Hallo,

ich habe ein riesen problem mit dem firmen pc meines vaters. Seit einigen tagen hat sich bei im der besagte virus/trojaner eingenistet und läßt sich nicht entfernen.

Auch unser it-berater hat sich bereits daran versucht, allerdings nur über standart-methode antiviren programm.

Gescannt wurde inzwischen über f-secure, norton und andere schnelltests.
F-secure ist der standartmäßige virenschutz und erkennt die infizierung eigentlich immer direkt, nur läßt er sich darüber nicht endgültig entfernen.

Nachdem ich beim googeln auf diese seite gestoßen bin, hab ich auch einen thread gefunden in dem es genau um diesen ging.
Dort hieß es nach posten eines logs: diesen und jenen eintrag entfernen, zusätzlich falls er eine stealth.dll hat auch über !findnfix! oder so prüfen.

Dies war ca der wortlaut, den originalen fred finde ich jetzt natürlich nicht mehr.

Leider habe ich diese anweisungen nicht ganz korrekt befolgt, stattdessen bin ich so vorgegegangen:
!findnfix! im abgesicherten mit eingabeaufforderung laufen lassen. Gehofft das er weg ist, leider nein.
Dann nen log erstellt und die gleichen 3 pkte wie im anderen thread gefixed, leider nicht im abgesicherten. Gehofft das er weg ist, leider nein.

So und nun steh ich da, bei weiterem loggen sind die entsprechenden einträge nun leider nicht mehr aufzufinden. Den ersten log könnte ich nachreichen, hab im moment leider keinen zugriff drauf.

Der nette trojan erscheint leider weiterhin irgendwann nachdem man den browser gestartet hat, und wird dann halt auch von f-secure gefischt.
Er sitzt immer im ordner windows/system32/ und hat unbestimmte buchstaben + .dll endung.

Das system ist win xp sp1 mit allen patches, der browser der flashpeak slimbrowser, der meines wissens aber hauptsächlich auf dem ie basiert.

So und nun erbitte ich mir von euch hilfe, der scheiß trojan beschäftigt mich schon den ganzen tag und ich bin echt am verzweifeln.

mfg
acesulfam

Dickes Edit

Habe nach unendlichem hin und her endlich den original post gefunden und zwar hier http://www.trojaner-board.de/showthr...4526#post64526
(habe was von einer boardumstellung gelesen, dabei scheint die thread id ungültig geworden zu sein, da ich über den original google link am firmen pc bei mir nix erreicht habe)

Und den log gibts nun auch dazu:

Logfile of HijackThis v1.98.2
Scan saved at 15:59:35, on 09.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\KEN!\KENSERV.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\KEN!\KENCAPI.EXE
C:\Programme\KEN!\KENINET.EXE
C:\Programme\KEN!\KENPROXY.EXE
C:\Programme\KEN!\KENMAIL.EXE
C:\Programme\KEN!\KENDNS.EXE
C:\Programme\KEN!\KENSOCKS.EXE
C:\Programme\KEN!\KENMAP.EXE
C:\Programme\KEN!\KENFTPGW.EXE
C:\Programme\KEN!\KENWATCH.EXE
C:\Programme\KEN!\KENCRON.EXE
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\Programme\KEN!\kentbsrv.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Symantec\pcAnywhere\awhost32.exe
C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\SlimBrowser\sbrowser.exe
C:\Dokumente und Einstellungen\chef 1\Eigene Dateien\Virus-Zeug\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://192.168.0.12:3128/ken2000.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer =

http=192.168.0.12:3128;https=192.168.0.12:3128;ftp=192.168.0.12:3128;socks=192.168.0.12:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1DA80CB7-7DA0-4700-8C2B-13FA71295199} - C:\WINDOWS\System32\mcg.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [KEN Taskbar Service] "C:\Programme\KEN!\kentbsrv.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - Startup: Neue Host-Modusdefinition.lnk = C:\Dokumente und Einstellungen\All

Users\Anwendungsdaten\Symantec\pcAnywhere\Neue Host-Modusdefinition.BHF
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.0.12:3128/ken2000.html
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -

http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -

http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) -

http://www.alloticket.com/MicroPaiem...WebInstall.dll
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) -

http://81.1.41.137/activex/AxisCamControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = FIRMA.local
O17 - HKLM\Software\..\Telephony: DomainName = FIRMA.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{C74D3FEA-54CF-4CF6-BD7A-D8FC0402A920}: NameServer =

192.168.0.1,127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBDD636B-9621-438E-8BBA-A0457005001F}: NameServer =

192.168.114.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = FIRMA.local
O18 - Filter: text/html - {7530751D-70A2-4276-81A5-D8743BBB9EB6} - C:\WINDOWS\System32\mcg.dll
O18 - Filter: text/plain - {7530751D-70A2-4276-81A5-D8743BBB9EB6} - C:\WINDOWS\System32\mcg.dll

Gelöscht habe ich:
02 BHO no name no file etc
018 ..... mcg.dll
018 ..... mcg.dll

Hoffe das hilft euch weiter

P.S: Hatte dem kind ausversehen schon nen falschen namen gegeben, der macht mich echt fertig

Kleines Edit

Danke schonmal sd, den escan werde ich gleich morgen früh dann testen, das besorgen des logs und des threds hat mich jetzt endgültig gebrochen, unglaublich wie langsam eine remote sitzung sein kann
Ich weiß selber nicht wie er sich den eingefangen hat, ich persönlich habe noch nie probleme gehabt.

