Hallo - hab wohl auch einen trojaner auf meinem system ( XP Professional ) und bin schon mit mir allen bekannten Hilfsprogrammen auf die suche gegangen, aber der Hijacker kommt immer wieder!!

Vielleicht hat irgendjemand ja noch ideen was ich machen kann !?

Folgendes erscheint immer im IE 6.0

res://lutat.dll/index.html#96676

Bitte um schnelle Hilfe - werde noch wahnsinnig mit dem Mist !!

Gruß Markus

Hier noch als Anhang das HijackThis Protokoll

1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lutat.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://lutat.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://lutat.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lutat.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://lutat.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\lutat.dll/sp.html#96676
O2 - BHO: (no name) - {070658EF-FBB1-51FF-B02D-6C8EC243119E} - C:\WINDOWS\apisj.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [iell32.exe] C:\WINDOWS\system32\iell32.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [TransTask] "C:\Programme\Tweak-XP Pro 3\transtask.exe"
O4 - HKLM\..\RunOnce: [atlsp32.exe] C:\WINDOWS\system32\atlsp32.exe
O4 - HKLM\..\RunOnce: [addtp.exe] C:\WINDOWS\addtp.exe
O4 - HKLM\..\RunOnce: [ntlr32.exe] C:\WINDOWS\ntlr32.exe
O4 - HKLM\..\RunOnce: [iesc32.exe] C:\WINDOWS\iesc32.exe
O4 - HKLM\..\RunOnce: [ieav.exe] C:\WINDOWS\system32\ieav.exe
O4 - HKLM\..\RunOnce: [atlmz32.exe] C:\WINDOWS\system32\atlmz32.exe
O4 - HKLM\..\RunOnce: [addmw.exe] C:\WINDOWS\system32\addmw.exe
O4 - HKLM\..\RunOnce: [appuc32.exe] C:\WINDOWS\appuc32.exe
O4 - HKLM\..\RunOnce: [ieko.exe] C:\WINDOWS\system32\ieko.exe
O4 - HKLM\..\RunOnce: [netnx32.exe] C:\WINDOWS\netnx32.exe
O4 - HKLM\..\RunOnce: [crdm32.exe] C:\WINDOWS\system32\crdm32.exe
O4 - HKLM\..\RunOnce: [mspo.exe] C:\WINDOWS\system32\mspo.exe
O4 - HKLM\..\RunOnce: [mfcru32.exe] C:\WINDOWS\system32\mfcru32.exe
O4 - HKLM\..\RunOnce: [addik32.exe] C:\WINDOWS\addik32.exe
O4 - HKLM\..\RunOnce: [ntij32.exe] C:\WINDOWS\ntij32.exe
O4 - HKLM\..\RunOnce: [apioy.exe] C:\WINDOWS\apioy.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: AIM (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all04.kundenserver.de/app/...vex/msxml4.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...124.5134722222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab

Hallo django,

keine Sorge, ich denke das bekommen wir hin.
Zuerst bitte unter systemsteuerung > verwaltung > dienste > nach network security service suchen > re. anklicken und unter Eigenschaften deaktivieren.
Bitte einen neuen logfile mit hijack this > save und kopier dann die running processes mit und hier posten.
Gruss willy

Hi Willy - vielen Dank erstmal !

Hab deine Anweisung durchgeführt - hier das Ergebnis:

