den Link in meiner Signatur -> "Neuaufsetzen des Systems"

Die Datei Scheduler.exe ist mit großer Wahrscheinlichkeit Spyware, du solltest mit Jotti die Datei auswerten lassen, d.h. sie wird gescannt von mehreren Virenscannern, und diese sagen dir dann um was für einen Virus es sich handelt..

Gruß
Sunny