Hilfe!! Bitte dringend um Logfileprüfung!

skieha · 04.09.2004, 21:15

Hallo,

habe mir eine about blank startseite eingefangen und kann diese nicht mehr weg bekommen. habe mit allen programmen (Ad-Aware, Spybot, CWShredder,
sphjfix) mein system im abgesicherten modus gesäubert, hatte aber keinen erfolg! sphjfix lief und lief und lief aber ich kam nicht bis zur meldung "Soll der Computer jetzt neu gestartet werden?"

Werde fast verrückt, mach schon 3 Tage an diesem Problem rum!
Habe dann mit HijackThis mein logfile erstellt und bei http://www.hijackthis.de checken lassen.

Da sind einige Files zum Löschen angezeigt worden. Da ich aber pcmäßig nicht so fit bin, will ich nicht so einfach wahllos files löschen. Deshalb benötige ich dringend einen Expertenrat was ich löschen soll? Danke für Eure Hilfe!

Hier mein logfile:

Logfile of HijackThis v1.98.2
Scan saved at 22:21:48, on 04.09.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINNT\_default.pif:ebhzt
C:\WINNT\Explorer.EXE
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Program Files\Winad Client\Winad.exe
C:\WINNT\System32\mspmspsv.exe
C:\PROGRA~1\INTERN~1\iexplore.exe
C:\Programme\UPS\WorldShip\WorldShip\Wshipservicecom.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\system32\ipgd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Eugen Dickert\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\znupp.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\znupp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\znupp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\znupp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\znupp.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\znupp.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\znupp.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5B877908-5708-5868-D034-EF00AC055C1E} - C:\WINNT\system32\ieom32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\EUGEND~1\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [ipgd32.exe] C:\WINNT\system32\ipgd32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a29296baabe1d6
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEF451A9-43E1-4ADC-B4A6-ACED39FE8F1C}: NameServer = 217.237.150.33 194.25.2.129
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)

Shadowdance · 04.09.2004, 21:23

Hallo skieha,

poste bitte den Vorspann auch noch dazu, also die ersten 4 Zeilen, das Logfile beginnt hiermit:

Logfile of HijackThis v1.98.2
Scan saved ...
Platform: ...
MSIE: ...

Running processes: ...

SD

Cidre · 04.09.2004, 21:27

Hallo,

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Beende diese Prozesse:
C:\WINNT\_default.pif:ebhzt
C:\Program Files\Winad Client\Winad.exe
C:\WINNT\system32\ipgd32.exe

Fixe diese Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\znupp.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\znupp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\znupp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\znupp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\znupp.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\znupp.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\znupp.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {5B877908-5708-5868-D034-EF00AC055C1E} - C:\WINNT\system32\ieom32.dll
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [ipgd32.exe] C:\WINNT\system32\ipgd32.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...8a29296baabe1d6
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)

Wechsle in den abgesicherten Modus und lösche diese Dateien:
C:\WINNT\system32\ipgd32.exe
C:\WINNT\znupp.dll
Ordner C:\Program Files\Winad Client
C:\WINNT\system32\ieom32.dll

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.)
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- neues Log-File von HijackThis und die Virus Log Information von eScan posten

Zur weiteren Vorbeugung gegen Browser Hijacker:
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/

skieha · 04.09.2004, 23:08

Hallo Sidre,

dank Dir vielmals für Deine schnelle Hilfe. Echt super!
Bin dabei Alles nach Anweisung zu machen.
Würde noch gerne wissen, wie ich die Prozesse:

C:\WINNT\_default.pif:ebhzt
C:\Program Files\Winad Client\Winad.exe
C:\WINNT\system32\ipgd32.exe
beenden kann?

Danke im Voraus!

Gruß
Skieha

Cidre · 04.09.2004, 23:17

Zitat:

Würde noch gerne wissen, wie ich die Prozesse:
C:\WINNT\_default.pif:ebhzt
C:\Program Files\Winad Client\Winad.exe
C:\WINNT\system32\ipgd32.exe
beenden kann?

Mit strg+alt+ entf gleichzeitig drücken öffnet sich der TaskManager. Danach den Prozess markieren und Prozess beenden klicken.

skieha · 05.09.2004, 19:49

Hallo Cidre,

konnte die Prozesse:

C:\Program Files\Winad Client\Winad.exe
und
C:\WINNT\system32\ipgd32.exe
beenden.

Aber nicht den Prozess:

C:\WINNT\_default.pif:ebhzt

Bekomme die Meldung: "Zugriff verweigert".
Der Prozess ist im Taskmanager auch nur unter _default.pif gelistet.

Was kann ich jetzt tun?

Gruß
Skieha

Cidre · 05.09.2004, 20:13

Zitat:

C:\WINNT\_default.pif:ebhzt
Bekomme die Meldung: "Zugriff verweigert".
Der Prozess ist im Taskmanager auch nur unter _default.pif gelistet.
Was kann ich jetzt tun?