Logfile of HijackThis v1.97.7
Scan saved at 19:09:54, on 23.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\atlsp32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\system32\iell32.exe
C:\Programme\Tweak-XP Pro 3\transtask.exe
H:\Programme\IEEE 802.11b WLAN Utility(USB)\AWLAN_USB.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Moskio Tours\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lutat.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://lutat.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://lutat.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lutat.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://lutat.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\lutat.dll/sp.html#96676
O2 - BHO: (no name) - {070658EF-FBB1-51FF-B02D-6C8EC243119E} - C:\WINDOWS\apisj.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [iell32.exe] C:\WINDOWS\system32\iell32.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [TransTask] "C:\Programme\Tweak-XP Pro 3\transtask.exe"
O4 - HKLM\..\RunOnce: [atlsp32.exe] C:\WINDOWS\system32\atlsp32.exe
O4 - HKLM\..\RunOnce: [addtp.exe] C:\WINDOWS\addtp.exe
O4 - HKLM\..\RunOnce: [ntlr32.exe] C:\WINDOWS\ntlr32.exe
O4 - HKLM\..\RunOnce: [iesc32.exe] C:\WINDOWS\iesc32.exe
O4 - HKLM\..\RunOnce: [ieav.exe] C:\WINDOWS\system32\ieav.exe
O4 - HKLM\..\RunOnce: [atlmz32.exe] C:\WINDOWS\system32\atlmz32.exe
O4 - HKLM\..\RunOnce: [addmw.exe] C:\WINDOWS\system32\addmw.exe
O4 - HKLM\..\RunOnce: [appuc32.exe] C:\WINDOWS\appuc32.exe
O4 - HKLM\..\RunOnce: [ieko.exe] C:\WINDOWS\system32\ieko.exe
O4 - HKLM\..\RunOnce: [netnx32.exe] C:\WINDOWS\netnx32.exe
O4 - HKLM\..\RunOnce: [crdm32.exe] C:\WINDOWS\system32\crdm32.exe
O4 - HKLM\..\RunOnce: [mspo.exe] C:\WINDOWS\system32\mspo.exe
O4 - HKLM\..\RunOnce: [mfcru32.exe] C:\WINDOWS\system32\mfcru32.exe
O4 - HKLM\..\RunOnce: [addik32.exe] C:\WINDOWS\addik32.exe
O4 - HKLM\..\RunOnce: [ntij32.exe] C:\WINDOWS\ntij32.exe
O4 - HKLM\..\RunOnce: [apioy.exe] C:\WINDOWS\apioy.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: AIM (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all04.kundenserver.de/app/...vex/msxml4.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...124.5134722222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab

gruß Markus

Hallo django,
dann wollen wir mal
1. windows xp ist noch ohne Sp1 solltest Du updaten
2. Du bist immer noch mit dem IE unterwegs? Sollest über einen Alternativ browser nachdenken!
Opera etc..
3. bitte folgendes mit HijackThis fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lutat.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://lutat.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://lutat.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lutat.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://lutat.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\lutat.dll/sp.html#96676
O2 - BHO: (no name) - {070658EF-FBB1-51FF-B02D-6C8EC243119E} - C:\WINDOWS\apisj.dll

und folgendes auch:

O4 - HKLM\..\RunOnce: [atlsp32.exe] C:\WINDOWS\system32\atlsp32.exe
O4 - HKLM\..\RunOnce: [addtp.exe] C:\WINDOWS\addtp.exe
O4 - HKLM\..\RunOnce: [ntlr32.exe] C:\WINDOWS\ntlr32.exe
O4 - HKLM\..\RunOnce: [iesc32.exe] C:\WINDOWS\iesc32.exe
O4 - HKLM\..\RunOnce: [ieav.exe] C:\WINDOWS\system32\ieav.exe
O4 - HKLM\..\RunOnce: [atlmz32.exe] C:\WINDOWS\system32\atlmz32.exe
O4 - HKLM\..\RunOnce: [addmw.exe] C:\WINDOWS\system32\addmw.exe
O4 - HKLM\..\RunOnce: [appuc32.exe] C:\WINDOWS\appuc32.exe
O4 - HKLM\..\RunOnce: [ieko.exe] C:\WINDOWS\system32\ieko.exe
O4 - HKLM\..\RunOnce: [netnx32.exe] C:\WINDOWS\netnx32.exe
O4 - HKLM\..\RunOnce: [crdm32.exe] C:\WINDOWS\system32\crdm32.exe
O4 - HKLM\..\RunOnce: [mspo.exe] C:\WINDOWS\system32\mspo.exe
O4 - HKLM\..\RunOnce: [mfcru32.exe] C:\WINDOWS\system32\mfcru32.exe
O4 - HKLM\..\RunOnce: [addik32.exe] C:\WINDOWS\addik32.exe
O4 - HKLM\..\RunOnce: [ntij32.exe] C:\WINDOWS\ntij32.exe
O4 - HKLM\..\RunOnce: [apioy.exe] C:\WINDOWS\apioy.exe

ebenso:
C:\WINDOWS\system32\iell32.exe

folgende Einträge bei kapersky.com online prüfen lassen:

C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\atlsp32.exe

Hast Du den Network Service gefunden und deaktiviert?

Bitte dannach noch mal einen logfile!

Gruss Willy

Hi Willy,


hab alles so gamacht - Network Service ist auch deaktiviert !!


