Brauche umbedingt eure Hilfte! Habe TR/Dldr.Stuppy.C auf meinem PC
 

Hallo ich bitte um profi. Hilfe.

Habe den TR/Dldr.Stuppy.C auf meinem PC wer kann mir Helfen?

@Stefano
poste ein HJT logfile und den pfad wo struppi gefunden würde
HJT direktdownload
anleitung
chaosman

Logfile of HijackThis v1.99.1
Scan saved at 19:11:15, on 21.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\TCMMOU~1\MouseDrv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Mozilla1.7.3\Mozilla.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft Office\Office\Winword.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\StefanG\LOKALE~1\Temp\Rar$EX00.516\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://216.130.185.122/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://216.130.185.122/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://216.130.185.122/sidesearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gardasee.de/wetter/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.real.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://216.130.185.122/sidesearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://216.130.185.122/sidesearch.html
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll
O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: RsyncHlpr Class - {16B238D5-80DE-47CE-8F17-B3ECE2C2248D} - C:\WINDOWS\system32\rsyncmon.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINDOWS\system32\winb2s32.dll
O2 - BHO: MEGASEAR - {4E7BD74F-2B8D-469E-C0FF-FA7FB592BF30} - C:\WINDOWS\DOWNLO~1\megasear.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: WebCGMHlprObj Class - {56B38F40-4E70-11d4-A076-0080AD86BA2F} - C:\WINDOWS\cgmopenbho.dll
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O2 - BHO: ohb - {988CAFC4-DC0D-4D8C-A35E-5028ABE9E641} - C:\WINDOWS\system32\ic2_win.dll
O2 - BHO: ohb - {CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} - (no file)
O3 - Toolbar: MEGASEAR - {4E7BD74F-2B8D-469E-C0FF-FA7FB592BF30} - C:\WINDOWS\DOWNLO~1\megasear.dll
O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINDOWS\system32\winb2s32.dll
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: Begin2Search.com Bar - {207AEF46-0596-4966-A7BF-098F247E85BB} - C:\WINDOWS\system32\ic2_win.dll
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=http://www.real.de/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094036522843
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDA63990-2595-4D01-B0EB-A7511C599536}: NameServer = 141.1.1.1
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe

So und jetzt? Kann mir das irgendwer auswerten??

Hier habe ich nochmals nachgesehen via Antivirus durchsuchung wo sich der scheiß Wurm versteckt, vielleicht hilft das weiter!?


C:\Dokumente und Einstellungen\StefanG\Lokale Einstellungen\Temp\THI122D.tmp
farmmext.cab
ArchiveType: CAB (Microsoft)
--> farmmext.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Stubby.C
C:\Dokumente und Einstellungen\StefanG\Lokale Einstellungen\Temp\THI66A.tmp
farmmext.cab
ArchiveType: CAB (Microsoft)
--> farmmext.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Stubby.C
C:\Dokumente und Einstellungen\StefanG\Lokale Einstellungen\Temp\THIF31.tmp
farmmext.cab
ArchiveType: CAB (Microsoft)
--> farmmext.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Stubby.C

@Stefano
update spybot, lade Ad-Aware
update es.
lade LSP-Fix

lade escan download
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman

Hallo,

1.) eScan runterladen und updaten (noch nicht scannen). Anleitung vorher komplett lesen, am besten ausdrucken.
Spybot Search&Destroy, Ad-Aware und LSP-Fix runterladen.

2.) Deinstalliere unter Systemsteuerung-> Software New.net/Newdotnet, TVMedia sowie alle andere unseriöse Software (Toolbars etc.)

3.) Entpacke HijackTHis in einen eigenen Ordner!

4.) boote in den abgesicherten Modus.
fixe mit Hijackthis (mit HjT scannen, Haken setzen und "fix checked" anklicken) die folgenden Einträge sofern sie noch vorhanden sind:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://216.130.185.122/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://216.130.185.122/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://216.130.185.122/sidesearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gardasee.de/wetter/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.real.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://216.130.185.122/sidesearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://216.130.185.122/sidesearch.html

R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll

O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - (no file)
O2 - BHO: RsyncHlpr Class - {16B238D5-80DE-47CE-8F17-B3ECE2C2248D} - C:\WINDOWS\system32\rsyncmon.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINDOWS\system32\winb2s32.dll
O2 - BHO: MEGASEAR - {4E7BD74F-2B8D-469E-C0FF-FA7FB592BF30} - C:\WINDOWS\DOWNLO~1\megasear.dll
O2 - BHO: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O2 - BHO: ohb - {988CAFC4-DC0D-4D8C-A35E-5028ABE9E641} - C:\WINDOWS\system32\ic2_win.dll
O2 - BHO: ohb - {CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} - (no file)

