Hallo,

mein Sohn hat seit gestern Schwierigkeiten mit dem Internet. Es werden nicht die gewählten Seiten, sondern willkürlich andere Seiten gezeigt. Dann irgendwann erscheint die Meldung "Es geht! 84.131.217.176".

Ich habe hier im Forum und auch an anderen Stellen gesucht, leider ohne einen genauen Treffer.
Ich poste hier mal das HijackThis Log, vielleicht wird ja jemand daraus schlauer als ich (wahrscheinlich ist das!).

Logfile of HijackThis v1.99.1
Scan saved at 17:14:37, on 28.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\DigitalPersona\Bin\DPWinLct.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\xampp\apache\bin\apache.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\AntiVirenKit 2006\AVKService.exe
C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
C:\Programme\DigitalPersona\Bin\DpHost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\xampp\apache\bin\apache.exe
C:\Programme\DigitalPersona\Bin\DPFUSMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\DigitalPersona\Bin\DPAgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Corel\Graphics9\Register\Remind32.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\xampp\xampp-control.exe
C:\Programme\xampp\mysql\bin\mysqld.exe
C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\AddOn\Jacky.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [DPAgnt] C:\Programme\DigitalPersona\Bin\DPAgnt.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Corel Registration.lnk = C:\Programme\Corel\Graphics9\Register\Remind32.exe
O4 - Startup: ubisoft register.lnk = C:\Programme\Ubisoft\Eagle Dynamics\Lock On\Register\schedule.exe
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www2.moviegroup.tv/activex/DownloadMgr.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab
O20 - Winlogon Notify: DPWLN - C:\WINDOWS\system32\DPWLEvHd.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Apache2.2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
O23 - Service: Windows XP FUS Manager (DPFUSMgr) - DigitalPersona, Inc. - C:\Programme\DigitalPersona\Bin\DPFUSMgr.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Programme\DigitalPersona\Bin\DpHost.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

Danke erstmal
garnetz

Hi,

Die sieht verdächtig aus:

Zitat:

C:\WINDOWS\system32\DPWLEvHd.dll

Lade mal bitte bei Virustotal hoch (siehe sig) und
poste das komplette Ergebniss.

mach außerdem folgendes:
Arbeite die Anleitung escan ab
und poste das Log ebenfalls.

Edit: Ich sehe gerade, du benutzt diesen FTP-Clienten:

Zitat:

C:\Programme\xampp\FileZillaFTP\FileZillaServer.ex e

Kommt die Meldung auch, wenn du diesen deaktiviert hast?

mfg Cleriker

So, wir haben jetzt einiges ausprobiert. An FileZilla liegt es anscheinend nicht, da der Fehler auch auftritt wenn es deaktiviert ist.

Das Log von HijackThis habe ich bei Virustotal eingegeben, hier das Ergebnis:
AntiVir 7.3.1.38 03.02.2007 no virus found
Authentium 4.93.8 03.01.2007 no virus found
Avast 4.7.936.0 03.02.2007 no virus found
AVG 7.5.0.447 03.02.2007 no virus found
BitDefender 7.2 03.02.2007 no virus found
CAT-QuickHeal 9.00 03.02.2007 no virus found
ClamAV devel-20060426 03.02.2007 no virus found
DrWeb 4.33 03.02.2007 no virus found
eSafe 7.0.14.0 02.28.2007 no virus found
eTrust-Vet 30.6.3447 03.02.2007 no virus found
Ewido 4.0 03.02.2007 no virus found
FileAdvisor 1 03.02.2007 no virus found
Fortinet 2.85.0.0 03.02.2007 no virus found
F-Prot 4.3.1.45 03.01.2007 no virus found
F-Secure 6.70.13030.0 03.02.2007 no virus found
Ikarus T3.1.1.3 03.02.2007 no virus found
Kaspersky 4.0.2.24 03.02.2007 no virus found
McAfee 4975 03.02.2007 no virus found
Microsoft 1.2204 03.02.2007 no virus found
NOD32v2 2090 03.02.2007 no virus found
Norman 5.80.02 03.02.2007 no virus found
Panda 9.0.0.4 03.01.2007 no virus found
Prevx1 V2 03.02.2007 no virus found
Sophos 4.14.0 03.01.2007 no virus found
Sunbelt 2.2.907.0 03.01.2007 no virus found
Symantec 10 03.02.2007 no virus found
TheHacker 6.1.6.067 03.01.2007 no virus found
UNA 1.83 03.02.2007 no virus found
VBA32 3.11.2 03.01.2007 no virus found
VirusBuster 4.3.19:9 03.02.2007 no virus found

Sieht soweit gut aus, oder?

Bei dem Link zu escan konnte ich mir nur die Datei mwav.exe runterladen. Sobald ich diese starte, kommt ein Virus-Alarm meines AVK.
Habe ich da den falschen Link genommen, oder sollte es tatsächlich einen Virus in der Datei geben ???