Hallo acesulfam und willkommen an Board,

lade Dir bitte entsprechend der entsprechend der Anweisung hier eScan runter, update ihn online und lass Deine Festplatte im abgesicherten Modus - laut Anweisung - scannen. eScan entfernt, was nicht zum System Deines Computers gehört.

Hier findest Du weitere Information, die Dir helfen kann, Dein System clean zu halten, z.B. Hitntergrundinformationen, Vorbeugungsmaßnahmen, Tools zur Vorbeugung vor erneutem Befall, wenn Du nicht auf den IE verzichten magst oder kannst, sowie Tipps zu weiteren Browsern, die sicherer und weniger anfällig sind als der IE.

Fang am besten mit eScan an - entsprechend der Anweisung.

Lieben Gruss
SD

Hallo,

so bin deinen anweisungen gefolgt.
Der escan hat folgendes ergeben:
File C:\WINDOWS\System32\lbaphp.dll infected by "Trojan.Win32.StartPage.is" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\nethv32.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.d. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\WEBINSTALL.0LL infected by "TrojanDownloader.Win32.WebInstall" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32\nethv32.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.d. No Action Taken.

Der Hijack log sieht so aus (nicht abgesicherter modus):
Logfile of HijackThis v1.98.2
Scan saved at 09:18:16, on 10.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\KEN!\KENSERV.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\KEN!\KENCAPI.EXE
C:\Programme\KEN!\KENINET.EXE
C:\Programme\KEN!\KENPROXY.EXE
C:\Programme\KEN!\KENMAIL.EXE
C:\Programme\KEN!\KENDNS.EXE
C:\Programme\KEN!\KENSOCKS.EXE
C:\Programme\KEN!\KENMAP.EXE
C:\Programme\KEN!\KENFTPGW.EXE
C:\Programme\KEN!\KENWATCH.EXE
C:\Programme\KEN!\KENCRON.EXE
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\Programme\KEN!\kentbsrv.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Symantec\pcAnywhere\awhost32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\chef 1\Eigene Dateien\Virus-Zeug\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.0.12:3128/ken2000.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.0.12:3128;https=192.168.0.12:3128;ftp=192.168.0.12:3128;socks=192.168.0.12:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [KEN Taskbar Service] "C:\Programme\KEN!\kentbsrv.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Startup: Neue Host-Modusdefinition.lnk = C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\pcAnywhere\Neue Host-Modusdefinition.BHF
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.0.12:3128/ken2000.html
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://www.alloticket.com/MicroPaiem...WebInstall.dll
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://81.1.41.137/activex/AxisCamControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = FIRMA.local
O17 - HKLM\Software\..\Telephony: DomainName = FIRMA.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{C74D3FEA-54CF-4CF6-BD7A-D8FC0402A920}: NameServer = 192.168.0.1,127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBDD636B-9621-438E-8BBA-A0457005001F}: NameServer = 192.168.114.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = FIRMA.local

Eine virus-meldung kam bislang nicht, bin aber auch erst wieder 5 min drin im netz
Denkt ihr dieser eintrag :TrojanDownloader.Win32.WebInstall könnte der wahre übeltäter gewesen sein? der wurde von den anderen programmen bislang nie angezeigt.

Nebenbei, kennt einer die beiden anderen? finde den namen ja nicht unbedingt vertrauenserweckend, auch wenn escan ihn nicht löschen wollte.
Bei einem sscan auf meinem eigenen rechner, hat er 2 programme die ich eigentlich als sicher kenne direkt umbenannt.

mfg
aces

und danke bis dahin

Hallo acesulfam,

diese Einträge bitte fixen mit HijackThis:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.0.12:3128/ken2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - Startup: Neue Host-Modusdefinition.lnk = C:\Dokumente und Einstellungen\All Users\Anwendungsdat
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://www.alloticket.com/Mic
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://81.1.41.137/activex/Axis

... was die anderen Prozesse anbelangt, übergebe ich Dich an die Kollegen hier an Board.

Lieben Gruss
SD

Aha,
werde ich dann tuen.
Soll ich im abgesicherten modus oder im normalen fixen?

Bzw. wollte ich mich sowieso gerade melden, da mein vater anscheinend dreckige finger hat. Sobald der den pc anfasst und ins internet geht springt der f-secure an.

Diesmal hat er den virus in lokale einstellungen/.../temp internet files/.../[m1].bin (den genauen pfad hat mein dad leider weggedrückt und im moment findet f-secure das ding nicht mehr

mfg
aces

Lösche zunächst über die Internetoptionen alle deine temporären files (währenddessen und danach nicht wieder online gehen bzw. den IE starten!), dann starte in den abgesicherten Modus, lass noch einmal E-Scan drüberlaufen und fixe dann die aufgeführten Sachen ebenfalls im abgesicherten Modus.

da hilft wohl nur noch umerziehung .

am besten installierst du deinem vater als erstes einen vernünftigen browser (z.b. mozilla), solches zeug fühlt sich nämlich nur im IE wohl .

du solltest nach der entfernung (--> MountainKing) nochmal ein highjackthis-log erstellen und hier posten.


gruß,
Cassandra

Aha,
werde mich dann mal genau an mountainking's anweisungen halten.

Ich alte vorwitznase konnte natürlich die finger nicht still halten und hab schonmal die von sd angegebenen pkte gefixed.

Danach lief unser avm ken leider nicht mehr. Es startete nicht und baute auch nach manuellem start keine verbindung auf.
Erst nach wiedereinspielen dieses keys: O4 - Startup: Neue Host-Modusdefinition.lnk = C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\pcAnywhere\Neue Host-Modusdefinition.BHF
lief es wieder.

Mache mich dann mal ans erneute fixen.

mfg und thx
aces

Edit;
SO, diesesmal habe ich mich genau an alle anweisungen gehalten.
Escan fand meinen freund wieder in system32, diesmal als landbd.dll.

Der nachfolgende hijack log sieht so aus:
Logfile of HijackThis v1.98.2
Scan saved at 12:20:53, on 10.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\chef 1\Eigene Dateien\Virus-Zeug\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [KEN Taskbar Service] "C:\Programme\KEN!\kentbsrv.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.0.12:3128/ken2000.html
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = FIRMA.local
O17 - HKLM\Software\..\Telephony: DomainName = FIRMA.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{C74D3FEA-54CF-4CF6-BD7A-D8FC0402A920}: NameServer = 192.168.0.1,127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBDD636B-9621-438E-8BBA-A0457005001F}: NameServer = 192.168.114.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = FIRMA.local

die einträge aus sd's post waren nicht mehr zu finden, was wohl daran liegt das ich sie schon gelöscht hatte .

So muß jetzt erstmal weg und getestet werden kann es auch im moment nicht, falls euch noch etwas auffällt -> sagt es mir plz
Sollte ab jetzt nichts mehr auftreten fühlt euch alle ge

mfg
aces

O4 - Startup: Neue Host-Modusdefinition.lnk = C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\pcAnywhere\Neue Host-Modusdefinition.BHF

solltest du dann natürlich auch beim nächsten Mal NICHT fixen.

der geht noch schnell:

warum das

wurde mir aber auch gar nicht mehr zum fixen angezeigt.
Immerhin läuft ken jetzt wieder sonst könnte ich euch ja nicht schreiben
Auch wenn ich mich frage warum ein pcanywhere eintrag den ken(ny) killt.

bis dann

aces

Da bin ich wieder und ich habe euch was mitgebracht.

Mein freund ist wieder da

So nun scheine ich leider wieder am anfang zu sein, habt ihr sonst noch vorschläge??
Wie sieht es mit diesem !findnfix! programm aus dem ganz oben verlinkten thread aus, gibts eine kombination mit der ich es ml probieren sollte?

mfg
aces

Das gleiche nochmal ...
Vielleicht solltest du auch mal Spybot www.safer-networking.de und Ad-aware www.lavasoft.de herunterladen und danach updaten und scannen.
Beide Programme sind Freeware!

Hallo acesulfam,

FINDnFIX findest Du hier: http://downloads.subratam.org/FINDnFIX.exe

Mit dieser exe 'installierst' Du FINDnFIX in dem Ordner C:\FINDnFIX.
Dort führe bitte die !LOG.BAT! aus. Dann läuft das Tool einige Zeit (können durchaus mehrere Minuten sein!). Zum Schluß erhältst Du im gleichen Verzeichnis eine Log-Datei mit dem Namen log.txt. Den Inhalt dieser Datei poste hier bitte einmal (das Log kann recht lang ausfallen, evtl. musst Du das auf zwei Antworten verteilen).

Im aktuellen HijackThis-Log sehe ich 'nur' diesen Eintrag, der gefixt werden sollte:

Zitat:

R3 - Default URLSearchHook is missing

hi,

ok dann werde ich das mal tuen, sollte ich vorher nochmal escan laufen lassen und deinen eintrag fixen oder zuerst findnfix?

bzw. habe diesen eintrag bei pestpatrol gefunden wie sollte ich das prog in die ganze prozedur einbinden?

mfg
aces

Moin,

Zitat:

Zitat von acesulfam

ok dann werde ich das mal tuen, sollte ich vorher nochmal escan laufen lassen und deinen eintrag fixen oder zuerst findnfix?

Es schadet jedenfalls nicht, wenn Du eScan noch einmal (nach Aktualisierung im abgesicherten Modus) laufen lässt. Und den genannten Eintrag kannst Du auf jeden Fall fixen.

Zitat:

Zitat von acesulfam

bzw. habe diesen eintrag bei pestpatrol gefunden wie sollte ich das prog in die ganze prozedur einbinden?

Poste bitte erst einmal das Log von findnfix. Dann sehen wir weiter...