Hallo Gemeinschaft,

ich weiß, man soll Logfiles nur posten, wenn Probleme da sind.

Trau mich fast nicht fragen...

Da mein System jedoch "etwas veraltet" ist (noch kein SP2, bitte nicht schimpfen, habe mich noch nicht getraut, siehe hier), wäre es bitte trotzdem möglich, mein Logfile mal anzusehen?

-----------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:41:55, on 30.10.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\McAffee\Mcshield.exe
C:\McAffee\VsTskMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wfxsnt40.exe
D:\TEXTBR~1\Bin\INSTAN~1.EXE
C:\McAffee\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
D:\eBay\Toolbar\eBayTBDaemon.exe
D:\FIREFOX\FIREFOX.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\DeltTray.exe
D:\QuickTime 5.0\qttask.exe
D:\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
D:\OmniPagePro80\opware32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Nokia\Nokia PC Suite 6\PcSync2.exe
D:\Acrobat 5.0\Distillr\AcroTray.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\System32\wpabaln.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Thunderbird\thunderbird.exe
D:\FIREFOX\FIREFOX.EXE
C:\Dokumente und Einstellungen\Heike\Lokale Einstellungen\Apps\2.0\PTPDKQEV.DNM\17EX0RKA.M7J\merc..tion_18d186c7bab0ce40_0001.0000_e56b49ff674c789e\Mercurius.exe
D:\schaupl.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O1 - Hosts: eset.casablanca.cz
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - D:\eBay\Toolbar\eBayTB.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - D:\eBay\Toolbar\eBayTB.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [InstantAccess] d:\TEXTBR~1\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] d:\TEXTBR~1\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\McAffee\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [eBayToolbar] D:\eBay\Toolbar\eBayTBDaemon.exe
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime 5.0\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [OmniPage] D:\OmniPagePro80\opware32.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] d:\TEXTBR~1\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [NBJ] "D:\Nero6\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PcSync] D:\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [Creative Audio Studio V2.8] C:\WINDOWS\unimontr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
O8 - Extra context menu item: &eBay Search - res://D:\eBay\Toolbar\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Google AdSense Preview Tool - http://pagead2.googlesyndication.com/pagead/preview/en/preview.html
O8 - Extra context menu item: Vorlesen mit MWS Reader 4 - D:\Vorlesen\MWS Reader 4\mwsr4.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {AFFBDA02-5D3A-11D9-AAC8-91EC5E497716} (ActiveXShadow Control) - https://www.ll2go.com/html/x-file/000/www.ll2go.com/x-res/ActiveXShadow_de.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - d:\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\McAffee\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\McAffee\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
(file missing)
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - d:\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Drive Image 7.0\Agent\PQV2iSvc.exe
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

--
End of file - 8874 bytes

-------------

Naja etwas veraltet is etwas untertrieben :aplaus:

Hattest du "Microsoft Windows NT WinFax Printer Driver" oder "Delrina" auf deinem PC drauf?
Wenn nicht dann lasse C:\WINDOWS\System32\wfxsnt40.exe bei VT überprüfen.


Hast du 16-Bit Programme ausgeführt? Wenn nicht, lasse C:\WINDOWS\system32\ntvdm.exe auch bei VT scannen.


WTF ist das? Falls nicht bekannt: VT

C:\Dokumente und Einstellungen\Heike\Lokale Einstellungen\Apps\2.0\PTPDKQEV.DNM\17EX0RKA.M7J\m erc..tion_18d186c7bab0ce40_0001.0000_e56b49ff674c7 89e\Mercurius.exe

D:\schaupl.exe

D:\TEXTBR~1\Bin\INSTAN~1.EXE

O1 - Hosts: eset.casablanca.cz

Was das ist weißt du ja Ist nicht unbedingt gefährlich, sollte man aber lieber nicht auf dem PC haben, gibt besseres

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
(file missing)
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll





Poste die Ergebnisse von VT mit Prüfsummen und Dateigrößen!!!
Patche außerdem unbedingt dein System!!!

Danke für die Hilfe

Zitat:

Naja etwas veraltet is etwas untertrieben :aplaus:

Ich mach mir ja eh schon 'nen Kopf

Zitat:

Hattest du "Microsoft Windows NT WinFax Printer Driver" oder "Delrina" auf deinem PC drauf?

Habe Winfax drauf; hieß ursprünglich Delrina, ja.

Zitat:

Hast du 16-Bit Programme ausgeführt? Wenn nicht, lasse C:\WINDOWS\system32\ntvdm.exe auch bei VT scannen.

Das mach ich mal. Bewusst ist mir kein 16-Bit-Proggi.

Zitat:

WTF ist das? Falls nicht bekannt: VT

Zitat:

C:\Dokumente und Einstellungen\Heike\Lokale Einstellungen\Apps\2.0\PTPDKQEV.DNM\17EX0RKA.M7J\m erc..tion_18d186c7bab0ce40_0001.0000_e56b49ff674c7 89e\Mercurius.exe

Das ist die beste Alternative zu ebays Turbo Lister

Zitat:

D:\schaupl.exe

So hatte ich die HJT-exe benannt; habe irgendwo gelesen, man solle sie umbenennen, bevor man sie ausführt.

Zitat:

D:\TEXTBR~1\Bin\INSTAN~1.EXE

Das soll wohl Textbridge sein, eine Texterkennungssoftware, die in Word eingebunden ist. Obwohl: Sobald eine Tilde in der Zeile steht, ist's wohl eh veraltet/falsch? Stammt wohl noch aus der Zeit mit 8+3 Zeichen je Datei.

