Hallo zusammen,

das hacking auf meinem PC wird immer schlimmer, ich habe schon den akteullen Hijack This laufen lassen, aber es bringt mich nicht weiter. Bei mir laufen z.B. keine Windows Updates mehr, auf der seite von microsoft kann ich nichts downloaden, ebenso ist kein update meiner firewall mehr möglich (Pc-cillin). Meine wiederherstellungspunkte sind nach dem nächsten hochfahren wieder weg. Da kann ich über die "kleinigkeiten" wie startseite auf dem IC schon fast großzügig hinwegsehen !
Ich bin am verzweifeln und hoffe auf Euch, dass mir jemand weiterhilft !!!

Danke schon mal im voraus !

Hi Wolfers,
stell´ doch als Erstes mal dein Logfile hier ins Board, damit man sieht, was überhaupt los ist.
Grüße cacaoa

Hi,

ist ja wunderbar, dass sie schon jemand so schnell meldet. Aber sorry, ich bin kein profi, welches logfile meinst Du, vom hijack this ?

Habe eine logfile mit hijack this erstellt :

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\Internet Security\tmproxy.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\system32\ipag.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Programme\Trend Micro\Internet Security\pccguide.exe
C:\Programme\0190 Warner\Warn0190.exe
C:\WINDOWS\msgsocm.log:tcaaa
C:\Programme\Panicware\Pop-Up Stopper Free Edition\PSFree.exe
C:\WINDOWS\twain_32\SlimU2\HotKey.Exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Wolfgang\Eigene Dateien\Downloads\Privat\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jrwjf.dll/sp.html#29620
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jrwjf.dll/sp.html#29620
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jrwjf.dll/sp.html#29620
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jrwjf.dll/sp.html#29620
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jrwjf.dll/sp.html#29620
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jrwjf.dll/sp.html#29620
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {39323676-3397-76E8-CE91-956A4E9F991B} - C:\WINDOWS\sdkdv32.dll
O4 - HKLM\..\Run: [ipag.exe] C:\WINDOWS\system32\ipag.exe
O4 - Startup: 0190 Warner 3.50 (2).lnk = C:\Programme\0190 Warner\Warn0190.exe
O4 - Startup: Pop-Up Stopper Free Edition (2).lnk = C:\Programme\Panicware\Pop-Up Stopper Free Edition\PSFree.exe
O4 - Startup: Slim USB2 Scanner Utility (2).lnk = C:\WINDOWS\twain_32\SlimU2\HotKey.Exe
O4 - Global Startup: Echtzeit-Agent (2).lnk = ?
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\chp.dll

Ich hoffe, es hilft !

Wolfers

Hi wolfers,
folgendes solltest Du im abgesicherten Modus fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
res://C:\WINDOWS\jrwjf.dll/sp.html#29620

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
res://C:\WINDOWS\jrwjf.dll/sp.html#29620

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
res://C:\WINDOWS\jrwjf.dll/sp.html#29620

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
res://C:\WINDOWS\jrwjf.dll/sp.html#29620

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
res://C:\WINDOWS\jrwjf.dll/sp.html#29620

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
res://C:\WINDOWS\jrwjf.dll/sp.html#29620

R3 - Default URLSearchHook is missing

O18 - Filter hijack: application/octet-stream -
{6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\chp.dll


Offenbar benutzt Du keinen Virenscanner und fängst Dir dauernd was ein.

Mach anschl. mal einen Scan mit eScan im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

Bitte beachte: Hier der neue eScan-thread:http://www.trojaner-board.de/showthread.php?t=8131


Grüße cacatoa

Hi Cacatoa !
Sorry, wenn ich nachfragen muss, aber ich bin totaler laie !
1. Was bedeutet im abgesicherten modus fixen ? Ich habe diese Punkte alle schon desöfteren gefixt, aber sie kommen dann immer wieder.
2. Ich habe eine firewall installiert (pc-cillin), hat immer toll geklappt, aber ich kann keine updates mehr runterladen (ebenso windows-updates).
3. Was soll das heißen einen scan mit escan ? der link funktioniert leider nicht , kommt eine systemmitteilung: keine angabe :thema.
Sorry !

Grüße
Wolfers

Hallo,

zusätzlich diese Dateien löschen:
C:\WINDOWS\system32\ipag.exe
C:\WINDOWS\msgsocm.log:tcaaa
C:\WINDOWS\jrwjf.dll/sp.html
C:\WINDOWS\chp.dll

Diese Fixen (Haken setzen und auf Fix Checked klicken):
O4 - HKLM\..\Run: [ipag.exe] C:\WINDOWS\system32\ipag.exe

Zitat:

Was bedeutet im abgesicherten modus fixen ?

http://www.bsi.bund.de/av/texte/wiederher_xp.htm , das nächste Mal danach googeln

Zitat:

Was soll das heißen einen scan mit escan ?

Bitte beachte: Hier der neue eScan-thread:http://www.trojaner-board.de/showthread.php?t=8131

Hi Cidre !
Habe diese alle von cacatoa angegebenen gefixed, kann aber danach die von Dir angegeben dateien nicht mehr finden, bis auf die chp.dll (=Programmbibliothek). Muß ich die nun löschen ?
Was bedeutet der link auf bsi.bund... ?
Weiterhin soll ich wohl dieses escan downloaden und laufen lassen ?

