Brauche hilfe beim Fixen mit Hijackthis

weasel949 · 28.07.2004, 15:27

Hallo,
ich bin mir nicht ganz sicher welche Prozesse ich alle fixen darf.
Hier ist meine .log file (danke im Vorraus):

Logfile of HijackThis v1.98.0
Scan saved at 16:10:03, on 28.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS2\System32\smss.exe
C:\WINDOWS2\system32\winlogon.exe
C:\WINDOWS2\system32\services.exe
C:\WINDOWS2\system32\lsass.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS2\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS2\system32\spoolsv.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS2\System32\CTHELPER.EXE
C:\WINDOWS2\hrtcm.exe
C:\WINDOWS2\System32\RUNDLL32.EXE
C:\WINDOWS2\System32\qdghzb.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\WINDOWS2\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS2\System32\CTsvcCDA.exe
C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS2\System32\nvsvc32.exe
C:\WINDOWS2\system32\scagent.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS2\System32\MsPMSPSv.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS2\System32\wuauclt.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\schweiz1\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.search-instructor.com/bers/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-instructor.com/bers/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.search-instructor.com/bers/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://super-spider.com/hp.htm?id=191
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.search-instructor.com/bers/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.search-instructor.com/bers/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-instructor.com/bers/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.search-instructor.com/bers/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search-instructor.com/bers/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.search-instructor.com/bers/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.search-instructor.com/bers/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Bluewin AG
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS2\system32\userinit.exe,
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS2\System32\h1ph1soup9l.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1629.0\en-us\msntb.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS2\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS2\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [hrtcm] C:\WINDOWS2\hrtcm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS2\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS2\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS2\svchost.exe 1
O4 - HKLM\..\Run: [winupd] C:\WINDOWS2\System32\winupd.exe
O4 - HKLM\..\Run: [ntldr] C:\WINDOWS2\System32\ntldr.exe
O4 - HKLM\..\Run: [tgpnldv] C:\WINDOWS2\System32\qdghzb.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [alchem] C:\WINDOWS2\alchem.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [romahere] C:\WINDOWS2\System32\matrixhere.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS2\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - HKCU\..\Run: [romahere] C:\WINDOWS2\System32\matrixhere.exe
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.179.52/winsearchie32.ch...searchie32.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.toolbars-cash.com/clk/125.chm::/file.exe
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS2\digfilt.dll
O18 - Filter: text/plain - {017C5043-B207-4F1F-87A5-93B2B5377397} - C:\WINDOWS2\System32\fhgdac.dll

Lutz · 28.07.2004, 19:13

Hallo weasel und willkommen im Board,

mache bitte zunächst ein Scan mit eScan (siehe meine Signatur) und poste anschließend was gefunden wurde. Ich vermute, es wird einiges gefunden.

weasel949 · 29.07.2004, 13:55

Hi Lutz,
erstmal DANKE für die schnelle Antwort!
Ich hab escan so wie beschrieben ausgeführt und jetzt nochmal mit HijackThis gescant . Hier ist der "neue" Log:

Logfile of HijackThis v1.98.0
Scan saved at 14:48:47, on 29.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS2\System32\smss.exe
C:\WINDOWS2\system32\winlogon.exe
C:\WINDOWS2\system32\services.exe
C:\WINDOWS2\system32\lsass.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS2\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS2\system32\spoolsv.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS2\System32\CTHELPER.EXE
C:\WINDOWS2\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\WINDOWS2\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS2\System32\CTsvcCDA.exe
C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS2\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS2\System32\MsPMSPSv.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS2\System32\wuauclt.exe
C:\Dokumente und Einstellungen\schweiz1\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=191
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.search-instructor.com/bers/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=191
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=191
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://super-spider.com/hp.htm?id=191
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.search-instructor.com/bers/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.search-instructor.com/bers/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-instructor.com/bers/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.search-instructor.com/bers/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search-instructor.com/bers/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.search-instructor.com/bers/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=191
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.search-instructor.com/bers/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Bluewin AG
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS2\system32\userinit.exe,
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1629.0\en-us\msntb.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS2\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS2\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS2\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS2\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [winupd] C:\WINDOWS2\System32\winupd.exe
O4 - HKLM\..\Run: [tgpnldv] C:\WINDOWS2\System32\qdghzb.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS2\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.179.52/winsearchie32.ch...searchie32.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.toolbars-cash.com/clk/125.chm::/file.exe
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS2\digfilt.dll
O18 - Filter: text/plain - (no CLSID) - (no file)

Lutz · 29.07.2004, 17:42

Hallo weasel,

um besser helfen zu können, wäre interessant zu wissen, was eScan gefunden hat.
Wenn Du eScan startest und anschließend auf View Log klickst wird die Log-Datei angezeigt. Bei einem kompletten Scan ist die Datei ziemlich groß. Ganz am Ende findest Du in etwa folgendes:

Zitat:

Thu Jul 29 18:27:35 2004 => Total Number of Files Scanned: 20
Thu Jul 29 18:27:35 2004 => Total Number of Virus(es) Found: 0
Thu Jul 29 18:27:35 2004 => Total Number of Disinfected Files: 0
Thu Jul 29 18:27:35 2004 => Total Number of Files Renamed: 0
Thu Jul 29 18:27:35 2004 => Total Number of Deleted Files: 0
Thu Jul 29 18:27:35 2004 => Total Number of Errors: 0
Thu Jul 29 18:27:35 2004 => Time Elapsed: 00:00:01
Thu Jul 29 18:27:35 2004 => Virus Database Date: 2004/07/29
Thu Jul 29 18:27:35 2004 => Virus Database Count: 98651

Poste bitte mal die entsprechende Passage aus Deinem Log.

