ungewollte hilfe

welsch · 17.09.2004, 21:01

hallo zusammen,
kann sich das mal jemand anschauen??bekomme von dieser seite immer wieder ungefragt "hilfe"??!!
"http://searchmiracle.com/text/search.php"
Logfile of HijackThis v1.98.2
Scan saved at 21:54:37, on 17.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\CTSvcCDA.exe
C:\WINNT\system32\svchost.exe
C:\Programme\KODAK\KODAK EASYSHARE Software\bin\ptssvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Creative\News\NewsUpd.EXE
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\OpenOffice.org1.1.0\program\soffice.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\unzipped\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=29126
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINNT\EliteBar\EliteBar version 50.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA880F} - C:\WINNT\EliteBar\EliteBar version 50.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NewsUpd] C:\Programme\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [bwdyr] C:\WINNT\bwdyr.exe
O4 - HKLM\..\Run: [Sys29] C:\winnt\system32\winxah32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .EXE: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmeup.cc
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EA62FCF-E4A9-48E9-B950-D8B54D173229}: NameServer = 217.237.150.33 217.237.151.161
O21 - SSODL: System - {5E6CDACB-56CA-4717-86FC-E4EAB0687C3C} - C:\WINNT\system32\system32.dll

danke schon mal,

Thomas

17.09.2004, 21:07

Fixe dies:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=29126
O4 - HKLM\..\Run: [bwdyr] C:\WINNT\bwdyr.exe
O4 - HKLM\..\Run: [Sys29] C:\winnt\system32\winxah32.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmeup.cc
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O21 - SSODL: System - {5E6CDACB-56CA-4717-86FC-E4EAB0687C3C} - C:\WINNT\system32\system32.dll

Hast du Elitebar wollend installiert?

Anschließend lösche diese Dateien sofern vorhanden:
C:\WINNT\bwdyr.exe
C:\winnt\system32\winxah32.exe
C:\WINNT\system32\system32.dll

Warum verwendest du zum Schutz keinen anderen Browser?
www.firefox-browser.de ist schnell, sicher und kostenlos.

welsch · 17.09.2004, 21:26

hallo christian
also erstmal danke.
die elitebar war auch ungewollt da.
hab jetzt alles angegebene mal "gefixt" und mache mal nen neustart.mal sehen,wer sich noch meldet!
Gruß Thomas

17.09.2004, 21:34

Wenn Elitebar auch ungewollt da war, dann fixe auch dies:

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINNT\EliteBar\EliteBar version 50.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA880F} - C:\WINNT\EliteBar\EliteBar version 50.dll

Anschließend lösche den Ordner C:\WINNT\EliteBar.

Erstelle und poste danach mal ein neues HijackThis-Log.

welsch · 17.09.2004, 21:41

nun ja.....
meine "Hilfe " ist immer noch aktiv und nervt ganz gewaltig!!!!
Ordner "Elitebar" lässt sich nict löschen

welsch · 17.09.2004, 21:42

ach ja...
Logfile of HijackThis v1.98.2
Scan saved at 22:38:52, on 17.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\CTSvcCDA.exe
C:\WINNT\system32\svchost.exe
C:\Programme\KODAK\KODAK EASYSHARE Software\bin\ptssvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Creative\News\NewsUpd.EXE
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\OpenOffice.org1.1.0\program\soffice.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\unzipped\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://t-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NewsUpd] C:\Programme\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Sys29] C:\winnt\system32\winxah32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .EXE: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EA62FCF-E4A9-48E9-B950-D8B54D173229}: NameServer = 217.237.150.33 217.237.151.161

17.09.2004, 21:43

Dies wird wahrscheinlich daran liegen, dass wir den Ordner nicht gelöscht hatten.
Versuch mal im abgesicherten Modus den Ordner zu löschen.
Dann sollte es funktionieren.

Das Log schaut aber eigentlich recht gut aus.

Fixe noch dies:
O4 - HKLM\..\Run: [Sys29] C:\winnt\system32\winxah32.exe

Dann lösche die Datei C:\winnt\system32\winxah32.exe.

welsch · 17.09.2004, 21:47

haaaaalt und ganz langsam mit nem Anfänger!!!
welchen Ordner haben wir nicht gelöscht und wie lösche ich den dann im abgesicherten Modus??

17.09.2004, 21:49

C:\WINNT\EliteBar im abgesicherten Modus löschen.
In den abg. Modus kommst du, wenn du beim Booten/Start des PC's die
F8-Taste drückst.

welsch · 17.09.2004, 21:51

die datei C:\winnt\system32\winxah32.exe.lässt sich nicht löschen --- mal im abgesicherten Modus probieren???

17.09.2004, 22:01

Sende mir mal die Datei an partytime-germany.ice@web.de zu.
Anschließend lösche die Datei und den Ordner Elitebar im abgesicherten Modus.

Wenn dies geklappt hat, dann poste mal ein neues Log.

welsch · 20.09.2004, 10:03

hallo Christian,
hatte sie im abgesicherten Modus schon gelöscht,kann sie also leider nicht mehr schicken.

Gruß Thomas

17.09.2004, 21:43	#7
Christian Gast	ungewollte hilfe Dies wird wahrscheinlich daran liegen, dass wir den Ordner nicht gelöscht hatten. Versuch mal im abgesicherten Modus den Ordner zu löschen. Dann sollte es funktionieren. Das Log schaut aber eigentlich recht gut aus. Fixe noch dies: O4 - HKLM\..\Run: [Sys29] C:\winnt\system32\winxah32.exe Dann lösche die Datei C:\winnt\system32\winxah32.exe.

17.09.2004, 21:49	#9
Christian Gast	ungewollte hilfe C:\WINNT\EliteBar im abgesicherten Modus löschen. In den abg. Modus kommst du, wenn du beim Booten/Start des PC's die F8-Taste drückst.

17.09.2004, 22:01	#11
Christian Gast	ungewollte hilfe Sende mir mal die Datei an partytime-germany.ice@web.de zu. Anschließend lösche die Datei und den Ordner Elitebar im abgesicherten Modus. Wenn dies geklappt hat, dann poste mal ein neues Log.

ungewollte hilfe

Plagegeister aller Art und deren Bekämpfung: ungewollte hilfe