moinsen leudz,
nun hats mich auch mal erwischt. am samstag abend hatte ich zum ersten mal probs mit dem IE ( unerwünschte popups; schön viel werbung ... ).
daraufhin habe ich heute erstmal mit HijackThis aufgeräumt. im moment läuft alles ruhig ,aber vielleicht könnt ihr ja noch mal nen blick raufwerfen, hab ich doch von der materie nur ne sehr oberflächliche ahnung.

Logfile of HijackThis v1.98.2
Scan saved at 15:30:46, on 18.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Navnt\navapsvc.exe
C:\PROGRA~1\Navnt\npssvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\appwq32.exe
C:\WINDOWS\wanmpsvc.exe
C:\PROGRA~1\Navnt\alertsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\NILaunch.exe
C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\kdx\KHost.exe
C:\WINDOWS\appug.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AOL 8.0\aoltray.exe
C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Navnt\navapw32.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\Rar$EX01.718\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\chtxz.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\chtxz.dll/sp.html#29126R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\chtxz.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\chtxz.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\chtxz.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\chtxz.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\chtxz.dll/sp.html#29126
R3 - Default URLSearchHook is missingO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {24E41A18-2315-5AAF-A8B7-7F94E6B27A67} - C:\WINDOWS\system32\netvt32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\ycomp5_1_6_0.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NPS Event Checker] C:\PROGRA~1\Navnt\npscheck.exe
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\Navnt\defalert.exe
O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe
O4 - HKLM\..\Run: [FastTVSync] "C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [appug.exe] C:\WINDOWS\appug.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = C:\Programme\Navnt\navapw32.exe
O4 - Global Startup: Verknüpfung mit IWatch.exe.lnk = C:\Programme\FRITZ!\IWatch.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - h**p://www.gamespot.com/KDX22/download/kdx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{554EE2BB-7865-446D-99C1-8F67E8777FC4}: NameServer = 205.188.146.146O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll

die fetten sachen sind dann anschließend alle rausgeflogen.

ich sollte mir bestimmt das win xp sp2 holen und ne vernünftige firewall ( also eine die relativ einfach zu bedienen ist und auch einen vernünftigen schutz bildet). bin auch da für ne anregung dankbar.

dangge
tsu

Mein TIPP am fruehen Morgen

Zitat:

Zitat von tsunami

moinsen leudz,
C:\WINDOWS\system32\appwq32.exe
C:\WINDOWS\appug.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\chtxz.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\chtxz.dll/sp.html#29126R1 -
[B]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\chtxz.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\chtxz.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\chtxz.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\chtxz.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\chtxz.dll/sp.html#29126
O2 - BHO: (no name) - {24E41A18-2315-5AAF-A8B7-7F94E6B27A67} - C:\WINDOWS\system32\netvt32.dll
O4 - HKLM\..\Run: [appug.exe] C:\WINDOWS\appug.exe
[B]O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll

komisch:
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - h**p://www.gamespot.com/KDX22/download/kdx.cab


tsu

Koenntest Du mir bitte die Groesse der beiden Datein mal sagen?
C:\WINDOWS\system32\appwq32.exe
C:\WINDOWS\appug.exe



Gruss
Michael

moinsen...
hmmm, ich kann diese beiden hier nicht finden !!!

C:\WINDOWS\system32\appwq32.exe
C:\WINDOWS\appug.exe

... und das obwohl beide im task-manager als laufende prozesse aufgeführt sind!

im aktuellen log sind sie auch mit aufgeführt.

und der kommt auch immer wieder und wird im viruscheck bemängelt:

R3 - Default URLSearchHook is missing

gruss
tsu

Führe das aus und lösche dann diese Dateien:
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

soooo...

C:\WINDOWS\system32\appwq32.exe = 10 KB
C:\WINDOWS\appug.exe = 26 KB


wurden beide erstellt am 03.10.2004

.... lol .... da hab ich gearbeitet ... bleiben also nur meine frau oder die kiddys

Wenn du die Einträge gefixed und die Dateien gelöscht hast, dann solltest du folgendes ausführen:
- Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx

es werden im HijackThis keine c:\ angezeigt (beginnt erst mit R1), somit kann ich die beiden nicht fixen.
im logfile ist aber alles aufgeführt

Das ist normal, die laufenden Prozesse sind erst ersichtlich wenn du das Log-File abgespeichert hast.
Die Prozesse kannst du logischerweise nicht fixen, sondern du musst diese Dateien löschen:
C:\WINDOWS\system32\appwq32.exe
C:\WINDOWS\appug.exe
C:\WINDOWS\system32\chtxz.dll

moinsen an einem neuen tag

Zitat:

Zitat von Cidre

Wenn du die Einträge gefixed und die Dateien gelöscht hast, dann solltest du folgendes ausführen:
- Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx

- einträge sind gefixt oder gelöscht
- eingeschränkte benutzerkonten hatte ich schon angelegt (wer wie ich dann aber im entscheidenden moment zu faul zum wechseln ist, hats verdient )
- IE ist entsprechend konfiguriert
- mozilla downgeloaded und installed .... und funzt :aplaus:
- am winupdate muss ich noch arbeiten ....( hier is dsl-freie-zone )

===> dangge für die hilfe

viele grüße
tsu

Zitat:

- am winupdate muss ich noch arbeiten ....( hier is dsl-freie-zone )

Vielleicht kannst du noch eine Computer Zeitschrift der letzten Wochen ergattern, da war das SP2 als Zugabe beigelegt.
Ansonsten gern geschehen.