Hi,

Ich habe ein echten MEGA Fießling auf meinem Rechner..

Kurz zu meinem Rechner: WinXp-Prof, Spybot S&D 1.3 + Tetime, Norton Antivirus 2004, Ad-aware 6.0, hjt.exe, TrojanHunter, SpywareBlaster, Browser Hijack Blaster. (alle mit mit neuster Version..)

Mit allen Tools habe ich bereits gesucht und habe keine Lösung ebeigeführt!! :-(

Der Anfang: Erst hatte ich diesen runwin32.exe die sich immer wieder in die regesty eingetragen hat. Weiterhin hat Ad-Ware noch dailup.exe und st.exe als böde erkannt und vernichtet. Weiterhin stellte sich immer easy-search.biz oder C:\WINDOWS\system32\IEsp.mht als IE Startseite ein.

Die problems konnten die Tools aber soweit lösen. Aktuel stellt sich nur noch "C:\WINDOWS\system32\IEsp.mht" als Startseite ein und überschreibt damit dauernd meine Enstellungen. Keins der Aktivenprogramme wie das von Spybot merken etwas. Noch ärgerlicher ist das ic aktuell keine Dateien mit dem Notepad ändern kann. Wenn ich es versuche lädt es mir immer die datei rundll32.exe in de Speicher und Spybot warnt das ein "Browser Helper Object" hinzugefügt wird sowie Eine weitere Änderung "Rundll32 cmicnfg.cpl,CMICtrlWnd" wird geschreiben. Notepod öffnet sich natürlich nicht....
Wenn ich nach cmicnfg.cpl suche finde ich Die unter "C:\Programme\C-Media 3D Audio\Driver\Win_XP". Das ist meine Soundkarte, also eigentlic okay. Vielleicht also Zufall. Die zweite Meldung kommt auch nicht immer. Aber die erste mit dem "Browser Helper Object" immer!

Was ist das??? Und was kann ich tun?? HILFE!!

ich habe auch schon mit http://www.kaspersky.com/de/remoteviruschk.html die wichtigsten dateien untersuchen lassen. alles okay... in anführungszeichen "leider"...

Zitat:

Zitat von zieby

Was ist das??? Und was kann ich tun??

erstmals Foren-Suche benutzen, dann Googlen! ich habe sofort die Seite gefunden : http://www.bluestack.org/Iesp.Mht

hab mir das angeschaut... außer der einen datei war nichts davon da, keiner dieser regeistry keys oder anderen dateien wie 0.bat, etc. die datei IEsp.mht habe ich also gelöscht.. aber die stellt sileider ohnehin immer wieder neu ein....

das notepad ist immer noc nicht aktiv... scheint was härteres zu sein. hmmm...help?

p.s. ich bin nicht sicher das IEsp.mht was mit dem notepad zu tun hat. scheinen verschiedene problems zu sein. und das das notepad nicht mehr geht stört mich viel mehr als IEsp.mht. aktuell kann ich keine dateien editieren.. (nur über word oder so...)

Versuche mal noch HJT-Log hier zu posten, allerdings habe ich fast keine Hoffnung mehr, dass wir an der Stelle ohne Neuformatieren ausgehen...

danke erstma für die hilfe! :-)

hier mein log:

