Hallo,

könnte man mein HjThis-Logfile anschauen?

Ich bekomme laufend Meldungen über zu wenig Speicher. Auch nach dem Löschen div. Programme und Dateien in C habe ich von 19,5 GB nur 4,72 GB frei.

Virenscanner finden nichts.

Vielen Dank im voraus für die Hilfe.

Logfile of HijackThis v1.99.1
Scan saved at 17:07:56, on 07.05.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\scanner\TEXTBR~1\Bin\INSTAN~1.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\SPYWAREfighter\spftray.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
E:\Adobe Fotoshop elements 3.0\PhotoshopElementsFileAgent.exe
E:\Wisterer HX\wistererhx.exe
E:\Programme\GhostWriter.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
E:\Adobe Fotoshop elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\Programme\WEB.DE\WEB.DE Com.Win\AcwTray.exe
C:\PROGRA~1\WEB.DE\WEBDEC~1.WIN\AcwAgnt2.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\System32\msiexec.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*h**p://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://us.rd.yahoo.com/customize/ie/defaults/sp/msgr7/*h**p://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://us.rd.yahoo.com/customize/ie/defaults/su/msgr7/*h**p://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://us.rd.yahoo.com/customize/ie/defaults/sb/msgr7/*h**p://www.yahoo.com/ext/search/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://us.rd.yahoo.com/customize/ie/defaults/su/msgr7/*h**p://www.yahoo.com
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ComWinPhoneLink Class - {47EE33DA-0E2B-41E4-8923-0899631D2CF7} - C:\Programme\WEB.DE\WEB.DE Com.Win\AcwIE.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O2 - BHO: (no name) - {CED29254-079C-7245-95DD-5730211122C7} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [InstantAccess] c:\scanner\TEXTBR~1\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "E:\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [Antispyware 2006] "C:\Programme\Steganos AntiSpyware 2006\saspy2006.exe" /startintray
O4 - HKLM\..\Run: [WinampAgent] G:\ \Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WistererHX] "E:\Wisterer HX\wistererhx.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [GhostWriter] "E:\Programme\GhostWriter.exe" /AUTOSTART
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [Skype] "E:\Skype\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - E:\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - E:\Avant Browser\Highlight.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - E:\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - E:\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - E:\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O15 - Trusted IP range: 81.222.131.59
O15 - Trusted IP range: 81.222.131.59 (HKLM)
O16 - DPF: RaptisoftGameLoader - h***p://www.miniclip.com/hamsterball/raptisoftgameloader.cab[/url]
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - h**ps://img.web.de/v/mail/mms/activex/mms_upload_1111.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - E:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {358DF899-C98C-4A31-AABA-E110A0E6BF1D} (Acw Control) - h**ps://stream.web.de/v/comwin/activex/acw_3004.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124361494109
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - h**tp://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {AA5E9ECE-2A7D-4BDC-8BF3-3B945DB526D1} (DSUpload Control) - h**ps://stream.web.de/v/dataservices/v2_4/activex/ds_upload_1028.cab
O16 - DPF: {BAC01377-73DD-4796-854D-2A8997E3D68A} (Yahoo! Photos Easy Upload Tool Class) - h**p://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_4us.cab[/url]
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - h**ps://img.web.de/v/fotoalbum/activex/upload_11110.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB3BD564-DA89-49A9-8BC3-F9DE9376B5D0}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - E:\Adobe Fotoshop elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSVCCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - E:\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: License Management Service ESD - Unknown owner - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - E:\Adobe Fotoshop elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Unknown owner - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Hi,

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 17:07:56, on 07.05.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Lad dir umgehend das Service Pack 2 sowie den Internet Explorer 7 runter!

Dann hab ich mal eine Frage
Hast du irgendetwas mit Moskau am Hut?

Zitat:

O15 - Trusted IP range: 81.222.131.59

Die IP stammt aus Moskau.

Nein, überhaupt nichts zu tun mit Moskau!
Ich komme aus Süddeutschland.

Was soll das bedeuten? Wo steht das?