Mit HijackThis kannst Du auf jeden Fall dies hier fixen (die Zeilen markieren und anschließend Fix checked klicken:

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=191
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.search-instructor.com/bers/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=191
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=191
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://super-spider.com/hp.htm?id=191
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.search-instructor.com/bers/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.search-instructor.com/bers/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-instructor.com/bers/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.search-instructor.com/bers/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search-instructor.com/bers/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.search-instructor.com/bers/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=191
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.search-instructor.com/bers/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O4 - HKLM\..\Run: [winupd] C:\WINDOWS2\System32\winupd.exe
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.179.52/winsearchie32.c...nsearchie32.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.toolbars-cash.com/clk/125.chm::/file.exe
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS2\digfilt.dll
O18 - Filter: text/plain - (no CLSID) - (no file)

Lösche die Datei
C:\WINDOWS2\System32\winupd.exe

Außerdem durchsuche das Log von eScan bitte nach folgenden Dateien:
C:\WINDOWS2\System32\qdghzb.exe
C:\Program Files\WindowsSA\omniscient.exe

Wenn diese Dateien als Virus, Trojaner oder ähnlich erkannt wurden, fixe die beiden Zeilen

Zitat:

O4 - HKLM\..\Run: [tgpnldv] C:\WINDOWS2\System32\qdghzb.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe

auch und lösche die Dateien, sofern noch vorhanden.

Starte dann den Rechner neu und erstelle noch mal ein neues Log mit HijackThis.

Nachtrag: Auf jeden Fall musst Du Dein System unter http://www.windowsupdate.com aktualisieren!

weasel949 · 29.07.2004, 19:47

Hi Lutz,
die oben genannten Prozesse hab ich alle erfolgreich gefixt.
(hoffentlich kommen die nicht von selber wieder wie beim erstenmal)
Hier die neue Log von hijackthis:

Zitat:

Logfile of HijackThis v1.98.0
Scan saved at 20:27:27, on 29.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS2\System32\smss.exe
C:\WINDOWS2\system32\winlogon.exe
C:\WINDOWS2\system32\services.exe
C:\WINDOWS2\system32\lsass.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS2\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS2\system32\spoolsv.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS2\System32\CTHELPER.EXE
C:\WINDOWS2\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\WINDOWS2\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS2\System32\CTsvcCDA.exe
C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS2\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS2\System32\MsPMSPSv.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Dokumente und Einstellungen\schweiz1\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\schweiz1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\schweiz1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\schweiz1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\schweiz1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\schweiz1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\schweiz1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Bluewin AG
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS2\system32\userinit.exe,
O2 - BHO: (no name) - {62E6522C-FC4B-48F1-A7A3-A1921D0077A0} - C:\WINDOWS2\System32\gdkgcg.dll (file missing)
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1629.0\en-us\msntb.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS2\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS2\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS2\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS2\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS2\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O18 - Filter: text/html - {B7F6A678-A8E4-4061-BCD6-ED807C9E982C} - C:\WINDOWS2\System32\gdkgcg.dll
O18 - Filter: text/plain - {B7F6A678-A8E4-4061-BCD6-ED807C9E982C} - C:\WINDOWS2\System32\gdkgcg.dll

Hier noch der schockierende log aus eScan:

Zitat:

Thu Jul 29 13:40:24 2004 => Total Number of Files Scanned: 97310
Thu Jul 29 13:40:24 2004 => Total Number of Virus(es) Found: 3005
Thu Jul 29 13:40:24 2004 => Total Number of Disinfected Files: 49
Thu Jul 29 13:40:24 2004 => Total Number of Files Renamed: 191
Thu Jul 29 13:40:24 2004 => Total Number of Deleted Files: 2717
Thu Jul 29 13:40:24 2004 => Total Number of Errors: 16
Thu Jul 29 13:40:24 2004 => Time Elapsed: 01:36:59
Thu Jul 29 13:40:24 2004 => Virus Database Date: 2004/07/29
Thu Jul 29 13:40:24 2004 => Virus Database Count: 98585

Windows hab ich auch mal wieder geupdated.
Danke für die Hilfe!
Gruss weasel

Lutz · 29.07.2004, 20:13

Zitat:

Thu Jul 29 13:40:24 2004 => Total Number of Virus(es) Found: 3005

Ich denke, das Bedarf keines weiteren Kommentars, oder?

Hier noch zu raten, irgendetwas zu fixen, ist imho schon fast fahrlässig. Nebenbei geben sich die Hijacker bei Dir quasi die Klinke in die Hand. Das jetzige Log deutet auf eine ganz andere Version hin!

Sorry, aber Du hast bei den Zahlen eigentlich nur eine Alternative. Sichere Deine relavanten Daten und setz Deinen Rechner neu auf. Anschließend solltest Dein 'Sicherheitskonzept' mal überdenken. 3005 (in Worten dreitausendundfünf) Viren ist selbst mit Norton eine 'Glanzleistung'.

weasel949 · 30.07.2004, 18:35

Hallo Lutz,
ja damit hab ich eigentlich fast schon gerechnet - einfach windows neu druf und besser aufpassen beim downloaden.
Ich würde gern mal so ein hijacker treffen

;-)

Naja, trotzdem nochmals vielen Dank.
Gruss Weasel

Brauche hilfe beim Fixen mit Hijackthis

Log-Analyse und Auswertung: Brauche hilfe beim Fixen mit Hijackthis