Supportnet / Forum / WindowsXP
Hijack File - Dialer - Bitte helfen !
Frage
Hallo
Könnt Ihr mir bitte helfen?
Habe anscheinend 2 Dialer auf meinem Rechner.
Kann von keinem Programm gefunden werden.
Könnt Ihr mir bitte helfen, Logfile ist aktuell
MfG
Joe
Logfile of HijackThis v1.98.0
Scan saved at 21:16:23, on 21.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\enmzlc.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\WINDOWS\System32\winsystem.exe
C:\WINDOWS\System32\winmx.exe
C:\WINDOWS\System32\winsyst32.exe
C:\WINDOWS\outIook.exe
C:\WINDOWS\System32\msssss.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\xyz\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = kicker.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = tsv1860.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = tsv1860.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.sport1.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: (no name) - {14AF3156-BC13-2EC1-8726-12557BD02F67} - C:\WINDOWS\System32\wokgtwcg.dll (file missing)
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {8085E374-ACBB-42F9-873F-49EC7E244F97} - C:\WINDOWS\System32\fiuuae.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [efkybetlf] C:\WINDOWS\System32\enmzlc.exe
O4 - HKLM\..\Run: [Microsoft Java Windows Update] msssss.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [Windows System Manager] winsystem.exe
O4 - HKLM\..\Run: [Microsoft CONFIG] winmx.exe
O4 - HKLM\..\Run: [Microsoft IT Update] winsyst32.exe
O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINDOWS\shman.exe /i
O4 - HKLM\..\Run: [OfficeAgent] C:\WINDOWS\outIook.exe /i
O4 - HKLM\..\RunServices: [Microsoft Java Windows Update] msssss.exe
O4 - HKLM\..\RunServices: [Windows Registers] winservicess.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Windows System Manager] winsystem.exe
O4 - HKLM\..\RunServices: [Microsoft CONFIG] winmx.exe
O4 - HKLM\..\RunServices: [Microsoft IT Update] winsyst32.exe
O4 - HKCU\..\Run: [C:\WINDOWS\System32\ikituba.dll] C:\WINDOWS\System32\ikituba.dll /c del >nul
O4 - HKCU\..\Run: [Rcus] C:\Dokumente und Einstellungen\xyz\Anwendungsdaten\lsmi.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Java Windows Update] msssss.exe
O4 - HKCU\..\Run: [Windows System Manager] winsystem.exe
O4 - HKCU\..\Run: [Microsoft CONFIG] winmx.exe
O4 - HKCU\..\Run: [Microsoft IT Update] winsyst32.exe
O4 - HKCU\..\Run: [Windows Registers] winservicess.exe
O4 - Startup: AVWIN (2).lnk = C:\Programme\AVPersonal\AVWIN.EXE
O4 - Global Startup: Spybot - Search & Destroy.lnk = D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C881D2B-CB40-4814-849C-F33571A22352}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{8329F7E1-4752-4B89-A351-80A0CC6D5AD1}: NameServer = 192.168.0.1
Antwort 1 von Mickey
Da hast du ne Menge - von Hijackern zu Viren und Unbekanntem.