O3 - Toolbar: MEGASEAR - {4E7BD74F-2B8D-469E-C0FF-FA7FB592BF30} - C:\WINDOWS\DOWNLO~1\megasear.dll
O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINDOWS\system32\winb2s32.dll
O3 - Toolbar: QuickSearch SearchBar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar3_28.dll
O3 - Toolbar: Begin2Search.com Bar - {207AEF46-0596-4966-A7BF-098F247E85BB} - C:\WINDOWS\system32\ic2_win.dll

O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe

O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.h tm

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll


lösche manuell:
C:\Programme\TV Media
C:\WINDOWS\system32\rsyncmon.dll
C:\Programme\NewDotNet
C:\WINDOWS\system32\winb2s32.dll
C:\WINDOWS\DOWNLO~1\megasear.dll
C:\Programme\QuickSearch
C:\WINDOWS\system32\ic2_win.dll
C:\WINDOWS\isrvs
C:\Programme\Web_Rebates


5.) Scanne jetzt mit eScan und lösche die gefundenen Dateien manuell (Vorsicht bei Dateien, die als "not-a-virus" erkannt werden).

6.) Scanne mit Spybot S&D und Ad-Aware. Repariere gegebenfalls deine Winsocks mit LSP-Fix.


7.) Neustart


8.) Alternativen Browser wählen!

neues HijackThis-Logfile posten. Problem gelöst?


btw: Dein System ist eigentlich total versaut und ich garantiere für nichts...


PS: Falls du Probleme hast, die Dateien zu finden, nimm bitte folgende Einstellungen vor:
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Leere auch mal deine Temp und Temporary Internet Files mit www.clearprog.de

@ Chaosman


So habe jetzt das gemach wie du es gesagt hast hier das Ergebniss mit eScan, das sind die Viren die ich gefunden habe:

File C:\Programme\NewDotNet\newdotnet6_38.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

File C:\Programme\NewDotNet\newdotnet6_38.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\winb2s32.dll infected by "not-a-virus:AdWare.Beginto.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\DOWNLO~1\megasear.dll infected by "not-a-virus:AdWare.BHO.MegaSearch.a" Virus. Action Taken: No Action Taken.

File C:\Programme\QuickSearch\QuickSearchBar3_28.dll infected by "not-a-virus:AdWare.ToolBar.Quick.b" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\ic2_win.dll infected by "not-a-virus:AdWare.ToolBar.Ilookup.b" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\isrvs\desktop.exe infected by "not-a-virus:AdWare.ToolBar.ISearch.d" Virus. Action Taken: No Action Taken.

File C:\PROGRA~1\TVMEDI~1\Tvm.exe infected by "not-a-virus:AdWare.TotalVelocity.aa" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\drivers\delprot.sys infected by "Trojan.Win32.Delprot.a" Virus. Action Taken: No Action Taken.

ile C:\WINDOWS\system32\desktrf-cat_b2s.exe infected by "not-a-virus:AdWare.ToolBar.HotSearchBar.b" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\msdmxm.exe infected by "Trojan-Downloader.Win32.Agent.bh" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\reg6523.exe infected by "not-a-virus:AdWare.Beginto.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\tvmk1.dll infected by "Trojan-Dropper.Win32.Small.ly" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\WebRebates_Auto_InstallSilent.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken.

ile C:\DOKUME~1\StefanG\LOKALE~1\Temp\B72181004\build2.exe infected by "not-a-virus:AdWare.ToolBar.ISearch.d" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\StefanG\LOKALE~1\Temp\idcs50202.exe infected by "not-a-virus:AdWare.ToolBar.ISearch.d" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\StefanG\LOKALE~1\Temp\II8AA.tmp infected by "not-a-virus:AdWare.ToolBar.Ilookup.b" Virus. Action Taken: No Action Taken.


Und jetzt?

Post Nr. 7 und 8 anschauen...

so habe nun post 7 und 8 gemacht

mittlerweile findet escan nichts mehr, spybot hat 14 Probleme gefunden; 8x Cookies und 6x Registry chance

und ad-aware SE Status sagt STATUS OK!?

Ist das jetzt gut? oder immer noch total scheisse???

Neues Logfile posten. Hast du noch Probleme?
btw: hast du Spybot S&D die Probleme beheben lassen?

Ja habe Spybot die Probleme lösen lassen! Das macht man doch wenn man auf "Fix select problems" drückt oder?!

Ne im Moment macht er eigentlich keine Probleme und mein AntiVirus zeigt im Moment auch nichts an!

