Hallo, da mir aufgefallen war das mein Rechner immer langsamer wird und dann plötzlich das Internet ausfällt hab ich mal mein Virenprogramm suchen lassen und da sind bei Kaspersky die Kollegen New dot und co aufgetaucht....angeblich hat es Kaspersky entfernt aber sie tauchen immer noch in der registry auf....wo und was muss ich noch löschen?? Hier mein LOGFILE bitte schaut mal nach.....weiß nicht mehr weiter...

Logfile of HijackThis v1.99.1
Scan saved at 22:55:51, on 13.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0006)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
D:\daemon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
F:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\mqtgsvc.exe
D:\CloneCD\CloneCDTray.exe
D:\AnyDVD\AnyDVD.exe
D:\Tweak-XP Pro 3\transtask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
D:\Digital Imaging\bin\hpobnz08.exe
D:\Digital Imaging\bin\hpotdd01.exe
D:\Digital Imaging\bin\hpoevm08.exe
D:\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Download\Tools\HIDOWN~1\HiDownload.exe
F:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R3 - URLSearchHook: (no name) - {A535A672-6BE0-326F-B386-105390F73293} - C:\WINDOWS\system32\ptf.dll (file missing)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {02DCA195-602B-4B1F-83FF-381B7E804BDB} - C:\WINDOWS\system32\HDBHO.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll
O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C5E0117B9FAB75760EA83FA5EF80752B94E3D6775E7F412C3CC7 - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\programme\zango\zangohook.dll (file missing)
O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Programme\Dealio\Dealio.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A535A672-6BE0-326F-B386-105390F73293} - C:\WINDOWS\system32\ptf.dll (file missing)
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Programme\webHancer\programs\whiehlpr.dll (file missing)
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Programme\Dealio\Dealio.dll
O3 - Toolbar: Zango Toolbar - {EA0D26BD-9029-431A-86E0-83152D67828A} - C:\Program Files\Zango Programs\Zango Toolbar\ZangoTB.dll (file missing)
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [kis] "F:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [CloneCDTray] REM "D:\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [TransTask] "D:\Tweak-XP Pro 3\transtask.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 2000 Series.lnk = D:\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Programme\Dealio\res\DealioSearch.html
O8 - Extra context menu item: Download All Files by HiDownload - F:\Download\Tools\HIDOWN~1\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - F:\Download\Tools\HIDOWN~1\HDGet.htm
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - F:\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - F:\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Programme\Dealio\Dealio.dll
O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - F:\Download\Tools\HIDOWN~1\hidownload.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {CAF7D5D7-E0CE-4E34-B05A-FDC898AA1157} - D:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {CAF7D5D7-E0CE-4E34-B05A-FDC898AA1157} - D:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet7_22.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00000000-0000-0000-0000-100005000004} - h**p://code.trasferimento.biz/l/ab4ba0d8abcaf2566015163c2295b456_35.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156614482468
O17 - HKLM\System\CCS\Services\Tcpip\..\{062236AD-2C23-40F0-895F-52AFF4941485}: NameServer = 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{062236AD-2C23-40F0-895F-52AFF4941485}: NameServer = 194.25.2.129
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL (file missing)
O20 - AppInit_DLLs: F:\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - F:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: MuleMRTG - Unknown owner - F:\Download\edonkeyserverlist\rktools\srvany.exe (file missing)
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - D:\T-DSL SpeedManager\TSMSvc.exe


Liebe Grüße und Danke.....Nathalie

Hallo Nathalie,

lade bitte mal die folgende Datei ---> C:\Programme\Network Monitor\netmon.exe bei VirusTotal hoch und poste das Ergebnis:

http://www.virustotal.com/en/indexf.html

Soweit ich über google recherchieren konnte, ist es nicht gut, daß die Datei im Pfad C:\Programme\Network Monitor gefunden wurde, es deutet auf einen Schädling hin.

Hier ist der Link, wo es beschrieben ist:

http://
www.wintotal.de/Spyware/index.php?Filter=N

Es gibt da nämlich 2 Pfade, einmal für den Schädling, einmal fürs Programm, scheinbar hast Du Dir den Schädling installiert. Aber um sicher zu gehen, poste bitte den Befund.