Danke für die Hilfe und Mühe
garnetz

Hallo,
entschuldige bitte,aber das muß jetzt sein..:aplaus: :aplaus: :aplaus:


Jetzt gehst du bitte nochmal zu dem Beitrag von "Cleriker"
und liest den ganz in Ruhe nochmal und nochmal.....
...solange bis du die richtige Reihenfolge verstanden hast...
Irrlicht

Btw.ich glaube du bist der Allererste der ein HijackThis Log bei virus Total hochgeladen hat....

Zitat:

C:\WINDOWS\system32\DPWLEvHd.dll

Die dll gehört zu diesem Programm: DigitalPersona fingerprint reader

Wurden kürzlich Erweiterungen (addons) für den Internet Explorer installiert? Wenn ja, dann mal alles deaktivieren. Cookies löschen und alles nochmal neu starten.

Gruss

Ich wollte schon immer mal die Erste sein! Geschafft!!!
Auf jeden Fall ist kein Virus im HijackThis Log!! Soviel is mal sicher.

Das die Datei zu dem Fingerprint Reader gehört, kann schon sein, mein Sohn hat so einen.
Soll ich die jetzt noch bei Virus Total hochladen?

Er hat sich keine Erweiterungen für den IE runtergeladen, das Problem tritt sowieso sowohl im IE als auch im FF auf.

Was ist denn mit der escan-Sache? Hab ich da auch so einen Fehler gemacht?

Danke für Eure Geduld mit (bisher gottseidank) von Viren, Trojanern und sonstigem Gewürm Verschonten.

garnetz

Hallo,

Zitat:

mit (bisher gottseidank) von Viren, Trojanern und sonstigem Gewürm Verschonten.

Das ist was du glaubst....
Ich bin da lange nicht so sicher oder zuversichtlich....
Da sind zuviele Filesharer zu sehen,als das ich an ein sauberes System glauben möchte
Bei der Anleitung zu EScan .....
lies sie genau,du mußt das richtige Tool treffen.Leider gibt es auf der Seite mehrere Auswahlmöglichkeiten.
Achte auf den Namen des Tools.der muß komplett übereinstimmen.
Die ganze Anleitung kannst du auch ausdrucken und danach vorgehen.
Wenn du es verbockst ,ist der EScan wertlos.......
Mache auch keine anderen Einstellungen als die vorgegebenen und schau nach dem roten Punkt 5 weiter unten.......
Poste dann den Bericht.
Irrlicht

Auch auf die Gefahr hin, dass ich blöd bin.
1. Ich habe den Download-Link in der Anleitung genutzt und mich, genau wie in der Anleitung beschrieben, eingetragen.
2. Anschließend habe ich auf einen der angezeigten Links geklickt und mir die Datei MWAV.exe runtergeladen. Eine andere, gezippte, wurde mir nicht angeboten.
3. Beim Versuch, die .exe-Datei zu starten habe ich eine Virus - Warnung bekommen.
4. Ich habe den Versuch dann abgebrochen.

Wo liegt mein Fehler?

@irrlicht: Das Log ist nicht von mir, sondern von meinem Sohn. Er geht etwas, sagen wir mal: sorgloser, mit seinem PC um.

Zitat:

Zitat von garnetz

Wo liegt mein Fehler?

Du sollst die exe nicht Starten, sondern entpacken.....so wie in der Anleitung beschrieben!
Nochmal versuchen und am besten jeden Schritt mit der Anleitung abgleichen


Gruß Mellosun

Ich habe keine MWAV.zip oder .rar oder was auch immer gefunden. Die Links auf der Seite gehen alle auf MWAV.exe

Zitat:

Zitat von garnetz

Ich habe keine MWAV.zip oder .rar oder was auch immer gefunden. Die Links auf der Seite gehen alle auf MWAV.exe

Es ist ein laufzeitkomprimiertes Archiv. Beim Doppelklick werden die Dateien automatisch entpackt und das Programm installiert. Das wollen wir aber nicht, deswegen - bitte die Datei, wie in der Anleitung beschrieben, mit WinRAR öffnen und in den Ordner entpacken.

Und was ist eine exe Datei?

Einfach mal nen rechtsklick drauf machen, Datei entpacken wählen und siehe da.........:aplaus:

Hallo,

Zitat:

@irrlicht: Das Log ist nicht von mir, sondern von meinem Sohn. Er geht etwas, sagen wir mal: sorgloser, mit seinem PC um.

Er scheint mir auch etwas,sagen wir mal, sorgloser mit Pappi`s Geld und/oder Freiheit umzugehen....
Oder ist der Sprößling schon dem Alter entwachsen ,wo Pappi noch den Kopf hinhalten muß ?
Aus dem Sprößlingslog geht hervor bzw.kann man vermuten ,daß er eine große Vorliebe für anderer Leute geistiges Eigentum hat....
Irrlicht