Zitat:

O1 - Hosts: eset.casablanca.cz

Was das ist weißt du ja Ist nicht unbedingt gefährlich, sollte man aber lieber nicht auf dem PC haben, gibt besseres

Ist das vielleicht eine Erotik-Seite? Weg damit. Ähem, erst mal den Eintrag finden...

Zitat:

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
(file missing)
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

Das kann ich auch nicht zuordnen.

Zitat:

Poste die Ergebnisse von VT mit Prüfsummen und Dateigrößen!!!

Folgt, sobald die Seite wieder erreichbar ist.

Zitat:

Patche außerdem unbedingt dein System!!!

[/QUOTE]

Laut Everest:
Win XP SP1, Intel Pentium III 500 MHz, Bios Award Modular 07/28/99, Internet über T-DSL

Was musst Du sonst noch wissen?

Alternative zu VT ist Jotti oder VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 35 AntiVirus Engine, Last Update(071019)

Zitat:

O1 - Hosts: eset.casablanca.cz

Das ist getrennt zu dem, hast dich also selbst verraten

Zitat:

Was das ist weißt du ja Ist nicht unbedingt gefährlich, sollte man aber lieber nicht auf dem PC haben, gibt besseres

Das mit den Hosts...Ist dieser Eintrag dir bekant? Falls nicht weg damit.

Zitat:

O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
(file missing)
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll

Reset 5:Windows XP Product Activation Bypass[...]Typically used on a pirated Operating System.Quelle

Deswegen hab ich gesagt müsstest du kennen

Zitat:

Alternative zu VT ist Jotti oder VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 35 AntiVirus Engine, Last Update(071019)

Jotti sagt: Keine Viren gefunden. Nur "No threat detected, but known vulnerabilities exist". Deutet wohl auf mein altes System hin...

Zitat:

Das ist getrennt zu dem, hast dich also selbst verraten

Wie, verraten? Ich besuche sicher keine Erotik-Seiten. Tsss...

Zitat:

Das mit den Hosts...Ist dieser Eintrag dir bekant? Falls nicht weg damit.

Ich hatte vor kurzem ein Problem mit qhosts. Da half "fixqhosts.exe" von Symantec. Dachte ich... Schau ich mir gleich nochmal an.

Habe die Zeile rausgelöscht. Jetzt steht noch drin:

0.0.0.0 updates1.kaspersky.com
0.0.0.0 updates2.kaspersky.com
0.0.0.0 updates3.kaspersky.com
0.0.0.0 updates-us1.kaspersky.com
0.0.0.0 downloads1.kaspersky.com
0.0.0.0 downloads-us1.kaspersky.com
0.0.0.0 norton.com
0.0.0.0 www.norton.com
0.0.0.0 u2.eset.com
0.0.0.0 u3.eset.com
0.0.0.0 u4.eset.com
0.0.0.0 u7.eset.com
0.0.0.0 v27.eset.com
0.0.0.0 ts99.eset.com
0.0.0.0 eset.com
0.0.0.0 www.eset.com
0.0.0.0 www.norman.com
0.0.0.0 sandbox.norman.com
0.0.0.0 norman.com
0.0.0.0 virus.org
0.0.0.0 www.virus.org
0.0.0.0 scanner.virus.org
0.0.0.0 virustotal.com
0.0.0.0 www.virustotal.com
0.0.0.0 virusalert.nl
0.0.0.0 antivirus.pagina.nl
0.0.0.0 perantivirus.com
0.0.0.0 www.virusalert.nl
0.0.0.0 www.antivirus.pagina.nl
0.0.0.0 www.perantivirus.com
0.0.0.0 bitdefender.com
0.0.0.0 www.bitdefender.com
0.0.0.0 upgrade.bitdefender.com
0.0.0.0 dnl-us1.kaspersky-labs.com
0.0.0.0 dnl-us2.kaspersky-labs.com
0.0.0.0 dnl-us3.kaspersky-labs.com
0.0.0.0 dnl-us4.kaspersky-labs.com
0.0.0.0 dnl-us5.kaspersky-labs.com
0.0.0.0 dnl-us6.kaspersky-labs.com
0.0.0.0 dnl-us7.kaspersky-labs.com
0.0.0.0 dnl-us8.kaspersky-labs.com
0.0.0.0 dnl-us9.kaspersky-labs.com
0.0.0.0 dnl-us10.kaspersky-labs.com

Ich hatte mal kurz den Kaspersky-Anti-Virus drauf. Ergebnis war zweimal Blue Screen of Death. Norton hatte ich früher mal.

Was von den Einträgen kann sonst noch raus?

Zitat:

Reset 5:Windows XP Product Activation Bypass[...]Typically used on a pirated Operating System.Quelle

Deswegen hab ich gesagt müsstest du kennen

Deswegen steht da dauernd "Sie haben noch 30 Tage Zeit".

Jetzt versteh ich gar nix mehr

Du hast original Windoof, das "Reset 5" hast du dir nicht installiert?

Die Hosts Datei muss so aussehen:

Code: Alles auswählenAufklappen

ATTFilter

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# fьr Windows 2000 verwendet wird.
#
# Diese Datei enthдlt die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehцrigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname mьssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusдtzliche Kommentare (so wie in dieser Datei) kцnnen in
# einzelnen Zeilen oder hinter dem Computernamen eingefьgt werden,
# aber mьssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
#      102.54.94.97     rhino.acme.com          # Quellserver
#       38.25.63.10     x.acme.com              # x-Clienthost

127.0.0.1       localhost