Logfile of HijackThis v1.99.1
Scan saved at 10:58:20, on 08.12.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\SVIJET~1\LOKALE~1\TEMP\_VWUPSRV.EXE
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\sistray.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Multimedia Combo Set\MouseDrv.exe
C:\Programme\Multimedia Combo Set\PS2USBKbdDrv.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\SVIJET~1\LOKALE~1\Temp\Rar$EX00.313\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ditctpqcnikmfimgpwkpzt.net/fqVgwUVHaGGcLqycNfrcfQrg7NUnGSDuZWXd5h7AFTB5HAxJtKjPgBnF8VrUaASf.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.goqzhossqeuty.com/fqVgwUVHaGGRZuY_QNisYGvqjiRZeLKM_I_aswY7WWo.html
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu441\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {99E50DAD-8618-23B1-70A1-ED855CB4B0DA} - C:\DOKUME~1\SVIJET~1\ANWEND~1\HELPSO~1\Dash regs.exe (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE ZSMC USB PC Camera
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [WireLessMouse ] C:\Programme\Multimedia Combo Set\MouseDrv.exe
O4 - HKLM\..\Run: [WireLessKeyboard ] C:\Programme\Multimedia Combo Set\PS2USBKbdDrv.exe
O4 - HKLM\..\Run: [Log close data knob] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\upload fast log close\1 wipe.exe
O4 - HKLM\..\Run: [Online chin internet bolt] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin\Default Regs.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [FORK SEND] C:\DOKUME~1\SVIJET~1\ANWEND~1\BOOK64~1\bits bind four.exe
O4 - HKCU\..\Run: [Nero PhotoShow Media Manager] C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114800276700
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: MsgPlusLoader.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\SVIJET~1\LOKALE~1\TEMP\_VWUPSRV.EXE




Hallo,
ich habe son die Forensuche benutzt aber habe noch eine Frage. Welchen Einträge sind bei mir relevant? Das war ja von Fall zu Fall unterschiedlich.

Noch kur u meinem Problem: Meine Schwester klagt über einen zu langsamen Computer. Im Taskmanager waren die Einträge IEXPLORER.exe 3 mal vorhanden. Natürlich haben die auch ordentlich Ram gefressen...

Kann mir jmd scnellhelfen ^^?

Hallo.

Mit diesem System kannst du garnichts mehr anfangen, es ist ungepatcht und kompromittiert:

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto

Da führt nichts am Neuaufsetzen vorbei. Nimm es sofort vom Internet und setz Windows neu auf. Geh erst wieder ins Internet, wenn du mindestens das SP2 eingespielt und die Windows-Firewall aktiviert hast. Ändere dann auch alle Passwörter.

Zitat:

Zitat von cosinus

Hallo.

Mit diesem System kannst du garnichts mehr anfangen, es ist ungepatcht und kompromittiert:



Da führt nichts am Neuaufsetzen vorbei. Nimm es sofort vom Internet und setz Windows neu auf. Geh erst wieder ins Internet, wenn du mindestens das SP2 eingespielt und die Windows-Firewall aktiviert hast. Ändere dann auch alle Passwörter.

das ist doch nicht dein ernst oder? wo isn jetzt genau die gefahr?
und was iast mit den daten die man noch braucht? einfach auf ne CD klatschen oder auf meinen PC übertragen oder ist da auch ein risiko bei?

Zitat:

das ist doch nicht dein ernst oder? wo isn jetzt genau die gefahr?

Du hast mehrere Netzwerkwürmer mit Backdoorfunktionen im System. Eine Bereinigung wäre hier grobfahrlässig. Sieh zu, dass du das System schnellstens vom Internet trennst (Kabel ziehen!) und nach dem Neuaufsetzen alle Passwörter änderst.

Zitat:

und was iast mit den daten die man noch braucht? einfach auf ne CD klatschen oder auf meinen PC übertragen oder ist da auch ein risiko bei?

Über Datensicherung macht man sich Gedanken BEVOR etwas passiert! Sei froh, dass die Daten noch nicht weg sind. Du kannst mit einem Rettungssystem wie Knoppix oder BartPE die Daten sichern, über das jetzige verseuchte solltest du es nicht machen. Und übertragen solltest du nur reine Datendateien wie Musik, Videos, Bilder aber keine ausführbaren Dateien (*.exe *.com *.scr usw.)