Prüf die jeweiligen dateieigenschaften und scan dein System auch mit einem Antivirus Programm. Deaktiviere vor dem Scannen die Systemwiederherstellung und scanne im abgesicherten Modus. Lass die Scanner ein paar mal laufen. Recherchiere auch mit den Dateiendungen selber mal bei einer Suchmaschine falls du dir unsicher bist (siehe den letzten Punkt MediaTicketsInstaller.cab
C:\WINDOWS\System32)\enmzlc.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\WINDOWS\System32\winsystem.exe
C:\WINDOWS\System32\winmx.exe
C:\WINDOWS\System32\winsyst32.exe
C:\WINDOWS\System32\msssss.exe
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42}
O2 - BHO: (no name) - {8085E374-ACBB-42F9-873F-49EC7E244F97} - C:\WINDOWS\System32\fiuuae.dll
O4 - HKLM\..\Run: [efkybetlf] C:\WINDOWS\System32\enmzlc.exe
O4 - HKLM\..\Run: [Microsoft Java Windows Update] msssss.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [Windows System Manager] winsystem.exe
O4 - HKLM\..\Run: [Microsoft CONFIG] winmx.exe
O4 - HKLM\..\Run: [Microsoft IT Update] winsyst32.exe
O4 - HKLM\..\RunServices: [Microsoft Java Windows Update] msssss.exe
O4 - HKLM\..\RunServices: [Windows Registers] winservicess.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Windows System Manager] winsystem.exe
O4 - HKLM\..\RunServices: [Microsoft CONFIG] winmx.exe
O4 - HKLM\..\RunServices: [Microsoft IT Update] winsyst32.exe
O4 - HKCU\..\Run: [C:\WINDOWS\System32\ikituba.dll] C:\WINDOWS\System32\ikituba.dll /c del >nul
O4 - HKCU\..\Run: [Rcus] C:\Dokumente und Einstellungen\xyz\Anwendungsdaten\lsmi.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Java Windows Update] msssss.exe
O4 - HKCU\..\Run: [Windows System Manager] winsystem.exe
O4 - HKCU\..\Run: [Microsoft CONFIG] winmx.exe
O4 - HKCU\..\Run: [Microsoft IT Update] winsyst32.exe
O4 - HKCU\..\Run: [Windows Registers] winservicess.exe
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Prüf die jeweiligen dateieigenschaften und scan dein System auch mit einem Antivirus Programm. Deaktiviere vor dem Scannen die Systemwiederherstellung und scanne im abgesicherten Modus. Lass die Scanner ein paar mal laufen. Recherchiere auch mit den Dateiendungen selber mal bei einer Suchmaschine falls du dir unsicher bist (siehe den letzten Punkt MediaTicketsInstaller.cab
C:\WINDOWS\System32)\enmzlc.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\WINDOWS\System32\winsystem.exe
C:\WINDOWS\System32\winmx.exe
C:\WINDOWS\System32\winsyst32.exe
C:\WINDOWS\System32\msssss.exe
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42}
O2 - BHO: (no name) - {8085E374-ACBB-42F9-873F-49EC7E244F97} - C:\WINDOWS\System32\fiuuae.dll
O4 - HKLM\..\Run: [efkybetlf] C:\WINDOWS\System32\enmzlc.exe
O4 - HKLM\..\Run: [Microsoft Java Windows Update] msssss.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [Windows System Manager] winsystem.exe
O4 - HKLM\..\Run: [Microsoft CONFIG] winmx.exe
O4 - HKLM\..\Run: [Microsoft IT Update] winsyst32.exe
O4 - HKLM\..\RunServices: [Microsoft Java Windows Update] msssss.exe
O4 - HKLM\..\RunServices: [Windows Registers] winservicess.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Windows System Manager] winsystem.exe
O4 - HKLM\..\RunServices: [Microsoft CONFIG] winmx.exe
O4 - HKLM\..\RunServices: [Microsoft IT Update] winsyst32.exe
O4 - HKCU\..\Run: [C:\WINDOWS\System32\ikituba.dll] C:\WINDOWS\System32\ikituba.dll /c del >nul
O4 - HKCU\..\Run: [Rcus] C:\Dokumente und Einstellungen\xyz\Anwendungsdaten\lsmi.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Java Windows Update] msssss.exe
O4 - HKCU\..\Run: [Windows System Manager] winsystem.exe
O4 - HKCU\..\Run: [Microsoft CONFIG] winmx.exe
O4 - HKCU\..\Run: [Microsoft IT Update] winsyst32.exe
O4 - HKCU\..\Run: [Windows Registers] winservicess.exe
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Antwort 2 von Joe 60
Hallo Mickey
Kann im abgesicherten Modus nicht starten. Bildschirm bleibt schwarz.
Soll ich alles löschen was bei Deiner Antwort steht?
Vielen Dank
PS: Hab sämtliche Antivirenprogramme ausprobiert, Spybot, Spyware etc.
Joe
Kann im abgesicherten Modus nicht starten. Bildschirm bleibt schwarz.
Soll ich alles löschen was bei Deiner Antwort steht?