C:\WINDOWS\system32\ntvdm.exe ist OK

C:\WINDOWS\system32\atlsp32.exe
ist infiziert Kaspersky sagt dann folgendes:

Scanned file: atlsp32.exe

atlsp32.exe - packed with UPX
atlsp32.exe - infected by TrojanDownloader.Win32.Agent.an

Hier nochmal der letzte scan


Logfile of HijackThis v1.97.7
Scan saved at 19:42:08, on 23.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\atlsp32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\system32\iell32.exe
C:\Programme\Tweak-XP Pro 3\transtask.exe
H:\Programme\IEEE 802.11b WLAN Utility(USB)\AWLAN_USB.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AIM95\aim.exe
C:\Dokumente und Einstellungen\Moskio Tours\Desktop\HijackThis.exe

O2 - BHO: (no name) - {070658EF-FBB1-51FF-B02D-6C8EC243119E} - C:\WINDOWS\apisj.dll
O2 - BHO: (no name) - {461AE737-3B83-63AB-9348-0DE2E0FE7E7E} - C:\WINDOWS\system32\ipjs32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [iell32.exe] C:\WINDOWS\system32\iell32.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [TransTask] "C:\Programme\Tweak-XP Pro 3\transtask.exe"
O4 - Global Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: AIM (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all04.kundenserver.de/app/...vex/msxml4.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...124.5134722222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab

Gruß Markus

Hallo django

Vorab bitte folgende Einträge mit HijackThis fixen:

O2 - BHO: (no name) - {070658EF-FBB1-51FF-B02D-6C8EC243119E} - C:\WINDOWS\apisj.dll
O2 - BHO: (no name) - {461AE737-3B83-63AB-9348-0DE2E0FE7E7E} - C:\WINDOWS\system32\ipjs32.dll

O4 - HKLM\..\Run: [iell32.exe] C:\WINDOWS\system32\iell32.exe


1.) Dieses Tool laden und updaten: http://www.trojaner-board.de/forum/u...c;f=6;t=005602
2.) Die Systemwiederherstellung von Windows XP deaktivieren: http://www.systemwiederherstellung-d...indows-xp.html
3.) Windows XP im abgesicherten Modus starten: http://www.bsi.de/av/texte/winsave.htm#WindowsXP

4.) Dort das Tool aus 1.) laufen lassen, zudem auch den CWShredder. Die Scan-Logfiles dieser beiden Tools sichern.
Der e-scan braucht ca. 1 Stunde also hol Dir einen Kaffee!
5.) Bitte folgende Dateien (im immer noch abgesicherten Modus) löschen:
C:\WINDOWS\system32\atlsp32.exe
C:\WINDOWS\system32\iell32.exe
5.) System im normalen Modus neu starten.
Neues logfile von hijack this posten.
Eigentlich sollte Dein "Freund" weg sein.
Wir sollten aber dannach noch ein paar "Aufräumarbeiten" in der Registry manuell vornehmen!
Gruss Willy

Am besten du druckst Dir das hier aus!

Hallo Willy,

bin am verzweifeln!! habe das ganze wie du geschrieben hast durgeführt - hat aber nicht sehr viel gebracht!!

Versuche die ganze prozedur jetzt noch mal !!
Hab jetzt mein notebook rausgeholt um gleichzeitig mit dir zu kommunizieren - vielleicht klapp es dann besser!?

Im Moment läuft escan im abgesicherten modus noch durch und hat schon 2 trojaner gefunden - mal schauen, was noch so auftaucht !!

gruß markus

Hallo Markus,
wie sieht es aus?
Schick doch mal einen neuen logfile - mal sehen was wir da noch so alles haben!

Gruss Willy

Hallo Markus,

ich bin gerade nochmal über unsere Vorgehensweise "drüber gegangen"!
Ich habe beim ersten mal leider diesen Eintrag vergessen - Sorry!

O4 - HKLM\..\Run: [iell32.exe] C:\WINDOWS\system32\iell32.exe

Der kann zwischenzeitlich leider schon anders heissen und hat vermutlich "kräftig nachgeladen", also bitte nochmal einen neuen logfile.
Gruss Willy

Hallo Willy,

hab das ganze gestern nochmal durchlaufen lassen und es sieht so aus als wenn "mein Freund" tatsächlich nicht mehr da ist - allerding hab ich jetzt das Problem, das ich bestimmte Seiten gar nicht erst aufmachen kann bzw. diese sich sofort wieder schließen - hab den eindruck das hat etwas mit java zu tun !?

