auch ich bin genervt!!!!

sebbi · 29.06.2004, 17:58

Hallo!
Bin kein Profi, was Internetsecurity angeht, und deswegen poste ich hier. Habe schon versucht, über google eine Lösung für mein Problem ausfindig zu machen - ohne Erfolg.
Immerhin habe ich mir HijackThis heruntergeladen und diese Seite gefunden

Hier ist mein Logfile. Hoffe, ihr könnt mir sagen, was raus muss.
Irgendwie ist der IE saulangsam und bei google kommen seltsame Ergebnisse. Das ganze hängt wohl irgendwie mit "DOS exploit" zusammen. Wenn ich das aber mit Spybot wegmache, ist es beim nächsten Systemstart wieder da!

Logfile of HijackThis v1.97.7
Scan saved at 18:58:23, on 29.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\Dit.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\SCVHOST.EXE
C:\WINDOWS\System32\fgecxa.exe
C:\Programme\DSB\DSB.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\PSN2Lite\Psn2Lite.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\PSN2Lite\PSNGive.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Sebastian Pitschner\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.waz.de/
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINDOWS\System32\iiamune.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] C:\Programme\CloneCD\ElbyCheck.exe /L ElbyCDFL
O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE
O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
O4 - HKLM\..\Run: [zoaqxsvapgltl] C:\WINDOWS\System32\fgecxa.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [DSB] C:\Programme\DSB\DSB.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Wallpaper4U] C:\PROGRA~1\WALLPA~1\WALLPA~1.EXE -w
O4 - HKCU\..\Run: [C:\WINDOWS\System32\ixefuoo.dll] C:\WINDOWS\System32\ixefuoo.dll /c del ÉÂ >nul
O4 - Startup: Post-it® Software Notes Lite.lnk = C:\Programme\PSN2Lite\Psn2Lite.exe
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Programme\PSN2Lite\Psn2Lite.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: =>&Deutsch - http:\\wordreference.com\de\j\iede99.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} - http://stream10k.redhotnetworks.com/cabs/videox.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {597C45C2-2D39-11D5-8D53-0050048383FE} (OPUCatalog Class) - http://office.microsoft.com/productu...ntent/opuc.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.142/code/PWActiveXImgCtl.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...727.2205092593
O16 - DPF: {A4639D2F-774E-11D3-A490-00C04F6843FB} - http://download.microsoft.com/downlo...-US/msorun.cab
O16 - DPF: {AD08A333-609E-11D3-950C-008098601567} - http://wordreference.com/Install/Eng...o%20German.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get...sh/swflash.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -

Who Cares · 29.06.2004, 18:29

<blockquote>Zitat:<hr />Original erstellt von sebbi:

[X] O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
-TwainTech adware (TWAINTEC.DLL)

[X] O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
-BlazeFind hijacker variant (2_0_1BROWSERHELPER2.DLL)

[X] O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
-RegCompres (REGCPM32.EXE)
[X] O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
-RegCompres (REGCPM32.EXE)

[X] O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
-Alchem (ALCHEM.EXE)

[X] - [MSStartOptimizer] Iexpres.exe
[X] - [MSStartOptimizer] WINUPD.EXE

[X] O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} - http://stream10k.redhotnetworks.com/cabs/videox.cab
-Adult Content Dialer
[X] O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
-MagicAds Adware
[/QUOTE]Hi,

1) Obiges ist definitiv böse.. anhaken udn fixen im Hiajckthis

2)
O2 - BHO: (no name) - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINDOWS\System32\iiamune.dll
O4 - HKLM\..\Run: [zoaqxsvapgltl] C:\WINDOWS\System32\fgecxa.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [DSB] C:\Programme\DSB\DSB.exe

O4 - HKCU\..\Run: [C:\WINDOWS\System32\ixefuoo.dll] C:\WINDOWS\System32\ixefuoo.dll /c del ÉÂ >nul

Kennst brauchst du da was von ?
- alles mit KAV prüfen (s.u.) und ggfs fixen
- dateien archivieren (zum einschicken an free-av ) & löschen

und mal google/Forensuche nach
PEPER Trojan
machen

P.S.: SYSTEM absichern !!! Sonst kommen die immer wieder..

s. Forensuche, Hijacker-Forum und www.heise.de -> security -> Browsercheck/emailcheck

Radja · 29.06.2004, 18:44

antwort schon passiert

Frage kann ich mein post in so einem fall nicht komplett löschen?

Who Cares · 29.06.2004, 19:04

<blockquote>Zitat:<hr />Original erstellt von Radja:

Frage kann ich mein post in so einem fall nicht komplett löschen? [/QUOTE]könntest du, aber
a) vielleicht finden/lernen ja andere nochwas
b) ggfs hast du in 24 h wieder probleme, obwohl das Log nicht danach aussieht
c) war dein log nicht komplett. (am besten alles, was unter o16 steht, und nicht von MS ist bzw. du nicht kennst -> raus..)

Radja · 29.06.2004, 19:22

hehe missverständnis,

hatte auch gerade auf sebbi´s frage reagiert und wollte dann mein post wieder löschen!

auch ich bin genervt!!!!

Log-Analyse und Auswertung: auch ich bin genervt!!!!