Grüße

@BunnyDeluxe25

Du hast da aber einiges im System, aber ich denke das kriegen wir wieder raus!

Arbeite meine Anleitung Schritt für Schritt ab, solltest du etwas nicht verstehen, melde dich nochmal:

1.) klicke auf Start > Ausführen, tippe folgendes ein: regedit.exe -> danach Enter

suche nun folgenden Schlüssel:

Zitat:

software\microsoft\windows\currentversion\uninstall\webhancer agent";
software\microsoft\windows\currentversion\uninstall\whsurvey

Lösche beide Schlüssel!!!

'klicke" -> Start -> Systemsteuerung -> Software, deinstalliere nun alle Programme die du nicht kennst, unter anderm sollten diese dort vorhanden:
(wenn nicht, dann nicht!)
-Network Monitor
-NewDotNet
-Zango
-Dealio (sofern du das behalten möchtest!)
-Webhancer

2.) lade dir nun folgendes Tool -> Lspfix
Starte das Tool, und poste welche .dll Datei gefunden wird!

3.) Lade dir dir Killbox runter -> Killbox Download
Starte das Tool, klicke die Option "delete on reboot" an, und suche nun folgende Verzeichnisse:
(sofern noch vorhanden!)

Zitat:

C:\Programme\NewDotNet
c:\programme\zango
C:\Programme\Dealio (es sei denn, du willst es behalten!)
C:\Programme\webHancer
C:\Program Files\Zango Programs
c:\programme\newdotnet
C:\Programme\Network Monitor

Nach jeder Eingabe eines Verzeichnisses wirst du gefragt, ob du neu starten willst, tu dies erst beim letzten Verzeichnis, also erst alle Verzeichnisse "laden" dann neustarten lassen von der Killbox!

4.) Poste nun nochmal ein neues Hijacklog.

Gruß
Sunny

Hi......
na spitze hier das ergebnis:

Complete scanning result of "netmon.exe", processed in VirusTotal at 10/14/2006 18:05:11 (CET).

[ file data ]
* name: netmon.exe
* size: 94208
* md5.: 32760839e42cc4e151a82bc4d89b02de
* sha1: 482eaa8fa42fade4d901aab41b7a6f98e1136070

[ scan result ]
AntiVir 7.2.0.30/20061014 found nothing
Authentium 4.93.8/20061013 found nothing
Avast 4.7.892.0/20061013 found [Win32:Adware-gen.]
AVG 386/20061013 found [Adware Generic.KGZ]
BitDefender 7.2/20061014 found [Adware.CommAd.A]
CAT-QuickHeal 8.00/20061014 found [Monitor.NetMon.a (Not a Virus)]
ClamAV devel-20060426/20061014 found [Trojan.DNSChanger-45]
DrWeb 4.33/20061014 found [Trojan.DnsChange]
eTrust-InoculateIT 23.73.22/20061013 found [Win32/SillyDL.4xe!Trojan]
eTrust-Vet 30.3.3131/20061013 found [Win32/NetMon.A]
Ewido 4.0/20061014 found [Not-A-Virus.Monitor.Win32.NetMon.a]
F-Prot 3.16f/20061013 found nothing
F-Prot4 4.2.1.29/20061013 found nothing
Fortinet 2.82.0.0/20061014 found [Adware/SearchAid]
Ikarus 0.2.65.0/20061013 found nothing
Kaspersky 4.0.2.24/20061014 found [not-a-virus:Monitor.Win32.NetMon.a]
McAfee 4873/20061013 found [potentially unwanted program Tool-NetMon]
Microsoft 1.1603/20061014 found [Monnet (threat-c)]
NOD32v2 1.1803/20061013 found [Win32/Monitor.Netmon.A]
Norman 5.80.02/20061013 found [W32/NetMon.C]
Panda 9.0.0.4/20061014 found [Adware/SearchAid]
Sophos 4.10.0/20061013 found nothing
TheHacker 6.0.1.098/20061014 found [Aplicacion/NetMon.a]
UNA 1.83/20061013 found [Trojan.Win32.DNSChange.A1D0]
VBA32 3.11.1/20061013 found nothing
VirusBuster 4.3.7:9/20061014 found [Adware.NetMon.A]