Lass diesen Prozess mal außen vor, siehe http://www.google.de/search?hl=de&ie...nG=Suche&meta=

Poste nochmal ein neues Log-File.

skieha · 05.09.2004, 20:25

Hallo Cidre,

nochmal danke für Deine Hilfe!
Die Infos unter: http://www.google.de/search?hl=de&i...tnG=Suche&meta=
konnten mir nicht weiterhelfen. Bin wahrscheinlich zu pcdoof!

Hier mein neues eben erstelltes logfile:

Logfile of HijackThis v1.98.2
Scan saved at 21:33:12, on 05.09.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINNT\_default.pif:ebhzt
C:\WINNT\Explorer.EXE
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\System32\mspmspsv.exe
C:\Programme\UPS\WorldShip\WorldShip\Wshipservicecom.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\ipgd32.exe
C:\Dokumente und Einstellungen\Eugen Dickert\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\wiltq.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\wiltq.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\wiltq.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\wiltq.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\wiltq.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\wiltq.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\wiltq.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {BEFF86F7-0F01-F8C8-2D60-DE9E0AC52F70} - C:\WINNT\sdkqf32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\EUGEND~1\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [ipgd32.exe] C:\WINNT\system32\ipgd32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a29296baabe1d6
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEF451A9-43E1-4ADC-B4A6-ACED39FE8F1C}: NameServer = 217.237.150.33 194.25.2.129
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)

Cidre · 05.09.2004, 20:59

Das Log File sieht fast genauso aus wie vorher.

Wechsle in den abgesicherten Modus und arbeite mein Post 3# nochmal ab:

Diesmal auch diese Dateien fixen und löschen:
C:\WINNT\_default.pif:ebhzt
O2 - BHO: (no name) - {BEFF86F7-0F01-F8C8-2D60-DE9E0AC52F70} - C:\WINNT\sdkqf32.dll

skieha · 05.09.2004, 21:33

Hallo Cidre,

weis jetzt echt nicht mehr weiter! Finde so einige Einträge aus Deinem post 3 nicht mehr. Habe dann die Einträge gefixt, die noch da waren und folgendes logfile erstellt. Kannst Du mir schrittweise noch erklären,, was ich genau tun soll?

Danke und Gruß
Skieha

Logfile of HijackThis v1.98.2
Scan saved at 22:40:25, on 05.09.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINNT\_default.pif:ebhzt
C:\WINNT\Explorer.EXE
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\System32\mspmspsv.exe
C:\Programme\UPS\WorldShip\WorldShip\Wshipservicecom.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\system32\ipgd32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Eugen Dickert\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\wiltq.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\wiltq.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\wiltq.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\wiltq.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\wiltq.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\wiltq.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\wiltq.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {BEFF86F7-0F01-F8C8-2D60-DE9E0AC52F70} - C:\WINNT\sdkqf32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\EUGEND~1\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [ipgd32.exe] C:\WINNT\system32\ipgd32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEF451A9-43E1-4ADC-B4A6-ACED39FE8F1C}: NameServer = 217.237.150.33 194.25.2.129

Cidre · 05.09.2004, 21:37

Mit dem Post 3# meinte ich das hier:

Zitat:

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Beende diese Prozesse:
C:\WINNT\_default.pif:ebhzt
C:\Program Files\Winad Client\Winad.exe
C:\WINNT\system32\ipgd32.exe

Fixe diese Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\znupp.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\znupp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\znupp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\znupp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\znupp.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\znupp.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\znupp.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {5B877908-5708-5868-D034-EF00AC055C1E} - C:\WINNT\system32\ieom32.dll
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [ipgd32.exe] C:\WINNT\system32\ipgd32.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...8a29296baabe1d6
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)

Wechsle in den abgesicherten Modus und lösche diese Dateien:
C:\WINNT\system32\ipgd32.exe
C:\WINNT\znupp.dll
Ordner C:\Program Files\Winad Client
C:\WINNT\system32\ieom32.dll

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.)
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.c...er/default.aspx
- neues Log-File von HijackThis und die Virus Log Information von eScan posten

Zur weiteren Vorbeugung gegen Browser Hijacker:
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/

und zusätzlich

Zitat:

Wechsle in den abgesicherten Modus und arbeite mein Post 3# nochmal ab:

Diesmal auch diese Dateien fixen und löschen:
C:\WINNT\_default.pif:ebhzt
O2 - BHO: (no name) - {BEFF86F7-0F01-F8C8-2D60-DE9E0AC52F70} - C:\WINNT\sdkqf32.dll

skieha · 06.09.2004, 16:22

Hallo Cidre,

habe das was mir möglich war nach Deinen Anweisungen gemacht, habe aber die about blank startseit und die folgenden pop up Fenster immer noch.
Einige Einträge die gefixt hatte, sind nach dem Neustart wieder da gewesen und der Prozess: C:\WINNT\_default.pif:ebhzt läßt sich nicht stoppen.
Escan hatte außer 2 total number of errors nichts gefunden.
Keine Ahnung wie ich jetzt weiterkomme?

