Hallo,
ein Glück hat mich (wie auch immer) Google auf dieses Board geführt. Denn seit 3 Wochen spingt Google nachdem es meinen Suchbegriff gefunden hat und ich es anklicke auf irgendwelche Seiten.

Ich habe aufgrund des Threads dann HJT installiert und würde mich freuen Hinweise zu finden, wie ich diesen Fehler beheben kann. Mein Antivirenprogramm ist übrigens Symantec Antivirus mit der neuesten Virendefinitionsdatei 25.04.2007 rev.33

Hier nun mein HJT-LOG-FILE. Geht bei der Beantwortung meiner Fragen ruhig von einem "D.A.U." aus. Ich werde aber alles tun Euch weitere Systeminformationen zur Verfügung zu stellen (wenn ich weiss wo ich diese finde ) wenn es der Problemlösug dient. 1000Dank schonmal, hier das LOG:

Logfile of HijackThis v1.99.1
Scan saved at 12:14:26, on 26.04.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Symantec Client Security\Symantec Client Firewall\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Symantec Client Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symantec Client Security\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Symantec Client Security\Symantec Client Firewall\SymSPort.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\JupitCo.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\SYMANT~2\VPTray.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Microsoft Works\MSWorks.exe
C:\Programme\Adobe\Acrobat 5.0\Acrobat\Acrobat.exe
C:\Programme\Gemeinsame Dateien\Adobe\Web\AOM.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\Rar$EX00.844\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.medion.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\System32\ipv6mons.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [USB SECURITY DEVICE CoInstaller] JupitCo.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~2\VPTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - h**p://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=h**p://www.medion.com/
O16 - DPF: EmailImport - h**ps://www.openbc.com/importtool/openBC.cab
O16 - DPF: o4mdl - http://image.one4.de/o4/cab/o4mdl.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - h**p://www3.snapfish.de/SnapfishActivia.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1177169631468
O17 - HKLM\System\CCS\Services\Tcpip\..\{13C9FBEB-F2C8-46DC-AE86-AEB59B968791}: NameServer = 85.255.116.67,85.255.112.71
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C227B51-F2CD-4187-9386-6FDE715D75E2}: NameServer = 85.255.116.67,85.255.112.71
O17 - HKLM\System\CCS\Services\Tcpip\..\{7AC19045-39C7-4442-B2C9-4C3CC734D3B3}: NameServer = 85.255.116.67,85.255.112.71
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.67 85.255.112.71
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.67 85.255.112.71
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.67 85.255.112.71
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IS Service (ISSVC) - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec Client Firewall\ISSVC.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec Client Security\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Symantec SecurePort (SymSecurePort) - Symantec Corporation - C:\Programme\Symantec Client Security\Symantec Client Firewall\SymSPort.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Zitat:

Zitat von Mauritius2112

Ich habe aufgrund des Threads dann HJT installiert und würde mich freuen Hinweise zu finden, wie ich diesen Fehler beheben kann.

Aus dem Grund:

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

nur dadurch:http://www.trojaner-board.de/12154-a...sicherung.html

@Rene-gad:

Schon beim Lesen von Mauritius' Beitrag habe ich mir gedacht: Oh-je, jetzt wird ihn gleich erstmal wieder jemand vor die Wand laufen lassen, weil der ja das SP2nicht drauf hat.

Ich kann ja auch verstehen, dass es den Experten keinen Spaß macht, immer wieder die Kinder aus dem Brunnen holen zu sollen, wenn die Leute einfach zu bequem sind, den Brunnen endlich mal abzudecken.

Was mich allerdings an dieser Art von Problembehandlung stört, ist die Tatsache, dass durch diese kurz-Antwort der Eindruck erweckt wird, mit SP2 drauf könnte Mauritius zukünftig nicht mehr in die Ukraine entführt werden. Oder was er sonst noch so an Krabbeltieren im System hat.

Tatsache ist aber wohl eher, dass er mit SP2 drauf nun in genau der gleichen Situation wäre. Viele haben die Umleitungen auch mit SP2 eingefangen. Naja, nicht genau in der gleichen Situation: Mit SP2 drauf würde man hier versuchen, ihm zu helfen.

Gruß
Krumbein

Zitat:

Zitat von Krumbein

Mit SP2 drauf würde man hier versuchen, ihm zu helfen.

Das sehe ich genau so . Allerdings gibt es in meinen (und nicht nur meinen) Augen keinen Sinn, das ungepatchte System zu säubern und das verseuchte System zu patchen - um so mehr.