Vielen Dank
PS: Hab sämtliche Antivirenprogramme ausprobiert, Spybot, Spyware etc.
Joe
Antwort 3 von Mickey
Ja. Prüf vorher unter msconfig was du im Systemstart hast - da beenden. Dann fixen und noch manuell suchen. Nochmals scannen und wie gesagt auch ein Anti-Virenproggie laufen lassen. Denk auch an die Sys.wiederherstellung.
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Antwort 4 von Roland
Hi,
erst mal die Systemwiederherstellung ausschalten.
Dann im Abgesicherten Modus starten.
Einfach mal länger warten, vielleicht dauert es nur etwas bis der Rechner im abgesicherten Modus startet.
Ich habe bis jetzt noch keinen Rechner gesehen der normal hochfährt und im abges.Modus nicht.
erst mal die Systemwiederherstellung ausschalten.
Dann im Abgesicherten Modus starten.
Einfach mal länger warten, vielleicht dauert es nur etwas bis der Rechner im abgesicherten Modus startet.
Ich habe bis jetzt noch keinen Rechner gesehen der normal hochfährt und im abges.Modus nicht.
Antwort 5 von Joe 60
Vielen Dank für Eure schnelle Hilfe,
bin leider ein Laie und kenn mich nicht so gut aus.
Systemwiederherstellung ausschalten???
Dann im Abgesicherten Modus starten???
Muß ich da den Computer ausschalten und beim Neustart F8 Taste,stimmt das so?
Prüf vorher unter msconfig was du im Systemstart hast ?????
Tas Manager oder wie geht das????
Sorry, aber ich bin leider nicht so ein Experte wie Ihr.
Schönen Tag
Joe
bin leider ein Laie und kenn mich nicht so gut aus.
Systemwiederherstellung ausschalten???
Dann im Abgesicherten Modus starten???
Muß ich da den Computer ausschalten und beim Neustart F8 Taste,stimmt das so?
Prüf vorher unter msconfig was du im Systemstart hast ?????
Tas Manager oder wie geht das????
Sorry, aber ich bin leider nicht so ein Experte wie Ihr.
Schönen Tag
Joe
Antwort 6 von Joe 60
Aktuelles Hijack File
Logfile of HijackThis v1.98.0
Scan saved at 08:33:40, on 22.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\outIook.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\xyz\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = kicker.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.miosearch.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = tsv1860.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = tsv1860.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.sport1.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll
O2 - BHO: (no name) - {14AF3156-BC13-2EC1-8726-12557BD02F67} - C:\WINDOWS\System32\wokgtwcg.dll (file missing)
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINDOWS\shman.exe /i
O4 - HKLM\..\Run: [OfficeAgent] C:\WINDOWS\outIook.exe /i
O4 - HKLM\..\Run: [qagpwowqxonho] C:\WINDOWS\System32\enmzlc.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - Startup: AVWIN (2).lnk = C:\Programme\AVPersonal\AVWIN.EXE
O4 - Global Startup: Spybot - Search & Destroy.lnk = D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C881D2B-CB40-4814-849C-F33571A22352}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FA2CF96-2A67-4AB6-AF64-991F0F5B0C5A}: NameServer = 217.237.151.97 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{8329F7E1-4752-4B89-A351-80A0CC6D5AD1}: NameServer = 192.168.0.1
Logfile of HijackThis v1.98.0
Scan saved at 08:33:40, on 22.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\outIook.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\xyz\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = kicker.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.miosearch.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = tsv1860.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = tsv1860.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.sport1.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll
O2 - BHO: (no name) - {14AF3156-BC13-2EC1-8726-12557BD02F67} - C:\WINDOWS\System32\wokgtwcg.dll (file missing)
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINDOWS\shman.exe /i
O4 - HKLM\..\Run: [OfficeAgent] C:\WINDOWS\outIook.exe /i
O4 - HKLM\..\Run: [qagpwowqxonho] C:\WINDOWS\System32\enmzlc.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - Startup: AVWIN (2).lnk = C:\Programme\AVPersonal\AVWIN.EXE
O4 - Global Startup: Spybot - Search & Destroy.lnk = D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C881D2B-CB40-4814-849C-F33571A22352}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FA2CF96-2A67-4AB6-AF64-991F0F5B0C5A}: NameServer = 217.237.151.97 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{8329F7E1-4752-4B89-A351-80A0CC6D5AD1}: NameServer = 192.168.0.1
Antwort 7 von Mickey
Deaktiviere diese in der Systemsteuerung unter "System" - Registerkarte "Systemwiederherstellung" - "Systemwiederherstellung auf allen Laufwerken deaktivieren", neu booten.
