HiJack Log - Taskmgr, Regedit schliessen sofort wieder, kein Internetzugang mehr

laola17 · 06.01.2007, 22:44

Hallo,

folgende Probleme machen mir das Leben schwer:

Taskmanager und Regedit schließen sofort nach öffnen wieder, kein Internetzugang mehr über Browser, Norton kann nicht mehr öffnen, einzelne Programme deinstaliert.

Virencheck im abgesicherten Modus blieb ohne Ergebnis.

Hier das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 22:36:27, on 06.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINNT\system32\crypserv.exe
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\Fast.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\msiexec.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\WINNT\system32\DSP24Set.exe
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\taskswitch.exe
C:\WINNT\System32\fast.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Program Files\Ojos\Riya\riyatray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\WINNT\System32\drivers\spoclsv.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Meine Spezielle Edition\CalCheck.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Programme\Symantec\LiveUpdate\AUPDATE.EXE
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.exe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.exe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.exe
D:\Downloads\Tools\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 203.49.153.142:80
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file)
R3 - URLSearchHook: (no name) - _{CE000994-A58C-4441-8938-744CD72AB27F} - (no file)
R3 - URLSearchHook: (no name) - {A4813605-14E9-485B-BE47-04873C5C1B3D} - (no file)
O2 - BHO: CSBBCore Class - {00000000-0000-0000-0000-000000002230} - C:\Programme\ClearSearch\CSBB.DLL (file missing)
O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: SDWin32 Class - {822DF87C-8628-41C9-88D2-2C320685BBD1} - C:\WINNT\System32\qfeyl.dll (file missing)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: ToolHelper Class - {AAAE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - C:\WINNT\DOWNLO~1\stoolbar.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - (no file)
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AudioDSP24 External Links] EL.EXE
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINNT\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINNT\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINNT\System32\fast.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Riya] C:\Program Files\Ojos\Riya\riyatray.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [svcshare] C:\WINNT\system32\drivers\spoclsv.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: CCAPP.lnk = C:\RECYCLER\S-1-5-21-1004336348-1425521274-839522115-500\Dc5.ogg
O4 - Startup: Desktop_.ini
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Desktop_.ini
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Photo Express Calendar Checker für Meine Spezielle Edition.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Meine Spezielle Edition\CalCheck.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINNT\System32\maxspeed.exe (file missing)
O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINNT\System32\maxspeed.exe (file missing)
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - h**p://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - h**p://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {01010E00-5E80-11D8-9E86-0007E96C65AE} (SupportSoft SmartIssue) - h**p://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab
O16 - DPF: {01012101-5E80-11D8-9E86-0007E96C65AE} (SupportSoft Script Runner Class) - h**p://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - h**p://www.lizardtech.com/download/files/win/djvuplugin/en_US/DjVuControl_en_US.cab
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - h**p://test.bitmedia.cc/webplayer/awswax.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} - h**p://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab
O16 - DPF: {452A4713-1454-5521-8141-012605761023} - mhtml:file://c:\sdfgs.mht!h**p://fraberdorft.com/help.exe
O16 - DPF: {4C26E1A7-5C92-4D48-A098-921005ED55C5} - ms-its:mhtml:file://c:\nosuxyz.mht!h**p://213.158.119.18/auto/stoolbar.chm::/stoolbar.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {727D6ED1-A073-4828-A338-4621098AAD86} - h**ps://www.openbc.com/sync/openBC%20Plug-In.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - h**p://www.installengine.com/engine/isetup.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - h**p://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - h**p://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CEEB546-6645-4B4B-8F29-41D3E9F635E8}: NameServer = 85.255.113.106,85.255.112.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{A655B5E2-39A2-4B08-B8FF-055A81B9FA3B}: NameServer = 85.255.113.106,85.255.112.15
O20 - Winlogon Notify: explorer - explorer.dll (file missing)
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINNT\SYSTEM32\crypserv.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: JSCAPE Secure FTP Server - JSCAPE - c:\progra~1\jscape~1\ftpser~1.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

DANKE im Voraus für alle Hilfe!

dani2112 · 06.01.2007, 23:05

Keine guten Nachrichten für Dich:
Deine Internetverbindung wird auf einen Server in der Ukraine Umgeleitet
das sieht man daran:
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CEEB546-6645-4B4B-8F29-41D3E9F635E8}: NameServer = 85.255.113.106,85.255.112.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{A655B5E2-39A2-4B08-B8FF-055A81B9FA3B}: NameServer = 85.255.113.106,85.255.112.15
Das sind Informationen zum Server:
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
address: Poltavskij Shliax 24, Xarkov,
address: 61000, Ukraine

Das liegt an einem Schädling den du dir eingefangen hast.
In diesem Fall musst du dein System komplett neu installieren und zwar nach dieser Anleitung:
http://www.trojaner-board.de/12154-a...sicherung.html

Mit dem neu installierten System dann bitte alle Passwörter ändern.

felix1 · 06.01.2007, 23:27

@dani2112
Die Umleitung in die Ukraine ist die Folge und nicht die Ursache. Wenn die Ursache beseitigt ist, fordert das nicht zwangsläufig eine Neuinstallation.

@laola17

Du solltest diesen Schädling im System haben:
http://www.internet-magazin.de/internet/cm/virenecke/show_sophos.php?id=3680
Deshalb mein Rat:
http://www.trojaner-board.de/12154-anleitung-neuaufsetzen-des-systems-und-anschliessende-absicherung.html

dani2112 · 06.01.2007, 23:34

@felix1
Hast du meinen Post komplett gelesen?
Zitat:
Das liegt an einem Schädling den du dir eingefangen hast.

**Sunny** · 06.01.2007, 23:41

Wenn Zwei sich "streiten", freut sich der Dritte.

@laola17

Wie schone erwähnt wurde solltest du nicht nur, sondern musst du dein System neu aufsetzen. Lies dir dazu mal den Link in meiner Signatur durch, vor allem den Teil mit der zukünftigen Absicherung.

Außerdem solltest du nach der Installation alle möglichen Passwörter (eBay, Online-Banking etc. ) ändern, da ein Spyware-Trojaner im System war/ist der deine Daten ausspioniert und Tastenfolgen gespeichert hat.

Auch solltest du über deine zukünftigen Surfgewohnheiten nachdenken, sonst nutzt die Systemabsicherung rein garnichts.

Gruß
Sunny

laola17 · 07.01.2007, 09:43

soweit schon mal danke.

dicker mist, da ist mein wochenende ja jetzt richtig im ar...

zwei rückfragen:
- kann man irgendwie erkennen, seit wann das dig bei mir aktiv war?
- welche dateitypen sind sicher, also welche kann ich mir vor dem Neuaufsetzen wegsichern?

laola17 · 07.01.2007, 20:22

Zitat:

Zitat von laola17

- kann man irgendwie erkennen, seit wann das dig bei mir aktiv war?

sorry, meinte "ding"

HiJack Log - Taskmgr, Regedit schliessen sofort wieder, kein Internetzugang mehr

Log-Analyse und Auswertung: HiJack Log - Taskmgr, Regedit schliessen sofort wieder, kein Internetzugang mehr