@Krumbein:
Vielen Dank für Deinen ersten treffenden Kommentar.

@Krumbein:
@Rene-Gad:
Ich weiß nicht ob es was damit zu tun hat, aber ich habe seit dem Kauf meines PC´s sofort XP-AntiSpy installiert (damit Microsoft und Co. mich nicht unbedingt auf leichtestem Wege ausspionieren können - oder liege ich hier falsch?) und seitdem lief mein PC (auch ohne Windows SP2) wie am Schnürchen.

Sehe ich es richtig, daß ich sämtliche HotFixes, Updates, inklusive SP2 von MS mir einen Tag lang draufspielen muß und nur dann mir geholfen werden kann?
Ich war nämlich vorgestern auf der MS-Seite und hier musste Ich ein update nach dem anderen draufspielen und dann habe ich es nach dem ersten update (was eine Software war die ich gar nicht wollte) abgebrochen...

Zitat:

Zitat von Rene-gad

Aus dem Grund:

nur dadurch:http://www.trojaner-board.de/12154-a...sicherung.html

@ Rene-Gad:

Was heisst das eigentlich konkret?- Erst PC Platmachen: Format C: oder kann ich mir "einfach" das SP2 draufspielen und mir kann dann weitergeholfen werden?- Wenn möglich, würde ich die zweite Variante bevorzugen...

Zitat:

Ich weiß nicht ob es was damit zu tun hat, aber ich habe seit dem Kauf meines PC´s sofort XP-AntiSpy installiert

1. Man kann tausende von Schutzprogrammen installieren, keins davon kann aber die Sicherheitslücken im System schließen. Die Nützlichkeit von den Tools, wie XPAntispy, SpywareDocktor & Co. ist in meinen Augen mehr als zweifelhaft.
2. Jedes Antimalware-Programm kann nur das finden, was in den Signaturen abgebiltet ist. Und das ist für manche Benutzer zu spät, denn um einen neuen Schadcode in die Datenbank einzutragen benötigt man diesen irgendwo schon zugeschlagend zu haben.

Zitat:

Zitat von Mauritius2112

Erst PC Platmachen: Format C: oder kann ich mir "einfach" das SP2 draufspielen und mir kann dann weitergeholfen werden?- Wenn möglich, würde ich die zweite Variante bevorzugen...

Möglich ist alles. Die Frage ist: Ob es noch Sinn hat? Service Packs & Pathces schließen die Schwachstellen des Systems, beseitegen aber nicht die Folgen der Ausnutzung derer.

@mauritius:

Du hast da was falsch verstanden. Es geht nicht darum, dass das SP2 technisch erforderlich ist, um Dir jetzt aus der Patsche zu helfen. Deshalb ist es auch müßig, es jetzt auf das infizierte System zu spielen. Es ist eher die Philosophie der Helfer hier, sich nicht mit Problemen zu befassen, die so offensichtlich durch die 'Dummheit' oder Bequemlichkeit der User erst aufgetreten sind. Platt gesagt müsste man jemandem, der jahrelang ungeschützt herumgesurft ist und sich was eingefangen hat, vor dem Erstellen des HJT-Protokolls empfehlen, in letzter Sekunde wenigstens noch das SP2 draufzuspielen, damit er sich nicht sofort hier als grob-fahrlässiger 'Selber-schuld-dran' - User outet. Aber außerdem ist unbestritten, dass bei einem derart offenen System auch Schädlinge eingedrungen sind, die nicht mehr zu orten und vielleicht nur oberflächlich beseitigt werden können.

Deshalb setz mal besser neu auf und sichere dann das System ab. Die Gründe für Deine Umleitungen findest Du - nur mal so zur Info - leicht über die Suchfunktion, wenn Du mal Google oder Ukraine hier im Suchbereich eingibst. Die Umleitung ist in Deinem HJT-Protokoll unter 017 zu finden. "NameServer = 85.255.116.67" und alles, was mit diesen 85.255er Nummern zu tun hat, zeigt, dass Dein gesamter Netzverkehr über Server in der Ukraine läuft. Was die mit Deinen Daten anstellen, kann man nur vermuten. Wenn Du weiter gut schlafen willst, stell Dir vor, dass sie einfach nur Statistiken über das Surfverhalten der User für irgendwelche Firmen ermitteln.
Hier ist allerdings heute ein Zeitungsartikel erschienen, wonach beim Homebanking 2.500 € auf Nimmerwiedersehen in die Ukraine überwiesen wurden.
Irgendwo dazwischen liegt auch Dein Problem.

Gruß
Krumbein