Abgesichert würde wie folgt aussehen:
Edit: >Neustart des PC, während des Neustarts die F8 Taste drücken.<
Folgende weiterhin fixen:
O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll
O4 - HKLM\..\Run: [qagpwowqxonho] C:\WINDOWS\System32\enmzlc.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
Deine wuamgrd... kommen über einen Wurm, der sich über wenig geschützte Netzwerkfreigaben verbreitet. Patch mal deinen Rechner oder schliess deine Ports (manuel oder per Firewall).
Beschäftige dich voher dringend damit, deine
Browser-Sicherheitseinstellungen anzupassen (ActiveX mal komplett sperren).
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Abgesichert würde wie folgt aussehen:
Edit: >Neustart des PC, während des Neustarts die F8 Taste drücken.<
Folgende weiterhin fixen:
O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll
O4 - HKLM\..\Run: [qagpwowqxonho] C:\WINDOWS\System32\enmzlc.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
Deine wuamgrd... kommen über einen Wurm, der sich über wenig geschützte Netzwerkfreigaben verbreitet. Patch mal deinen Rechner oder schliess deine Ports (manuel oder per Firewall).
Beschäftige dich voher dringend damit, deine
Browser-Sicherheitseinstellungen anzupassen (ActiveX mal komplett sperren).
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Antwort 8 von Joe 60
Logfile of HijackThis v1.98.0
Scan saved at 09:32:25, on 22.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\outIook.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\xyz\Desktop\HijackThis.exe
C:\WINDOWS\msmg32.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = kicker.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.miosearch.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = tsv1860.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = tsv1860.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.sport1.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {14AF3156-BC13-2EC1-8726-12557BD02F67} - C:\WINDOWS\System32\wokgtwcg.dll (file missing)
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [OfficeAgent] C:\WINDOWS\outIook.exe /i
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINDOWS\shman.exe /i
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - Startup: AVWIN (2).lnk = C:\Programme\AVPersonal\AVWIN.EXE
O4 - Global Startup: Spybot - Search & Destroy.lnk = D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C881D2B-CB40-4814-849C-F33571A22352}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FA2CF96-2A67-4AB6-AF64-991F0F5B0C5A}: NameServer = 217.237.151.97 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{8329F7E1-4752-4B89-A351-80A0CC6D5AD1}: NameServer = 192.168.0.1
Scan saved at 09:32:25, on 22.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\outIook.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\xyz\Desktop\HijackThis.exe
C:\WINDOWS\msmg32.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = kicker.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.miosearch.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = tsv1860.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = tsv1860.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.sport1.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {14AF3156-BC13-2EC1-8726-12557BD02F67} - C:\WINDOWS\System32\wokgtwcg.dll (file missing)
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [OfficeAgent] C:\WINDOWS\outIook.exe /i
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINDOWS\shman.exe /i
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - Startup: AVWIN (2).lnk = C:\Programme\AVPersonal\AVWIN.EXE
O4 - Global Startup: Spybot - Search & Destroy.lnk = D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C881D2B-CB40-4814-849C-F33571A22352}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FA2CF96-2A67-4AB6-AF64-991F0F5B0C5A}: NameServer = 217.237.151.97 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{8329F7E1-4752-4B89-A351-80A0CC6D5AD1}: NameServer = 192.168.0.1
Antwort 9 von Mickey
Nichts für ungut, aber nur mit deinen Logfiles kommen wir hier nicht weiter.
Du postet nicht, was du unternommen hast, wie du gescannt hast, ob du deine Sicherheitseinstellungen angepasst hast oder die Ports abgedichtet. So machts wenig Spass.
Ein weiteres Beispiel:
(...)...C:\Programme\Internet Explorer\iexplore.exe...(...)
Edit: irgendwo sind mir in der Antwort 7 zwei Sätze nicht gespeichert worden:
1) Start - Ausführen - msconfig [ENTER] -< Systemstart (nicht mehr notwendig wenn du abgesichert bootest)
2) Schliesse deinen Browser beim Scannen.
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Du postet nicht, was du unternommen hast, wie du gescannt hast, ob du deine Sicherheitseinstellungen angepasst hast oder die Ports abgedichtet. So machts wenig Spass.
Ein weiteres Beispiel:
(...)...C:\Programme\Internet Explorer\iexplore.exe...(...)
Edit: irgendwo sind mir in der Antwort 7 zwei Sätze nicht gespeichert worden:
1) Start - Ausführen - msconfig [ENTER] -< Systemstart (nicht mehr notwendig wenn du abgesichert bootest)
2) Schliesse deinen Browser beim Scannen.
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Antwort 10 von Joe 60
Ich hab alles gemacht wie Ihr gesagt habt.
Hijack Files gelöscht, gesicherter Systemstart, danch gescannt, tatsächlich 1 Virus und 13 Spybot (Dateien?) gefunden und gelöscht.
Sicherheitseinstellungen wie angegeben geändert.
Jetzt bin ich wieder im normalen Modus
aktuelles File:
Logfile of HijackThis v1.98.0
Scan saved at 10:14:23, on 22.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\outIook.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\wuamgrd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\xyz\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = kicker.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://supportnet.de/discussion/messages.asp?adminrecno=40
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = tsv1860.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = tsv1860.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.sport1.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {14AF3156-BC13-2EC1-8726-12557BD02F67} - C:\WINDOWS\System32\wokgtwcg.dll (file missing)
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [OfficeAgent] C:\WINDOWS\outIook.exe /i
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINDOWS\shman.exe /i
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - Startup: AVWIN (2).lnk = C:\Programme\AVPersonal\AVWIN.EXE
O4 - Global Startup: Spybot - Search & Destroy.lnk = D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C881D2B-CB40-4814-849C-F33571A22352}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FA2CF96-2A67-4AB6-AF64-991F0F5B0C5A}: NameServer = 217.237.151.97 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{8329F7E1-4752-4B89-A351-80A0CC6D5AD1}: NameServer = 192.168.0.1
Hijack Files gelöscht, gesicherter Systemstart, danch gescannt, tatsächlich 1 Virus und 13 Spybot (Dateien?) gefunden und gelöscht.
Sicherheitseinstellungen wie angegeben geändert.
Jetzt bin ich wieder im normalen Modus
aktuelles File:
Logfile of HijackThis v1.98.0
Scan saved at 10:14:23, on 22.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\outIook.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\wuamgrd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\xyz\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = kicker.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://supportnet.de/discussion/messages.asp?adminrecno=40
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = tsv1860.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = tsv1860.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.sport1.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {14AF3156-BC13-2EC1-8726-12557BD02F67} - C:\WINDOWS\System32\wokgtwcg.dll (file missing)
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [OfficeAgent] C:\WINDOWS\outIook.exe /i
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINDOWS\shman.exe /i
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - Startup: AVWIN (2).lnk = C:\Programme\AVPersonal\AVWIN.EXE
O4 - Global Startup: Spybot - Search & Destroy.lnk = D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C881D2B-CB40-4814-849C-F33571A22352}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FA2CF96-2A67-4AB6-AF64-991F0F5B0C5A}: NameServer = 217.237.151.97 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{8329F7E1-4752-4B89-A351-80A0CC6D5AD1}: NameServer = 192.168.0.1
Antwort 11 von Mickey
1) Warum schliesst du deinen Browser nicht?
(...)...C:\Programme\Internet Explorer\iexplore.exe...(...)
2) Hast du deinen Rechner gepacht?
C:\WINDOWS\System32\wuamgrd.exe = MS03-039
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
(...)...C:\Programme\Internet Explorer\iexplore.exe...(...)
2) Hast du deinen Rechner gepacht?
C:\WINDOWS\System32\wuamgrd.exe = MS03-039
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Antwort 12 von uwei
Mach erst mal Windows Update wie angeraten und stell wenigstens die XP Firewall an.
Deine Sicherheit in den Internetoptionen kannst du auch mal auf "hoch" stellen.
Systemsteuerung/Netzwerkverbindungen/deine Verbindung/Eigenschaften/Erweitert/Häkchen rein bei Firewall.
Dann machst du alles noch mal im abgesicherten Modus(Virenprogramm, Spywareprogramm, Hijack This, alles vorher auf Updates prüfen) mit deaktivierter Systemwiederherstellung.
Du hast nach wie vor einen Virus, wie's ausschaut.
Deine Sicherheit in den Internetoptionen kannst du auch mal auf "hoch" stellen.
Systemsteuerung/Netzwerkverbindungen/deine Verbindung/Eigenschaften/Erweitert/Häkchen rein bei Firewall.
Dann machst du alles noch mal im abgesicherten Modus(Virenprogramm, Spywareprogramm, Hijack This, alles vorher auf Updates prüfen) mit deaktivierter Systemwiederherstellung.
Du hast nach wie vor einen Virus, wie's ausschaut.
Antwort 13 von Joe 60
Hab alles wie angegeben gemacht.
Bekomm dieses C:\WINDOWS\System32\wuamgrd.exe
nicht weg.
MfG
Joe
Bekomm dieses C:\WINDOWS\System32\wuamgrd.exe
nicht weg.
MfG
Joe
Antwort 14 von uwei
Poste doch nochmal dein aktuelles Logfile.
Antwort 15 von Joe 60
Hier nochmal ein Logfile, abgesicherter Modus, alles durchsucht, nix gefunden.
Logfile of HijackThis v1.98.0
Scan saved at 11:14:23, on 22.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\outIook.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\wuamgrd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\xyz\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = kicker.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = tsv1860.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = tsv1860.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.sport1.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {14AF3156-BC13-2EC1-8726-12557BD02F67} - C:\WINDOWS\System32\wokgtwcg.dll (file missing)
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [OfficeAgent] C:\WINDOWS\outIook.exe /i
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINDOWS\shman.exe /i
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - Startup: AVWIN (2).lnk = C:\Programme\AVPersonal\AVWIN.EXE
O4 - Global Startup: Spybot - Search & Destroy.lnk = D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C881D2B-CB40-4814-849C-F33571A22352}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{8329F7E1-4752-4B89-A351-80A0CC6D5AD1}: NameServer = 192.168.0.1
Logfile of HijackThis v1.98.0
Scan saved at 11:14:23, on 22.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\outIook.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\wuamgrd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\xyz\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = kicker.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = tsv1860.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = tsv1860.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.sport1.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {14AF3156-BC13-2EC1-8726-12557BD02F67} - C:\WINDOWS\System32\wokgtwcg.dll (file missing)
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [OfficeAgent] C:\WINDOWS\outIook.exe /i
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINDOWS\shman.exe /i
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - Startup: AVWIN (2).lnk = C:\Programme\AVPersonal\AVWIN.EXE
O4 - Global Startup: Spybot - Search & Destroy.lnk = D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C881D2B-CB40-4814-849C-F33571A22352}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{8329F7E1-4752-4B89-A351-80A0CC6D5AD1}: NameServer = 192.168.0.1
Antwort 16 von uwei
wuamgrd.exe:
Öffne den Taskmanager, schließe alle laufenden Anwendungen, beende den Prozeß wuamgrd.exe. Schließen, nochmal öffnen, kontrollieren, daß der Prozeß wirklich beendet ist, schließen.
Systemwiederherstellung deaktivieren(Arbeitsplatz/Eigenschaften/Systemwiederherstellung/Systemwiederherstellung auf allen Laufwerken deaktivieren.
Start/Ausführen/msconfig
Systemstart. Steht da wuamgrd.exe drin, Haken raus, sieh am besten bei Befehl nach.
Virenscan machen(Virenprogramm sollte auf dem neuesten Stand sein).
Start/Ausführen/regedit:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
Im rechten Fenster Microsoft Update = "wuamgrd.exe" löschen.