Sorry, aber ich kenn mich nicht so gut aus, muss deshalb so doof nachfragen
Grüße
Wolfers

@ wolfers:
eScan dowloaden und laufen lassen.
Schau mal in Deine Privaten Nachrichten!
Servus cacatoa

Bins nochmal : habe gerade beim suchen folgende datei gefunden:
ipag.exe-0E71CD15.pf ; liegt im verzeichnis windows/prefetch

Diese msgscom.log finde ich ebenfalls in windows/prefetch, aber auch in windows. allerdings ohne tcaaa ! Da fällt mir ein, dass ich beim Hochfahren, nachdem ich mein benutzerprofil angeklickt habe eine fehlermeldung erhalte, die tcaaa beinhaltet. Durch Wegklicken des fensters fährt dann Windows normal hoch.

Grüße
Wolfers

Hast Du evtl einen Palmtop von Hewlett Packard (iPag h 6340)?
Von dem könnte evtl die ipag.exe stammen.

Werden eine oder mehrere Dateien nicht angezeigt, muss im Windows Explorer unter 'Extras/Ordneroptionen' -> 'Ansicht' -> der Haken bei 'Geschützte Systemdateien ausblenden (empfohlen)' entfernt, sowie 'Alle Dateien und Ordner anzeigen' aktiviert werden.

Zitat:

bis auf die chp.dll (=Programmbibliothek). Muß ich die nun löschen ?

Ja, defenitiv Malware. Siehe http://www.wilderssecurity.com/archi...p/t-28658.html

Zitat:

Was bedeutet der link auf bsi.bund... ?

Infos zum abgesicherten Modus

Zitat:

Diese msgscom.log finde ich ebenfalls in windows/prefetch, aber auch in windows.

Lösche diese C:\WINDOWS\msgsocm.log

Zitat:

C:\WINDOWS\system32\ipag.exe

Definitiv Malware

Leere den Ordner C:\Windows\Prefetch

Poste danach ein neues HJT Log-File.

Hallo Cidre,

habe nun folgendes durchgeführt :
1. chp.dll gelöscht
2. msgscom.log in WIndows gelöscht
3. Ordner Windows/prefetch geleert

Habe mir zusätzlich das tool trojancheck 6 downgeloaded, zeigt mir die trofaner an, ich lösche sie, aber kurze später sind sie wieder da .
Anbei das protokoll von hijack this (nachdem ich gelöscht bzw. geleert hatte, und in HijackThis aufegäumt hatte):

Logfile of HijackThis v1.98.2
Scan saved at 19:23:16, on 07.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programme\Trend Micro\Internet Security\tmproxy.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ipag.exe
C:\Programme\Trend Micro\Internet Security\pccguide.exe
C:\Programme\0190 Warner\Warn0190.exe
C:\Programme\Panicware\Pop-Up Stopper Free Edition\PSFree.exe
C:\WINDOWS\twain_32\SlimU2\HotKey.Exe
C:\WINDOWS\msgsocm.log:tcaaa
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Wolfgang\Eigene Dateien\Downloads\Privat\HijackThis\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {39323676-3397-76E8-CE91-956A4E9F991B} - C:\WINDOWS\sdkdv32.dll
O4 - Startup: 0190 Warner 3.50 (2).lnk = C:\Programme\0190 Warner\Warn0190.exe
O4 - Startup: Pop-Up Stopper Free Edition (2).lnk = C:\Programme\Panicware\Pop-Up Stopper Free Edition\PSFree.exe
O4 - Startup: Slim USB2 Scanner Utility (2).lnk = C:\WINDOWS\twain_32\SlimU2\HotKey.Exe
O4 - Global Startup: Echtzeit-Agent (2).lnk = ?
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\chp.dll

Was sagst Du dazu ?

Melde mich
Gruß
Wolfers

Trotzdem escan installieren und laufen lassen ???

Zitat:

Trotzdem escan installieren und laufen lassen ???

Das sagt mir, daß diese Dateien immer wieder nachgeladen werden.

Jetzt machst du folgendes:
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org

Danach nochmal in den abgesicherten Modus und löscht diese Dateien:
C:\WINDOWS\system32\ipag.exe
C:\WINDOWS\msgsocm.log:tcaaa
C:\WINDOWS\sdkdv32.dll
C:\WINDOWS\chp.dll

Fixe:
O2 - BHO: (no name) - {39323676-3397-76E8-CE91-956A4E9F991B} - C:\WINDOWS\sdkdv32.dll
O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINDOWS\chp.dll

Danach gehst du wieder mit dem IE ins Netz und surfst eine Weile und danach postest du ein neues HJT Log-File.

Hi Cidre,

die einstellungen im IE, müssen die alle berücksichtigt werden ( habe gerade www.blafusel.de mir angesehen, also alle einstellungen so wie da angegeben ?
Muss ich die dateien unbedingt im abgesicherten modus löschen, denke nein, oder ?
Windows update funktioniert bei mir zur zeit eh nicht !

Werde am wochenende Deinen rat befolgen, escan trotzdem noch downloaden und ausführen ?

Gruß
Wolfers