Hallo,

ich habe seit ein paar Tagen das Problem, dass sich beim Anklicken von Google Links immer irgendwelche Werbeseiten, nicht aber die gewünschte Seite öffnet. Ich habe in mehreren Foren das Problem bereits beschrieben gesehen. Ich habe sämtliche Scanprogramme laufen lassen: AntiVir, a squared free, SpyBot, AdAware und Sophos Anti Root Kit. Leider ohne Erfolg.
Meine letzte Hoffnung ist das log File von Hijackthis. Ich kenne mich damit leider nicht aus, kann mir jemand bitte helfen?

Logfile of HijackThis v1.99.1
Scan saved at 18:41:41, on 28.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINDOWS\system32\hpnra.exe
C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\PROGRA~1\ESRI\License\arcgis9x\lmgrd.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rebel.ig.cas.cz/seismo/Webnet/AutLoc/start.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programme\adobe\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: (no name) - {BBC8E352-49AD-4FF9-BBD0-5935686EBDF4} - C:\WINDOWS\system32\nmmkcer.dll
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\Programme\WinSweep\SurfBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [HPLJ Config] C:\Programme\Hewlett-Packard\hp color LaserJet 2550 Series\SetConfig.exe -c Network -p -pn "hp color LaserJet 2550 PCL 6" -n 1 -l 1031 -sl 120000
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [HP Network Registry Agent] C:\WINDOWS\system32\hpnra.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=100707 serial=dr12wex-1504397-kty lang=DE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [Zone Labs Client] "d:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [NBJ] "D:\Programme\Nero6\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
O8 - Extra context menu item: LEO Englisch <-> Deutsch - d:\Programme\LEO-Ext-for-IE\DE_EN.htm
O8 - Extra context menu item: LEO Französisch <-> Deutsch - d:\Programme\LEO-Ext-for-IE\DE_FR.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb
_site.cab?1128455832228
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - d:\Programme\Haufe\HaufeReader\HRInstmon.dll (file missing)
O20 - Winlogon Notify: tpfnf2 - C:\WINDOWS\SYSTEM32\notifyf2.dll
O20 - Winlogon Notify: tphotkey - C:\WINDOWS\SYSTEM32\tphklock.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ARCGIS License Manager - Unknown owner - C:\PROGRA~1\ESRI\License\arcgis9x\lmgrd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

zu diesem thema gibt es bereits threads also erst suchen und dann posten
Und wenn dein problem noch nicht richtig beschrieben wurde kanns du ja immer noch einen neuen thread aufmachen

Hallo

Zitat:

zu diesem thema gibt es bereits threads also erst suchen und dann posten

@Bam00by wenn der TO nun aber nicht weiß wo und wie er ansetzen soll, was dann machen?

@davidar mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.

Dann lasse diese Datei(en)
C:\WINDOWS\system32\nmmkcer.dll
hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 33 AntiVirus Engine, Last Update(070917)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Hallo

vielen Dank für die Hilfe.
Ich habe die Datei C:\WINDOWS\system32\nmmkcer.dll mit dem Programm VirusTotal scannen lassen, anbei das Ergebnis. Was tun?
Ich habe in mehreren Beitraegen gelesen dass bei diesem Problem das System kompromitiert ist und nur eine Neuinstallation sinnvoll ist. Stimmt das?



Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.29.0 2007.09.28 -
AntiVir 7.6.0.18 2007.09.28 -
Authentium 4.93.8 2007.09.29 -
Avast 4.7.1043.0 2007.09.28 -
AVG 7.5.0.488 2007.09.28 -
BitDefender 7.2 2007.09.29 -
CAT-QuickHeal 9.00 2007.09.29 -
ClamAV 0.91.2 2007.09.29 -
DrWeb 4.33 2007.09.29 Trojan.Sentinel
eSafe 7.0.15.0 2007.09.29 -
eTrust-Vet 31.2.5169 2007.09.27 -
Ewido 4.0 2007.09.29 -
FileAdvisor 1 2007.09.29 -
Fortinet 3.11.0.0 2007.09.29 -
F-Prot 4.3.2.48 2007.09.29 -
F-Secure 6.70.13030.0 2007.09.29 W32/BHO.QG
Ikarus T3.1.1.12 2007.09.29 Trojan.Win32.StartPage.bag
Kaspersky 7.0.0.125 2007.09.29 -
McAfee 5130 2007.09.28 -
Microsoft 1.2803 2007.09.29 -
NOD32v2 2559 2007.09.29 -
Norman 5.80.02 2007.09.28 W32/BHO.QG
Panda 9.0.0.4 2007.09.29 Suspicious file
Prevx1 V2 2007.09.29 -
Rising 19.42.50.00 2007.09.29 -
Sophos 4.21.0 2007.09.29 -
Sunbelt 2.2.907.0 2007.09.28 -
Symantec 10 2007.09.29 -
TheHacker 6.2.6.073 2007.09.28 -
VBA32 3.12.2.4 2007.09.29 -
VirusBuster 4.3.26:9 2007.09.28 -
Webwasher-Gateway 6.0.1 2007.09.28 Worm.Win32.Malware.gen (suspicious)

weitere Informationen
File size: 92160 bytes
MD5: 33776d7e657c0ece7129444c5cab58f5
SHA1: 4e08dac482d255b01958070bfb62d6454e935b04
packers: MORPHINE, UPX
packers: Morphine

Hallo

starte bitte HijackThis mit der Option - do a system scan only - und hake diesen Eintrag an :

O2 - BHO: (no name) - {BBC8E352-49AD-4FF9-BBD0-5935686EBDF4} - C:\WINDOWS\system32\nmmkcer.dll

klicke nun auf - fix checked - und beende Hijackthis.
Starte dein System in den abgesicherten Modus (beim start F8 drücken) und lösche diese Datei :

C:\WINDOWS\system32\nmmkcer.dll

wenn sie noch vorhanden ist.
Anschließend leere den Mülleimer und starte dein System in den normalen Modus.

Berichte bitte und erstelle ein neues HijackThis Log, benenne aber vorher die Hijackthis.exe um in z.B. ABC.exe

MFG

Hallo

ich habe bei HijackThis ein fixed checked bei der Datei C:\WINDOWS\system32\nmmkcer.dll durchgeführt. Die Datei wurde jedoch nicht gelöscht. Ich habe dann Windows im abgesicherten Modus gestartet und versucht die Datei zu löschen - Fehlanzeige, der Zugriff wurde verweigert.
Wie kann ich die Datei löschen, oder ist diese für das Betriebssystem notwendig?

MFG

Moin

hier gehts für dich weiter --> klick
EDIT Schönen Gruß an Karl

MFG