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Run
Im rechten Fenster Microsoft Update = "wuamgrd.exe" löschen.
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>RunOnce
Im rechten Fenster Microsoft Update = "wuamgrd.exe" löschen(wenn vorhanden).
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>RunServices
Im rechten Fenster Microsoft Update = "wuamgrd.exe" löschen.
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>RunOnce
Im rechten Fenster Microsoft Update = "wuamgrd.exe" löschen(wenn vorhanden).
Neustart.
Nochmal Logfile posten.
Hinweis:
Deine Version des Internet Explorer (6.00.2600.0000) ist veraltet. Besuche Windowsupdate um den Browser zu aktualisieren.
Neuste Version: 6.00.2800.1106!
Mach alle wichtigen Updates.
Hast du keine Firewall, nimm die von XP.
Prüfe deine Sicherheitseinstellungen(Antwort 7).
Mehr fällt mir jetzt auch nicht mehr dazu ein.
Öffne den Taskmanager, schließe alle laufenden Anwendungen, beende den Prozeß wuamgrd.exe. Schließen, nochmal öffnen, kontrollieren, daß der Prozeß wirklich beendet ist, schließen.
Systemwiederherstellung deaktivieren(Arbeitsplatz/Eigenschaften/Systemwiederherstellung/Systemwiederherstellung auf allen Laufwerken deaktivieren.
Start/Ausführen/msconfig
Systemstart. Steht da wuamgrd.exe drin, Haken raus, sieh am besten bei Befehl nach.
Virenscan machen(Virenprogramm sollte auf dem neuesten Stand sein).
Start/Ausführen/regedit:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
Im rechten Fenster Microsoft Update = "wuamgrd.exe" löschen.
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Run
Im rechten Fenster Microsoft Update = "wuamgrd.exe" löschen.
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>RunOnce
Im rechten Fenster Microsoft Update = "wuamgrd.exe" löschen(wenn vorhanden).
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>RunServices
Im rechten Fenster Microsoft Update = "wuamgrd.exe" löschen.
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>RunOnce
Im rechten Fenster Microsoft Update = "wuamgrd.exe" löschen(wenn vorhanden).
Neustart.
Nochmal Logfile posten.
Hinweis:
Deine Version des Internet Explorer (6.00.2600.0000) ist veraltet. Besuche Windowsupdate um den Browser zu aktualisieren.
Neuste Version: 6.00.2800.1106!
Mach alle wichtigen Updates.
Hast du keine Firewall, nimm die von XP.
Prüfe deine Sicherheitseinstellungen(Antwort 7).
Mehr fällt mir jetzt auch nicht mehr dazu ein.
Antwort 17 von Outlook.exe?
Seit wann gibts nen windows Prosess der Outlook.exe heißt?
Der Prozess von Outlook heißt msimn.exe
gruß
Sf
Der Prozess von Outlook heißt msimn.exe
gruß
Sf
Antwort 18 von Mickey
@Antwort 17:
msimn.exe = Microsoft Outlook Express
outlook.exe = Outlook der Office Familie
@uwei,
ich hab das Gefühl das wir uns mit msconfig, Systemwiederherstellung, abgesichertem Booten und löschen der Datei im Kreis drehen - all das wurde ja schon mehrfach erwähnt.
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
msimn.exe = Microsoft Outlook Express
outlook.exe = Outlook der Office Familie
@uwei,
ich hab das Gefühl das wir uns mit msconfig, Systemwiederherstellung, abgesichertem Booten und löschen der Datei im Kreis drehen - all das wurde ja schon mehrfach erwähnt.
Gruss,
Mic
Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©
Antwort 19 von uwei
Das habe ich nur der Vollständigkeit nochmal gemacht, um alles zusammenzufassen.
Kernpunkt meines Posts sind die Registryeinträge, hab ich denk ich, nichts davon gesehen(auch wenn sie eigentlich von Hijack This gefixt werden sollten).
Auch ist es ja nun leicht möglich, wenn ich mal nur von jedem was mache, das nichts bei rauskommt.