Vielen vielen dank dafür! Ihr bzw. Du bist echt spitze!!!! GRAZIE
Hier noch mein aktuelles Logfiel:


Logfile of HijackThis v1.99.1
Scan saved at 19:37:48, on 23.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\StefanG\LOKALE~1\Temp\Rar$EX00.266\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: WebCGMHlprObj Class - {56B38F40-4E70-11d4-A076-0080AD86BA2F} - C:\WINDOWS\cgmopenbho.dll
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.real.de/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094036522843
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDA63990-2595-4D01-B0EB-A7511C599536}: NameServer = 141.1.1.1
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe

Ist das jetzt gut?

GRAZIE!!!!!

HijackThis in einen eigenen Ordner entpacken!

Im abgesicherten Modus fixen:
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll

Lösche manuell:
C:\WINDOWS\isrvs\mfiltis.dll


Bei dieser Datei bin ich mir nicht ganz sicher, dürfte aber harmlos sein.
-> Überprüfe sie mal online bei http://virusscan.jotti.dhs.org und poste das Ergebnis.


btw: Es wäre besser, wenn du einen alternativen Browser verwenden würdest...

@Haui45
Ich habe was für "sich-nicht-ganz-sicheren" ;) : http://www.e-systems.ro/download-dll/igfxsrvc.dll/

Der "sich-nicht-ganz-Sichere" kennt diese Seite, war aber etwas erstaunt darüber, dass in anderen Boards das Fixen des Eintrags empfohlen wird... :crazy:

@Haui45
Fixen ist immer gut und macht Spaß :D

gut habe jetzt im abgesicherten modus nochmal die datei gefixt!

Die Datei C:\WINDOWS\isrvs\mfiltis.dll kann ich nicht manuell löschen, weil ich diese nicht finde!



Bei dem http://virusscan.jotti.dhs.org kenne ich mich nicht aus?!!??

Hast du nachgesehen, was Rene-gad damit meinte?!

Ist als Alternativer Browser „Mozilla“ gut genug oder was würdest du mir für einen empfehlen?

Hier nochmal das aktuelle Logfiel:


Logfile of HijackThis v1.99.1
Scan saved at 20:12:39, on 23.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Mozilla1.7.3\mozilla.exe
C:\Programme\Microsoft Office\Office\Winword.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\StefanG\LOKALE~1\Temp\Rar$EX00.250\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: WebCGMHlprObj Class - {56B38F40-4E70-11d4-A076-0080AD86BA2F} - C:\WINDOWS\cgmopenbho.dll
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.real.de/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094036522843
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDA63990-2595-4D01-B0EB-A7511C599536}: NameServer = 141.1.1.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe

Also heißt das, ich fixe die Datei im Abgesicherten Modus am besten oder?

Auf der Seite Virusscan.jotti.dhs.org auf "Durchsuchen" klicken-> zur von mir genannten Datei navigieren und diese markieren-> auf "öffnen" klicken-> auf "Submit" klicken-> etwas warten->das Ergebnis markieren und hier rein kopieren:
sieht etwa so aus:
Ich empfehle gar keinen, aber ich verwende hauptsächlich Firefox ;)


Wahrscheinlich, weil du den ganzen Ordner gelöscht hast, damit erübrigt sich das ;)

Super danke dafür!

Hier das Ergebnis:

Service load:
0% 100%
File: igfxsrvc.dll
Status:
OK
Packers detected:
None

AntiVir
No viruses found (0.41 seconds taken)
Avast
No viruses found (1.51 seconds taken)
AVG Antivirus
No viruses found (0.43 seconds taken)
BitDefender
No viruses found (0.47 seconds taken)
ClamAV
No viruses found (0.63 seconds taken)
Dr.Web
No viruses found (0.88 seconds taken)
F-Prot Antivirus
No viruses found (0.10 seconds taken)
Fortinet
No viruses found (0.41 seconds taken)
Kaspersky Anti-Virus
No viruses found (0.98 seconds taken)
mks_vir
No viruses found (0.22 seconds taken)
NOD32
No viruses found (0.46 seconds taken)
Norman Virus Control
No viruses found (0.20 seconds taken)

Soll ich jetzt O20
Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
noch fixen oder hat sich das erledigt???

Hat sich erledigt :)

Noch ein sicheres "surfen" :D

Vielen Dank nochmal echt spitze!!!!

Noch eine kleine Frage:

Wenn der Computer ganz nochmal hochgefahren worden ist und ich aber in den Abgesicherten Modus will muss ich dann den pc ausschalten, wieder neu starten dann F? taste drücken und dann in den abgesicherten Modus gehen oder geht das durch eine Eingabeaufforderung auch irgendwie??

Neu starten und F8 drücken, oder mal hier lesen.

Alles klar nochmals vielen dank für alles!!!!!!! :heilig: