da ich abstuerze / reboots beim laptop habe, poste ich mal ein log.
vielleicht sieht jemand dort etwas, oder ist alles normal ?

muchas gracias kollegas

Logfile of HijackThis v1.98.2
Scan saved at 14:11:13, on 17.08.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.an-online.de/sixcms/list...._alles_anaz&sv[article_id]=140783,140764,140779,147267,140743,140805,140852,140952,140951,140953,148180,140957,201000,140780,140727,140778,140794,140806,237612,140796,140793,14 0795,140799,201006,140797,140809,140758,140804,140803,140800,140812,140775,140759,140950,140816,152115,140817,140813,140773,140801,140761,140949,24068 7,240688,240692,240699,240697,240702,240703,240704,240707,240705,240706,240708,240690,240689,240694,240691,268535,304584&sv[connect]=1&sv[an_seite1]=on&sv[online_date]=>-0000-00-02&sv[mixtopicid]=seite1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spyware\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\System32\ESB.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [Audio] C:\PNP\AUDIO\SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: UnPop - {99A073F5-98DD-4346-B97A-4C1813D4BF46} - C:\Programme\UnPop\UnPop.dll
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1092258184381

Hallo Zappelphilipp,

ein bißchen groß Deine Schrift.

Gib Dein logfile in die automatische Auswertung und lies die Auswertung durch. Scanne Deinen Laptop mit eScan laut der Anweisung in diesem Thread: http://www.trojaner-board.de/showthread.php?t=6083
... weitere Information ist meiner Signatur unter TI Hijacker-Rubrik zu entnehmen, beispielsweise ein Browserwechsel.

Viel Erfolg!
SD

hallo Shadowdance !

also ich habe mir die automatische auswertung angesehen, und nur 2-3 unnoetige sachen rausgenommen.
war aber nichts boeses dabei.
die escan(-nung) laeuft gerade ueber meinen lap, habe eben schon mal eine durchgefuehrt, aber mache jetzt noch mal einen lauf, nachdem ich die kleinigkeiten rausgenommen habe..
worein soll ich dann die auswertung von escan geben ?

weisst du, was mir allersdings komisch vorkommt ist, dass ich schon seit ein paar wochen firefox verwende, und der gar net hier auftaucht, sondern immer noch der IE ?!?
aber ich will den IE net ganz kicken, da ich ihn evtl noch brauche (z.b. live timing bei der Formel 1, denn da geht der firefox net. das noetige plugin bekomme ich net installiert).
sonst waere er schon lange runter.
und noch ne frage, damit ich outlook auch meiden kann:
weisst du ein gescheites, kleines mailprogramm ?
evtl mit adressbuchuebernahme ?

grosses thx !
Zappel

Hallo Zappelphilipp,

bist Du mit dieser Antwort auf einem normalen Computer? Denn der eScan muss offline und im abgesicherten Modus durchgeführt werden. Du sollst auch nicht das Ergebnis des eScan posten, sondern ein neues logfile von HijackThis

Eine Auswahl guter Mailprogramme findest Du in meiner Signatur unter : PC-Sicherheit.

SD

@ Shadowdance :

yes Sir - ich habe beides hier vor mir : PC und lap, welches immer noch im abgesicherten modus laeuft.
habe doch in ein paar wochen trojanerboard schon einiges gelernt

okay, werde gleich noch mal ein log posten, nach eScan ...

zwischenzeitig sehe ich mich mal nach nem gescheiten mailprog um ...

THX
Zappel

p.s.1: im abgesicherten modus lauft mein Lap durch, also ohne absturz ...
p.s.2: der "party-anstoss-smilie" funzt net, macht dies daraus

soeben fertig geworden, sieht doch gut aus, oder ???

Logfile of HijackThis v1.98.2
Scan saved at 17:15:44, on 17.08.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.an-online.de/sixcms/list...._alles_anaz&sv[article_id]=140783,140764,140779,147267,140743,140805,140852,140952,140951,140953,148180,140957,201000,140780,140727,140778,140794,140806,237612,140796,140793,14 0795,140799,201006,140797,140809,140758,140804,140803,140800,140812,140775,140759,140950,140816,152115,140817,140813,140773,140801,140761,140949,24068 7,240688,240692,240699,240697,240702,240703,240704,240707,240705,240706,240708,240690,240689,240694,240691,268535,304584&sv[connect]=1&sv[an_seite1]=on&sv[online_date]=>-0000-00-02&sv[mixtopicid]=seite1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spyware\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\System32\ESB.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
O4 - HKLM\..\Run: [Audio] C:\PNP\AUDIO\SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1092258184381


besten dank fuer eure hilfe

Hallo Zappelphilipp,

wozu brauchst Du diesen Eintrag:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.an-online.de/sixcms/list...r_alles_anaz&sv[article_id]=140783,140764,140779,147267,140743,140805,140852, 140952,140951,140953,148180,140957,201000,140780,1 40727,140778,140794,140806,237612,140796,140793,14 0795,140799,201006,140797,140809,140758,140804,140 803,140800,140812,140775,140759,140950,140816,1521 15,140817,140813,140773,140801,140761,140949,24068 7,240688,240692,240699,240697,240702,240703,240704 ,240707,240705,240706,240708,240690,240689,240694, 240691,268535,304584&sv[connect]=1&sv[an_seite1]=on&sv[online_date]=>-0000-00-02&sv[mixtopicid]=seite1

???

bitte fixen. Den Rest sollten meine Kollegen hier an Board übernehmen ... denn ich bin offline, ab sofort und auch - vor heute nacht nicht mehr - per PM erreichbar

SD

dieser eintrag sieht verdammt verwirrend aus, es ist meine startseite der aachener zeitung, die ich morgens lese ...

okay, ich werde trotz allem mal fixen, oder jedenfalls den eintrag aendern !

auf firefox steht er so eingetragen http://www.an-online.de/

hmm. komisch ...

ich FIXE ihn ...

Dies noch fixen, da es Spyware ist:
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\System32\ESB.exe

Sofern die Datei C:\WINDOWS\System32\ESB.exe vorhanden ist, löschen.

Als Mailprogramm kann ich Thunderbird empfehlen:
http://thunderbird-mail.de

Falls du Fragen zu dem Mailprogramm hast und auf der Website nichts findest -> Es gibt ein sehr gutes Forum: http://www.thunderbird-mail.de/forum/index.php

Zitat:

Zitat von *Christian*

Dies noch fixen, da es Spyware ist:
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\System32\ESB.exe

Sofern die Datei C:\WINDOWS\System32\ESB.exe vorhanden ist, löschen.

ESB ist "Extrabutton", also vier knoepfe, wo ich befehle einegeben kann, um programme schnell zu starten, eg firefox und outlook ...
meinst du, ich sollte trotzdem fixen ?

Zitat:

Als Mailprogramm kann ich Thunderbird empfehlen:
http://thunderbird-mail.de

Falls du Fragen zu dem Mailprogramm hast und auf der Website nichts findest -> Es gibt ein sehr gutes Forum: http://www.thunderbird-mail.de/forum/index.php

ich habe es gestern runter geladen, und noch net wirklich alle einstellungen hinbekommen, aber danke, ich werde dann mal dort ins forum schauen !!!

thank you
Zappel

Zitat:

Zitat von Zappelphilipp

ESB ist "Extrabutton", also vier knoefe, wo ich befehle einegeben kann, um programme schnell zu starten, eg firefox und outlook ...
meinst du, ich sollte trotzdem fixen ?

Nein, wenn du es bewusst installiert hast, dann nicht. Es ist ok.

Zitat:

ich habe es gestern runter geladen, und noch net wirklich alle einstellungen hinbekommen, aber danke, ich werde dann mal dort ins forum schauen !!!

...oder hier im "Windows"-Forum nachfragen...

na ja ...
ich habe dieses ESB net extra installiert, war bereits drauf, als ich den lap vor ein paar monaten gekauft habe ...
wenn ich es fixe, funktionieren die "extra-buttons" wohl net mehr, oder ?
ich habe icq auch gefixt, aber es geht trotzdem noch ...

ja und zum firebird: okay, oder hier im windows forum, danke fuer den tip
die einstellungen sind schon irgendwie schwieriger zu finden, als im outlook.
koennte allerdings sein, dass ich auch nur so gewoehnt bin an dieses ms-prog