Hallo alle zusammen!

Ich hatte gestern einen kleinen Hijacker-zwischenfall, den ich jedoch mit Hilfe von e-scan und HijackThis lösen konnte. Das ganze war allerdings nicht einfach, da mein lieber Hijacker es mir unmöglich machte HijackThis zu starten, weil er ganz einfach so tat, als wäre die datei nicht vorhanden. (war sie aber ganz sicher, weil ich sie vorher auf einem anderen rechner auf diskette gespeichert habe und da war sie auch noch sichtbar). habe das ganze dann über "start" "ausführen" gelöst, über das sich HijackThis dann starten ließ. habe alles gefixt und mittlerweile läuft auch alles wieder fast problemlos...allerdings sind noch immer einige dateien "unsichtbar" unter anderem nach wie vor hijackthis.exe (auch wenn ich die datei auf einem anderen pc umbenenne und diese umbenannte datei von diskette aufrufen möchte wird sie nicht sichtbar) und leider Gottes hats auch msconfig.exe erwisscht, das ich zum installieren des sp2 bräuchte. das die datei da ist weiß ich weil ich sie ebenfalls über "start" "ausführen" starten kann, jedoch findet sie weder der sp 2 installer noch die windows-dateisuche.

ich schick euch hier mal mein hijackthis-logfile (das ich übrigens ebenfalls nicht unter hijackthis.log speichern kann, weil es dann spurlos verschwindet) und hoffe ihr habt vielleicht ein paar tips für mich , da ich langsam wirklich am verzweifeln!! bin!

Danke im Voraus
Martin

Logfile of HijackThis v1.98.2
Scan saved at 20:26:36, on 16.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
C:\PROGRA~1\MICROS~4\SIDEWI~1\Common\SWTrayV4.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
E:\xpsp2.exe
c:\f179e0718ca6caf8acf2\i386\update\update.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
a:\test.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.derstandard.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
F2 - REG:system.ini: Shell=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\clonecd\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~4\SIDEWI~1\Common\SWTrayV4.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095252480937
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

Hallo Briareos,

- besuche www.windowsupdate.com und lade Dir das aktuelle Service Pack runter.

- prüfe diese Dateien mit dem Online-Scan von Kaspersky:

C:\PROGRA~1\MICROS~4\SIDEWI~1\Common\SWTrayV4.exe
E:\xpsp2.exe

Ergebnis?

- fixe im abgesicherten Modus mit Hijack This - [Einträge, die ich mit (*) kennzeichne, solltest Du fixen, wenn Du sie nicht brauchst.]

(*) R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://
(*) R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://
(*) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
(*) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
(*) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://
(*) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.derstandard.at/
(*) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
(*) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
(*) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://
(*) R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
(*) F2 - REG:system.ini: Shell=

(*) O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

(*) O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

(*) O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab

- was war das Ergebnis des eScan? Wurden Viren gefunden bzw. Dateien umbenannt? Wie heissen diese Viren, so es welche auf Deinem Rechner gab?

- ein Browserwechsel macht das Surfen im Netz sicherer. Siehe dazu unter meiner Signatur "TI Hijacker-Rubrik" ---> Vorbeugung u.a.m.

SD