....und nun? warum findet Kaspersky internet Security das nicht??
gruß Nathalie

Zitat:

Zitat von BunnyDeluxe25

....und nun? warum findet Kaspersky internet Security das nicht??
gruß Nathalie

Ich habe dir eine Anleitung geschrieben, hast du diese übersehen???
Sie steht vor deinem letzten geschriebenen Beitrag..

Hallo.....
so alles so wie du gesagt hast erledigt hier das aktuelle log....

Logfile of HijackThis v1.99.1
Scan saved at 22:56:43, on 14.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0006)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
F:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
D:\daemon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
F:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
D:\Tweak-XP Pro 3\transtask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Digital Imaging\bin\hpobnz08.exe
F:\Download\edonkeyserverlist\rktools\srvany.exe
D:\Digital Imaging\bin\hpotdd01.exe
F:\Download\edonkeyserverlist\rktools\bin\perl.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
D:\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
D:\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = w.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com/fwlin/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com/fwlin/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com/fwlin/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlin/?LinkId=55245&clcid={SUB_CLCID}
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {02DCA195-602B-4B1F-83FF-381B7E804BDB} - C:\WINDOWS\system32\HDBHO.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Programme\Dealio\Dealio.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Programme\Dealio\Dealio.dll
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [kis] "F:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [CloneCDTray] REM "D:\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [TransTask] "D:\Tweak-XP Pro 3\transtask.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 2000 Series.lnk = D:\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Programme\Dealio\res\DealioSearch.html
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - F:\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - F:\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Programme\Dealio\Dealio.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {CAF7D5D7-E0CE-4E34-B05A-FDC898AA1157} - D:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {CAF7D5D7-E0CE-4E34-B05A-FDC898AA1157} - D:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00000000-0000-0000-0000-100005000004} - code.trasferimento.biz/l/ab4ba0d8abcaf2566015163c2295b456_35.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - [urlgo.microsoft.com/fwlink/?linkid=39204[/url]
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156614482468[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{062236AD-2C23-40F0-895F-52AFF4941485}: NameServer = 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{062236AD-2C23-40F0-895F-52AFF4941485}: NameServer = 194.25.2.129
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O20 - AppInit_DLLs: F:\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - F:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: MuleMRTG - Unknown owner - F:\Download\edonkeyserverlist\rktools\srvany.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe

Naja, das sieht doch schon besser aus.

1.) Was mir noch auffällt ist dieser Eintrag:

Zitat:

C:\Programme\Network Monitor\netmon.exe

Versuche die Datei nochmals mit Hilfe der killbox zu löschen (delete on reboot)
Sie dann auf Laufwerk C: nach, da sollte ein Ordner sein der KILLBOX! heisst, LÖSCHE diesen dann. (dort sind alle Dateien zwischengespeichert.)

2.) Willst du diese "Toolbar" behalten? -> Dealio
Nach längerem Googeln habe ich rausbekommen das sie ein BrowserHelperObject anlegt, und als schädlich eingestuft wird?!

Hi, ich werd bald wahnsinnig....Killbox kann die datei C:\Programme\Network Monitor\netmon.exe
nicht finden in der RRegistry ist sie auch nicht zu finden, und ich kann den ordner auch nicht löschen..... Virus total hat wie oben gescannt was mache ich denn nun??

Grummel......

Hallo,
versteckte Dateien sichtbar machen und dann suchen :http://www.trojaner-board.de/59624-alle-windows-dateien-sichtbar.html

Zitat:

O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Programme\Dealio\Dealio.dll

Ist eine Preissuchmaschine,oder ?