Logfile of HijackThis v1.98.0
Scan saved at 13:14:32, on 04.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\Prismsta.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\***\Eigene Dateien\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\System32\IEsp.mht
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Welcome to ALDI
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: - {0AFACA14-A6B3-4DC7-9491-505857F4F488} - C:\WINDOWS\msie32.dll
O2 - BHO: - {160E622B-55B5-418D-92CB-67E3FD00A591} - C:\WINDOWS\msie32.dll
O2 - BHO: - {20E187BD-05C0-4D91-B43A-B9D10D36249B} - C:\WINDOWS\msie32.dll
O2 - BHO: - {2334E773-E081-436C-8E56-72B9FAE9F2DA} - C:\WINDOWS\msie32.dll
O2 - BHO: - {2AB3564E-C74C-439A-A9C5-1BA70BF41B5D} - C:\WINDOWS\msie32.dll
O2 - BHO: - {2BF1A013-B17C-4E7A-95D9-A1D14DF7A1AA} - C:\WINDOWS\msie32.dll
O2 - BHO: - {2E7C631D-56E1-4FC5-B00F-EA9CEB420E06} - C:\WINDOWS\msie32.dll
O2 - BHO: ie - {2FF5573C-0EB5-43db-A1B2-C4326813468E} - c:\windows\iehr.dll
O2 - BHO: - {35A50858-5F9F-4DC0-9B48-519354354FE8} - C:\WINDOWS\msie32.dll
O2 - BHO: - {42D48707-A9EB-40B5-864A-FB4204D34714} - C:\WINDOWS\msie32.dll
O2 - BHO: - {4423A8CD-4B54-4896-8F06-55B85E3128F1} - C:\WINDOWS\msie32.dll
O2 - BHO: - {4513E50E-A3DB-47A2-9124-56DE5101398C} - C:\WINDOWS\msie32.dll
O2 - BHO: - {4F495D68-29D6-4EAC-B614-5A0892CBBBE6} - C:\WINDOWS\msie32.dll
O2 - BHO: - {546379B4-5F29-49F9-8174-2CCCA0C1DDD9} - C:\WINDOWS\msie32.dll
O2 - BHO: - {58158547-58E2-4F7F-8E60-E8935ADCB0D8} - C:\WINDOWS\msie32.dll
O2 - BHO: - {5B0E830F-0873-4381-B39E-058A2E5AE416} - C:\WINDOWS\msie32.dll
O2 - BHO: - {5C663069-C659-4A2B-B295-45C06590F1AB} - C:\WINDOWS\msie32.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2K0.dll
O2 - BHO: - {68C68AA2-248E-48D0-8BED-96F856551E6E} - C:\WINDOWS\msie32.dll
O2 - BHO: - {72A70E65-D1B1-43F9-A28A-98E06FC937BB} - C:\WINDOWS\msie32.dll
O2 - BHO: - {78397FC0-07A7-41E7-A261-3A368C018DE7} - C:\WINDOWS\msie32.dll
O2 - BHO: - {7C85F96F-BB14-40FE-9DA4-EBE6A2FBE28A} - C:\WINDOWS\msie32.dll
O2 - BHO: - {82FD2159-41BF-4FF8-ABA6-C62F96DA1A18} - C:\WINDOWS\msie32.dll
O2 - BHO: - {94747E7E-2D8B-4078-91B4-670EF2E622CF} - C:\WINDOWS\msie32.dll
O2 - BHO: - {96C15AE0-6FB0-4E60-9423-EF4537A667F7} - C:\WINDOWS\msie32.dll
O2 - BHO: - {991D1A20-2ECB-49F0-BD44-71DDAB3A094A} - C:\WINDOWS\msie32.dll
O2 - BHO: - {A0A70EC2-BEA7-49D8-A663-A6FB7807FB86} - C:\WINDOWS\msie32.dll
O2 - BHO: - {A0B2E146-BA30-4A95-8FCB-442843257332} - C:\WINDOWS\msie32.dll
O2 - BHO: (no name) - {A3DFDA85-1D92-4E28-8C0C-522574ACDC8A} - C:\WINDOWS\System32\msacrohlp.dll
O2 - BHO: - {A60829D7-F940-4F1A-A6CC-71CB0B9C31AA} - C:\WINDOWS\msie32.dll
O2 - BHO: - {A687E614-76E8-48C9-9C2E-A08FC58E489D} - C:\WINDOWS\msie32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: - {B46EF87B-24B7-4234-9449-AEDC4FFA52E2} - C:\WINDOWS\msie32.dll
O2 - BHO: - {B4DDE75D-6C33-4E93-ACAF-EEA446E1EA1E} - C:\WINDOWS\msie32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: - {C1482D30-1A04-493D-9ACF-A06BA634842C} - C:\WINDOWS\msie32.dll
O2 - BHO: - {C49525B0-D4D8-4024-A2EE-F3192EE945BA} - C:\WINDOWS\msie32.dll
O2 - BHO: - {D8563896-470C-452C-A007-CF3D8F533866} - C:\WINDOWS\msie32.dll
O2 - BHO: - {ECAB0F9B-63F2-4760-B770-D43F891BDCCC} - C:\WINDOWS\msie32.dll
O2 - BHO: - {F8860374-5EA1-4758-9DF9-4CC9CF8DF5DC} - C:\WINDOWS\msie32.dll
O2 - BHO: - {FAD86839-FC5B-4316-841B-819475F52ED9} - C:\WINDOWS\msie32.dll
O2 - BHO: - {FE2F5EDB-F65F-47B1-BDEF-79132729EBDD} - C:\WINDOWS\msie32.dll
O2 - BHO: - {FF434D9D-705E-4F4F-9CC2-57C86AD3D3CA} - C:\WINDOWS\msie32.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - ftp://adeskftp.autodesk.com/webpub/mapguide/ver6/viewer/en/mgaxctrl.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab



___
sehr ärgerlich: jetzt hat irgendwas wieder in die regestry geschrieben als HijackThis die log im notepad anzeigen wollte. wieder dieser "Browser Helper Object" mit dem Wert: {D2116146-8BD7-49E1-96F2-4BED1477A1FO...

C:\WINDOWS\msie32.dll was ist das eigentlich und ist das normal das es so oft auftauscht in der log?

Zitat:

Zitat von zieby

C:\WINDOWS\msie32.dll was ist das eigentlich und ist das normal das es so oft auftauscht in der log?

sieht bösartig aus. Info habe ich keine gefunden, nur das: http://securityresponse.symantec.com...stopin@mm.html
Am Besten alle Einträge mit msie32.dll auswählen/fixen.

Zitat:

C:\WINDOWS\System32\Prismsta.exe
O2 - BHO: (no name) - {A3DFDA85-1D92-4E28-8C0C-522574ACDC8A} - C:\WINDOWS\System32\msacrohlp.dll

kenne ich nicht.
Versuche noch mit einer Auto-Auswertung von HJT zurecht zu kommen, aber bitte mit Vorsicht geniessen: es gibt noch zu vilele False-Positive sowie False-Negative Ergebnisse. http://www.hijackthis.de/index.php

hi rene-gad,

der eintrag:

Zitat:

O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe

gehört zum überwachungstool des prism wireless lan.
es erscheint im traybereich, wenn dies als autostart konfiguriert ist.
also harmlos. würde ich nicht fixen - es sei, zieby benutzt kein wireless lan

Zitat:

Zitat von mav1976

also harmlos. würde ich nicht fixen

..ich habe auch nicht darauf bestanden, ich kenne das Programm einfach nicht. Man kann(soll,muss) nicht alles kennen(wissen,können). .

Les doch mal bitte hier " WebSiteViewer und Probleme mit IE Explorer Startseite"

nach, hat geholfen bis jetzt, der Beitrag von Lutz.

Nochmal danke für alle Tipps. Soweit geht auch fast wieder alles. Nervig sind aber noch folgende Fakten:

Notepad geht nicht. wenn ich es starte wird immer wieder ein "browser helper object" geändert (Laut spybot s&d Teatime...).. und nodepad geht nicht. hin und wieder geht auch wieder so ne blöde pornoseite auf.... wobei das nicht "ganz" so schlim ist ;-)

mich wundert nur das KEIN einziges tool das ding aufspüren kann.