Service-Pack 2 und IE 7 werde ich gleich runterladen.

du musste diese fixen:

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O2 - BHO: (no name) - {CED29254-079C-7245-95DD-5730211122C7} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O15 - Trusted IP range: 81.222.131.59 (HKLM)

O16 - DPF: {358DF899-C98C-4A31-AABA-E110A0E6BF1D} (Acw Control) - h**ps://stream.web.de/v/comwin/activex/acw_3004.cab
O16 - DPF: {AA5E9ECE-2A7D-4BDC-8BF3-3B945DB526D1} (DSUpload Control) - h**ps://stream.web.de/v/dataservices/v2_4/activex/ds_upload_1028.cab <- die beiden nur fixen falls du die nicht brauchst oder kennst


mfg

ballermann

Dieser EIntrag:

Zitat:

O15 - Trusted IP range: 81.222.131.59

bedeutet das du die IP aus Moskau als vertrauenswürdig ansiehst. Verursacht evtl. durch einen Backdoor. Mach mal einen eScan. Die Anleitung findest du im FAQ-Bereich.

@ Apocalyt:
Servicepack 2 und IE 7 hab ich runtergeladen.

@ballermann:

sorry, ich brauche dazu Hilfe, muss gestehen, bin in diesen Dingen blutiger Laie:
1. was heißt "fixen"?
2. was muss ich tun?

mfg
mge

Geh in den FAQ-Bereich dieses Forums dort findest du alles! Viel wichtiger als das Fixen ist aber zunächst der eScan. Zieh den bitte vor.

So, nach 3 Std. c-scan folgendes Ergebnis:
Fehlermeldung bei MWAV: Installationsprogress - Some files could not be created. Please close all applications, reboot windows and restart this installation.

Das heißt, morgen nochmals das gleiche!

Ich habe handschriftlich während des Scans mitgeschrieben. Es gab 9 Virenmeldungen:

Objekt in Dateisystem: downloadware Spyware/Adware
Objekt in Dateisystem: grokster Spyware
Objekt in Dateisystem: web.de com.win Spyware/Adware
Objekt in Dateisystem: web.de com.win Spyware/Adware
Dokumente und Einstellungen*** Thunderbird\profile\t22gxnmg.default***Trojan-Downloader Win 32.Agent.avo
dto. Trojan-Downloader Win 32.Small.dir
File D:\J*** Sicherung\Received Files\R***\klite202d.exe//data0014 markiert als "not-a-virus.Adware Win 32.Altnet.o."
Datei D:\J*** Sicherung\tightvnc-1.2.8-setup.exe//data0002 markiert als not-a-virus. Remote Admin.Win 32VNC-based.b
Bei allen keine Aktionen vorgenommen.

Datei L:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen No Action Taken.

Könnt ihr damit schon mal was anfangen?

Bis morgen, gute Nacht!

Nach der Nachtaktion habe ich jetzt eine brennende Frage:

Kann ich heute (vor der Bereinigung) mit meinem PC vertrauenswürdig arbeiten?

Ich kann die Verseuchung nicht klar einordnen nach leicht - schwer.

Muss der e-scan nochmals durchgeführt werden, um die find.bat zu erhalten oder reichen die Infos aus?

Vielen Dank im voraus für eine Antwort!

Zitat:

Zitat von mge

Nach der Nachtaktion habe ich jetzt eine brennende Frage:

Kann ich heute (vor der Bereinigung) mit meinem PC vertrauenswürdig arbeiten?

Ich kann die Verseuchung nicht klar einordnen nach leicht - schwer.

Muss der e-scan nochmals durchgeführt werden, um die find.bat zu erhalten oder reichen die Infos aus?

Vielen Dank im voraus für eine Antwort!

Nein, keine Sachen wie Onlinebanking, ebay etc. !!!

Der eScan müsste nochmal gemacht werden Wir brauchen ein vollständiges Ergebnis. Die bisherigen Treffer sehen aber allerdings eher nach Fehlalarmen aus.