Zitat:

O16 - DPF: {00000000-0000-0000-0000-100005000004} - code.trasferimento.biz/l/ab4ba0d8abcaf2566015163c2295b456_35.exe

Aber was das ist oder sein soll ?
Irrlicht

HI.....

also noch sichtbarer geht kaum noch.....war schon vorher alles angeklickt geschützte systemdateien sichtbar......usw...ist aber trotzdem nicht löschbar die netmon.exe .....der prozess lässt sich zwar terminieren kommt aber sofort nach neustart wieder und die cpu geht sofort auf 100% hoch....dann dauerts etwa drei minuten bis der Desktop richtig da ist. Killbox findet auch nix....oh mann hab ja schon bissl ahnung aber der macht mich wahnsinnig....

Hallo,
HijackThis behauptet aber sie wäre da :

Zitat:

C:\Programme\Network Monitor\netmon.exe

Den Pfad langgehangelt, hast du dich schon ?
Irrlicht

Hallo.

Neuer Versuch, weiß zwar auch noch nicht ob es klappt, aber wollen wir mal sehen:

1.) Schalte die Systemwiederherstellung aus -> so wirds gemacht!

2.) Suche folgende Schlüssel in der Registrierung:
(irgendeiner müsste vorhanden sein.)

Zitat:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
oder
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run\NetMon]

hier den Schlüssel -> "NetMon" = ????"\netmon.exe" <- löschen!

3.) Nun, sofern die Schlüssel gelöscht wurden, kannst du die Datei bzw. das Verzeichnis löschen C:\Programme\Network Monitor

4.) Sollte das auch nicht geklappt haben, versuch es mal mit diesem Tool -> W32.Mimail Removal Tool

Gruß
Sunny

ja hab ich ich versuchs mal mit sunnys version....

Hi sorry aber das war auch nix.....
der aktuelle log mit startup prozessen und einträgen.....

Logfile of HijackThis v1.99.1
Scan saved at 13:46:54, on 15.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0006)

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
F:\Download\edonkeyserverlist\rktools\srvany.exe
F:\Download\edonkeyserverlist\rktools\bin\perl.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
D:\daemon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
F:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
D:\Tweak-XP Pro 3\transtask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
D:\Digital Imaging\bin\hpobnz08.exe
D:\Digital Imaging\bin\hpotdd01.exe
D:\Digital Imaging\bin\hpoevm08.exe
D:\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hp://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hp://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hp://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {02DCA195-602B-4B1F-83FF-381B7E804BDB} - C:\WINDOWS\system32\HDBHO.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Programme\Dealio\Dealio.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Programme\Dealio\Dealio.dll
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [kis] "F:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [CloneCDTray] REM "D:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ATIPTA] C:\WINDOWS\SYSTEM32\ATIPTAXX.EXE
O4 - HKCU\..\Run: [TransTask] "D:\Tweak-XP Pro 3\transtask.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 2000 Series.lnk = D:\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Programme\Dealio\res\DealioSearch.html
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - F:\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - F:\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Programme\Dealio\Dealio.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {CAF7D5D7-E0CE-4E34-B05A-FDC898AA1157} - D:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {CAF7D5D7-E0CE-4E34-B05A-FDC898AA1157} - D:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {00000000-0000-0000-0000-100005000004} - hp://code.trasferimento.biz/l/ab4ba0...295b456_35.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - hp://www.kaspersky.com/kos/german/ka...an_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - hp://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hp://update.microsoft.com/microsoftu...?1156614482468
O17 - HKLM\System\CCS\Services\Tcpip\..\{062236AD-2C23-40F0-895F-52AFF4941485}: NameServer = 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{062236AD-2C23-40F0-895F-52AFF4941485}: NameServer = 194.25.2.129
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - (no file)
O20 - AppInit_DLLs: F:\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - F:\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: MuleMRTG - Unknown owner - F:\Download\edonkeyserverlist\rktools\srvany.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe

verdammt nochmal ......
und diesen ordner
C:\Programme\Network Monitor\netmon.exe
gibts auch net ......auch mit allen systemdateien eingeblendet, suchlauf ect.

zwei tage und nächte kein erfolg das frustriert .....netmon

frage: soll ich von HiJack mal das Startup log posten?? damit ihr seht was beim hochfahren alles lädt.......*nichtaufgibtbisweg*