Hallo liebe Helfer,

ein Bekannter hat sich etwas eingefangen aber wir wissen nicht was und bevor ich ihm nun alles neu mache, wollte ich mal fragen ob sich jemand sein HJ Log ansehen kann.

Der Rechner fährt ganz normal hoch, allerdings stürzt sofort der Explorer ab, Active Desktop wurde automatisch deaktiviert und da möchten sich mind 2 (ich bekomme 2 Fenster dass die Rechte nicht vorhanden sind und dass man immer nur einzeln registrieren kann) in die Registry eintragen. Hijack konnte ich auch nur im abgesicherten Modus ausführen.

Danke

--------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:37:26, on 07.11.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\regwiz.exe
C:\WINDOWS\System32\regwiz.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\regwiz.exe,C:\WINDOWS\System32\codeblocks.exe,C:\WINDOWS\System32\regwiz.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Flash Module - {3AAB6591-87DD-424b-AFF2-4685EBF6A5EF} - bodrowis.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\System32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernelwind32.exe
O4 - HKLM\..\Run: [SystemSv12] C:\WINDOWS\System32\newmaxxsv234.exe
O4 - HKLM\..\Run: [Windows Media Player] C:\WINDOWS\twain.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\tsitra27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A28452DA545E9B1894E754BE54C29159A7DA781DA665063993F4827B144
O4 - HKLM\..\Run: [winload] C:\Program Files\Internet Explorer\winload.exe
O4 - HKLM\..\Run: [mstaskmgr.exe] C:\WINDOWS\System32\mstaskmgr.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\System32\spoolsvv.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\System32\vedxg6ame4.exe
O4 - HKCU\..\Run: [Brave-Sentry] C:\Program Files\BraveSentry\BraveSentry.exe
O4 - HKCU\..\Run: [noskrnl] C:\WINDOWS\noskrnl.exe
O4 - HKCU\..\Run: [WinAble] C:\Programme\WinAble\winable.exe
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\winlogon.exe
O4 - HKCU\..\Run: [fci] C:\WINDOWS\System32:svchosm.exe
O4 - HKCU\..\Run: [Insider] C:\Programme\Insider\Insider.exe
O4 - HKCU\..\Run: [xrt_Shell] C:\Dokumente und Einstellungen\Administrator\xrt_lfoy.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{AFD9D15A-1310-4B38-B382-451903C54155}: NameServer = 85.255.115.52,85.255.112.130
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.52 85.255.112.130
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.52 85.255.112.130
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.52 85.255.112.130
O20 - AppInit_DLLs: cmd.dll
O20 - Winlogon Notify: botreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\bot.dll
O20 - Winlogon Notify: partnershipreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\partnership.dll
O21 - SSODL: eEGKlG - {30B750A0-9A1D-FA0A-42C1-634061F1AB22} - C:\WINDOWS\System32\vl.dll
O21 - SSODL: PagingSYS - {009541A0-3B00-1F1C-00F3-040224001C01} - C:\Programme\Gemeinsame Dateien\PagingSYS.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\System32\aspimgr.exe
O23 - Service: Autodata Limited License Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: FCI - Unknown owner - C:\WINDOWS\System32\svchost.exe:ext.exe
O23 - Service: MS Internet Countermeasures Framework2b (ICF) - Unknown owner - C:\WINDOWS\System32\svchost.exe:ext.exe
O23 - Service: Security Service (LAYG) - Unknown owner - C:\WINDOWS\System32\svcd\svchost.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Hallo,

Zitat:

Platform: Windows XP (WinNT 5.01.2600)

Die Idee mit dem Platt machen triffts hier genau richtig.
Dein Freund hat diverse Malware, Trojaner und sogar
Umleitungen in die Ukraine (wenn ich das richtig sehe).
Euer Problem ist hierbei wahrscheinlich nur ein Windows-Bug
bezüglich des ungepatchten System, ersichtlich durch den
F2-Eintrag.

Meine Empfehlung für die Zukunft:

1. System neu aufsetzen mit anschließender Absicherung
2. Service Pack 2 updaten / installieren
3. XP-Updates updaten / installieren
4. Firewall von Windows XP SP2 aktivieren
(Start > Einstellungen > Systemsteuerung > Sicherheitscenter > Firewall > aktivieren)
5. Avira Antivir Personal Edition downloaden
6. Sofort updaten oder die Updates selbst runterladen
* Update Antivir Paket 1
* Update Antivir Paket 2
> Avira Fenster öffnen > oben auf Update klicken > manuelles Update
> Pfad raussuchen, in der die Pakete gespeichert sind (können auch gepackt sein)
7. Java-Update durchführen
8. neueste Version von Motzilla Firefox runterladen und als Standartbrowser benutzen
9. Etwa alle 3 Monate den CCleaner ausführen

mfg Cleriker

Danke für die schnelle Antwort ... dann weiß ich ja wie ich mir den Nachmittag vertreibe