Hier noch mal der letzte scan von Hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 13:48:28, on 24.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Tweak-XP Pro 3\transtask.exe
H:\Programme\IEEE 802.11b WLAN Utility(USB)\AWLAN_USB.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Moskio Tours\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1und1.de/Herzlich_Willkommen/b1/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [TransTask] "C:\Programme\Tweak-XP Pro 3\transtask.exe"
O4 - Global Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: AIM (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all04.kundenserver.de/app/...vex/msxml4.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...124.5134722222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab

Vielleicht hast du ja ne Ahnung was los ist !

Gruß Markus

Hallo Markus,
</font><blockquote>Zitat:</font><hr />hab das ganze gestern nochmal durchlaufen lassen und es sieht so aus als wenn "mein Freund" tatsächlich nicht mehr da ist - allerding hab ich jetzt das Problem, das ich bestimmte Seiten gar nicht erst aufmachen kann bzw. diese sich sofort wieder schließen - hab den eindruck das hat etwas mit java zu tun !?
</font>[/QUOTE]Diese beiden Einträge brauchst Du nicht wirklich (sind für Java Update. Ich habe in einem USA Forum über ähnliche Probleme gelesen bis der updater entfernt war!
1.) C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
2.) O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe

1.) im Taskmanager beenden 2.) in hijack fixen
wenn alles funktioniert, kannst Du 1.) löschen!

Versuch doch vorher mit Alternativ Browser (Opera oder Mozilla) beide kostenlos aus dem Netz laden!

Wichtig!
wirf doch mal einen Blick in die Registry und
suche nach folgenden Einträgen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\__NS_Service_3

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY___NS_Service_3

Kann auch (und /oder) NS_Service_2 sein.

Die einträge und alles was im Unterverzeichnis steht solltest Du löschen.
Wichtig!!!!!!!!!! Registry vorher speichern!!!

Sollten sich die Einträge nicht löschen lassen (was ich eigentlich erwarte) re. klicken &gt; Berechtigungen &gt; auf vollzugriff ändern &gt; und dann weg damit.
Gruss Willy

Hi Willy,

vielen Dank nochmals für deine Super Hilfe !!

Echt klasse das Forum hier - gefällt mir sehr gut!!

Also besten Dank und hoffentlich hab ich nicht so schnell wieder so´n Teil auf meinem Rechner !

Tschö

.............und Gruß Markus

Ach so - welchen anderen Explorer hälst du für gut ??

</font><blockquote>Zitat:</font><hr />Original erstellt von django_guitar:
Ach so - welchen anderen Explorer hälst du für gut ?? </font>[/QUOTE]Du meinst Browser?

Firefox zur Zeit Version 0.9 auf Englisch, bald sicher auch auf Deutsch, evtl. kommt in Kürze auch noch eine 0.91 raus, munkelt man. Opensource, kostenlos. Nur Browser, kein Mailprogramm -&gt; http://firefox.bric.de/index.php

Opera kostenlos, wenn man ein Werbefenster akzeptiert. Version 7.51 auf Englisch, es gibt ein deutsches Language-Pack, enthält Mailclient, der aber ein bißchen anders ist. -&gt; http://opera.com

Mozilla zur Zeit Version 1.7 auf Deutsch unter http://mozilla.kairo.at/download.php?ver=1.7 , enthält auch gutes Mailprogramm. Basiert auf dem gleichen Kern wie Firefox, Opensource und kostenlos.

Mein Tip: wenn mit Mailprogramm, dann Mozilla, sonst Firefox. Aber probier einfach mal aus, welcher Browser Dir am besten gefällt. Besser und sicherer als der IE sind sie alle.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Hallo Markus,
freut mich, dass alles geklappt hat.
Der Empfehlung von yopie kann ich mich nur anschliessen.
Der Aufwand (download) ist gering und bei mozilla kannst Du ohne grosse Probleme sogar Deine favoriten etc. aus dem IE übernehmen.
Lade dir doch einfach mal ein oder zwei aus dem netz und schau mit welchen Du besser klar kommst.
Gruss Willy

Ist zwar eigentlich 'off-topic' ich möchte es aber trotzdem mal loswerden:

@ willy,

ich find's klasse, wie Du -nachdem Du vor ein paar Tagen das gleiche Problem hattest- Deine Erfahrungen weitergibst und nicht nur Deine Lösung abgeholt hast um dann wieder zu verschwinden! [img]graemlins/daumenhoch.gif[/img]