Gruß
Skieha

Logfile of HijackThis v1.98.2
Scan saved at 17:21:19, on 06.09.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINNT\_default.pif:ebhzt
C:\WINNT\Explorer.EXE
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\System32\mspmspsv.exe
C:\Programme\UPS\WorldShip\WorldShip\Wshipservicecom.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\system32\appno.exe
C:\Dokumente und Einstellungen\Eugen Dickert\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\fdslg.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\fdslg.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\fdslg.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\fdslg.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\fdslg.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\fdslg.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\fdslg.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {58BF68D0-7874-21A0-E805-21D347C3EC3A} - C:\WINNT\iekh32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\EUGEND~1\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [crnj32.exe] C:\WINNT\system32\crnj32.exe
O4 - HKLM\..\Run: [appno.exe] C:\WINNT\system32\appno.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

MountainKing · 06.09.2004, 16:36

Ist das:

C:\Programme\UPS\WorldShip\WorldShip\Wshipservicec om.exe

von dir installier und gewollt? Wenn ja, ignoriere es in der Aufzähleung.

Ansonsten versuche es mal so, deaktivieren die Systemwiederherstellung:

http://www.systemwiederherstellung-d...indows-xp.html

Beende die Prozesse

C:\WINNT\_default.pif:ebhzt
C:\Programme\UPS\WorldShip\WorldShip\Wshipservicec om.exe
C:\WINNT\system32\appno.exe
C:\WINNT\system32\crnj32.exe

Fixe:

C:\WINNT\_default.pif:ebhzt
C:\Programme\UPS\WorldShip\WorldShip\Wshipservicec om.exe
C:\WINNT\system32\appno.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\fdslg.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\fdslg.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\fdslg.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\fdslg.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\fdslg.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\fdslg.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\fdslg.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {58BF68D0-7874-21A0-E805-21D347C3EC3A} - C:\WINNT\iekh32.dll
O4 - HKLM\..\Run: [crnj32.exe] C:\WINNT\system32\crnj32.exe
O4 - HKLM\..\Run: [appno.exe] C:\WINNT\system32\appno.exe

Boote in den abgesicherten Modus und lösche die in den Einträgen vorkommenden exe und dll-Dateien, boote normale, aktiviere die Systemwiederherstellung und erstell ein neues Logfile.

Cidre · 06.09.2004, 17:05

@ skieha

Zitat:

C:\WINNT\_default.pif:ebhzt läßt sich nicht stoppen.

Lade dir killprocess runter und beende damit den Prozess:
http://www.chip.de/downloads/c_downl...232&tid2=17978

skieha · 06.09.2004, 18:49

Zitat:

Zitat von Cidre

@ skieha

Lade dir killprocess runter und beende damit den Prozess:
http://www.chip.de/downloads/c_downl...232&tid2=17978

Hallo Cidre,

geh Dir bestimmt schon auf den Geist, sorry!
Habe das Programm runtergeladen und konnte den Prozess C:\WINNT\_default.pif:ebhzt stoppen! Nachdem ich aber wieder online gegangen bin, um Dir das hier zu posten, startet anscheinend der Prozess von selbst wieder.

Welche Prozesse und Einträge (siehe Logfile) soll ich denn jetzt definitiv stoppen und löschen?

Fange dann nochmal von vorne an und verfahre laut Deinem post 3.

Gruß
Skieha

Logfile of HijackThis v1.98.2
Scan saved at 19:50:57, on 06.09.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\System32\mspmspsv.exe
C:\Programme\UPS\WorldShip\WorldShip\Wshipservicecom.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\system32\atlzk32.exe
C:\WINNT\_default.pif:ebhzt
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Eugen Dickert\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\fdslg.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\fdslg.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\fdslg.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\fdslg.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\fdslg.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\fdslg.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\fdslg.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {58BF68D0-7874-21A0-E805-21D347C3EC3A} - C:\WINNT\iekh32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\EUGEND~1\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [crnj32.exe] C:\WINNT\system32\crnj32.exe
O4 - HKLM\..\Run: [appno.exe] C:\WINNT\system32\appno.exe
O4 - HKLM\..\Run: [atlzk32.exe] C:\WINNT\system32\atlzk32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BEF451A9-43E1-4ADC-B4A6-ACED39FE8F1C}: NameServer = 217.237.150.33 194.25.2.129

Hilfe!! Bitte dringend um Logfileprüfung!

Log-Analyse und Auswertung: Hilfe!! Bitte dringend um Logfileprüfung!