Brauche hilfe beim Fixen mit Hijackthis
 

Hallo,
ich bin mir nicht ganz sicher welche Prozesse ich alle fixen darf.
Hier ist meine .log file (danke im Vorraus):

Logfile of HijackThis v1.98.0
Scan saved at 16:10:03, on 28.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS2\System32\smss.exe
C:\WINDOWS2\system32\winlogon.exe
C:\WINDOWS2\system32\services.exe
C:\WINDOWS2\system32\lsass.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS2\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS2\system32\spoolsv.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS2\System32\CTHELPER.EXE
C:\WINDOWS2\hrtcm.exe
C:\WINDOWS2\System32\RUNDLL32.EXE
C:\WINDOWS2\System32\qdghzb.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\WINDOWS2\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS2\System32\CTsvcCDA.exe
C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS2\System32\nvsvc32.exe
C:\WINDOWS2\system32\scagent.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS2\System32\MsPMSPSv.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS2\System32\wuauclt.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\schweiz1\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.search-instructor.com/bers/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-instructor.com/bers/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.search-instructor.com/bers/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://super-spider.com/hp.htm?id=191
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.search-instructor.com/bers/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.search-instructor.com/bers/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-instructor.com/bers/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.search-instructor.com/bers/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search-instructor.com/bers/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.search-instructor.com/bers/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.search-instructor.com/bers/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Bluewin AG
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS2\system32\userinit.exe,
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS2\System32\h1ph1soup9l.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1629.0\en-us\msntb.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS2\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS2\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [hrtcm] C:\WINDOWS2\hrtcm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS2\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS2\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS2\svchost.exe 1
O4 - HKLM\..\Run: [winupd] C:\WINDOWS2\System32\winupd.exe
O4 - HKLM\..\Run: [ntldr] C:\WINDOWS2\System32\ntldr.exe
O4 - HKLM\..\Run: [tgpnldv] C:\WINDOWS2\System32\qdghzb.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [alchem] C:\WINDOWS2\alchem.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [romahere] C:\WINDOWS2\System32\matrixhere.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS2\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - HKCU\..\Run: [romahere] C:\WINDOWS2\System32\matrixhere.exe
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.179.52/winsearchie32.ch...searchie32.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.toolbars-cash.com/clk/125.chm::/file.exe
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS2\digfilt.dll
O18 - Filter: text/plain - {017C5043-B207-4F1F-87A5-93B2B5377397} - C:\WINDOWS2\System32\fhgdac.dll

Hallo weasel und willkommen im Board,

mache bitte zunächst ein Scan mit eScan (siehe meine Signatur) und poste anschließend was gefunden wurde. Ich vermute, es wird einiges gefunden.

Hi Lutz,
erstmal DANKE für die schnelle Antwort!
Ich hab escan so wie beschrieben ausgeführt und jetzt nochmal mit hijackthis gescant . Hier ist der "neue" Log:

Logfile of HijackThis v1.98.0
Scan saved at 14:48:47, on 29.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS2\System32\smss.exe
C:\WINDOWS2\system32\winlogon.exe
C:\WINDOWS2\system32\services.exe
C:\WINDOWS2\system32\lsass.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS2\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS2\system32\spoolsv.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS2\System32\CTHELPER.EXE
C:\WINDOWS2\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\WINDOWS2\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS2\System32\CTsvcCDA.exe
C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS2\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS2\System32\MsPMSPSv.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\WINDOWS2\System32\wuauclt.exe
C:\Dokumente und Einstellungen\schweiz1\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=191
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.search-instructor.com/bers/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=191
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=191
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://super-spider.com/hp.htm?id=191
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.search-instructor.com/bers/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.search-instructor.com/bers/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-instructor.com/bers/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.search-instructor.com/bers/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search-instructor.com/bers/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.search-instructor.com/bers/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=191
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.search-instructor.com/bers/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Bluewin AG
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS2\system32\userinit.exe,
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1629.0\en-us\msntb.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS2\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS2\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS2\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS2\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [winupd] C:\WINDOWS2\System32\winupd.exe
O4 - HKLM\..\Run: [tgpnldv] C:\WINDOWS2\System32\qdghzb.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS2\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.179.52/winsearchie32.ch...searchie32.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.toolbars-cash.com/clk/125.chm::/file.exe
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS2\digfilt.dll
O18 - Filter: text/plain - (no CLSID) - (no file)

Hallo weasel,

um besser helfen zu können, wäre interessant zu wissen, was eScan gefunden hat.
Wenn Du eScan startest und anschließend auf View Log klickst wird die Log-Datei angezeigt. Bei einem kompletten Scan ist die Datei ziemlich groß. Ganz am Ende findest Du in etwa folgendes:
Poste bitte mal die entsprechende Passage aus Deinem Log.


Mit HijackThis kannst Du auf jeden Fall dies hier fixen (die Zeilen markieren und anschließend Fix checked klicken:
Lösche die Datei
C:\WINDOWS2\System32\winupd.exe

Außerdem durchsuche das Log von eScan bitte nach folgenden Dateien:
C:\WINDOWS2\System32\qdghzb.exe
C:\Program Files\WindowsSA\omniscient.exe

Wenn diese Dateien als Virus, Trojaner oder ähnlich erkannt wurden, fixe die beiden Zeilen
auch und lösche die Dateien, sofern noch vorhanden.

Starte dann den Rechner neu und erstelle noch mal ein neues Log mit HijackThis.

Nachtrag: Auf jeden Fall musst Du Dein System unter http://www.windowsupdate.com aktualisieren!

Hi Lutz,
die oben genannten Prozesse hab ich alle erfolgreich gefixt.
(hoffentlich kommen die nicht von selber wieder wie beim erstenmal)
Hier die neue Log von hijackthis:


Hier noch der schockierende log aus eScan:

Windows hab ich auch mal wieder geupdated.
Danke für die Hilfe!
Gruss weasel

Ich denke, das Bedarf keines weiteren Kommentars, oder? :eek:
Hier noch zu raten, irgendetwas zu fixen, ist imho schon fast fahrlässig. Nebenbei geben sich die Hijacker bei Dir quasi die Klinke in die Hand. Das jetzige Log deutet auf eine ganz andere Version hin!

Sorry, aber Du hast bei den Zahlen eigentlich nur eine Alternative. Sichere Deine relavanten Daten und setz Deinen Rechner neu auf. Anschließend solltest Dein 'Sicherheitskonzept' mal überdenken. 3005 (in Worten dreitausendundfünf) Viren ist selbst mit Norton eine 'Glanzleistung'.

Hallo Lutz,
ja damit hab ich eigentlich fast schon gerechnet - einfach windows neu druf und besser aufpassen beim downloaden.
Ich würde gern mal so ein hijacker treffen :snyper: ;-)

Naja, trotzdem nochmals vielen Dank.
Gruss Weasel