Ich bin auch soweit fertig(siehe letzter Satz), wenn alles der Reihe nach keinen Erfolg bringt(warum auch immer).
Kernpunkt meines Posts sind die Registryeinträge, hab ich denk ich, nichts davon gesehen(auch wenn sie eigentlich von Hijack This gefixt werden sollten).
Auch ist es ja nun leicht möglich, wenn ich mal nur von jedem was mache, das nichts bei rauskommt.
Ich bin auch soweit fertig(siehe letzter Satz), wenn alles der Reihe nach keinen Erfolg bringt(warum auch immer).
Antwort 20 von S.A.
Der I-Net Explorer is der ...... [ZENS] dasselbe Problem bei mir auch und hab am Ende keine andere Möglichkeit gesehen als Windows neu zu installieren.
Und der größte Witz is, das Problem hier is schon mind 1 monat bekannt und es gibt noch immer keinen Patch von Microsoft.
Und die ganzen Virenscanner erkennen diese sachen auch net zu 100%.
bzw. enkannt werden die schon aber nach nem neustart sind se wieder da.......
und von den AntiViren Firmen is auch noch nix in sicht.
Ich überleg grad auf nen anderen Browser umzusteigen damit ich diese Art von Problemen
hoffentlich nie wieder hab.
Sowas hartnäckiges wie diese ........ hijacker hab ich bis jetzt noch net erlebt.
gruß
SA
PS:Entwerder Windows neuinstallieren oder die registry neuschreiben :)
Und der größte Witz is, das Problem hier is schon mind 1 monat bekannt und es gibt noch immer keinen Patch von Microsoft.
Und die ganzen Virenscanner erkennen diese sachen auch net zu 100%.
bzw. enkannt werden die schon aber nach nem neustart sind se wieder da.......
und von den AntiViren Firmen is auch noch nix in sicht.
Ich überleg grad auf nen anderen Browser umzusteigen damit ich diese Art von Problemen
hoffentlich nie wieder hab.
Sowas hartnäckiges wie diese ........ hijacker hab ich bis jetzt noch net erlebt.
gruß
SA
PS:Entwerder Windows neuinstallieren oder die registry neuschreiben :)
Antwort 21 von S.A.
Kann nur jedem empfehlen sich ein Imageprogramm zuzulegen.
z.B. Acronis True Image
Egal was du dir eingefangen hast...... nach 30 min hast du dein altes Windows wieder :)
gruß
z.B. Acronis True Image
Egal was du dir eingefangen hast...... nach 30 min hast du dein altes Windows wieder :)
gruß
Antwort 22 von Joe 60
Habe jetzt alles gemacht was Ihr geschrieben habt.
Bis jetzt bin ich sogar von dem Hotxxx Dialer und Miosearch verschont geblieben, hoffe es bleibt so.
Kann leider mein XP nicht updaten, die Version auf meinem Rechner ist nämlich nicht org..., oder kann man da was machen?
Was haltet Ihr von meinem aktuellen Logfile?
MfG
Joe
PS: TAUSEND DANK AN EUCH ALLE!!!!!!!!!!!
Logfile of HijackThis v1.98.0
Scan saved at 18:50:21, on 22.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\xyz\Desktop\HijackThis.exe
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - Startup: AVWIN (2).lnk = C:\Programme\AVPersonal\AVWIN.EXE
O4 - Global Startup: Spybot - Search & Destroy.lnk = D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C881D2B-CB40-4814-849C-F33571A22352}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FA2CF96-2A67-4AB6-AF64-991F0F5B0C5A}: NameServer = 217.237.151.97 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{8329F7E1-4752-4B89-A351-80A0CC6D5AD1}: NameServer = 192.168.0.1
Bis jetzt bin ich sogar von dem Hotxxx Dialer und Miosearch verschont geblieben, hoffe es bleibt so.
Kann leider mein XP nicht updaten, die Version auf meinem Rechner ist nämlich nicht org..., oder kann man da was machen?
Was haltet Ihr von meinem aktuellen Logfile?
MfG
Joe
PS: TAUSEND DANK AN EUCH ALLE!!!!!!!!!!!
Logfile of HijackThis v1.98.0
Scan saved at 18:50:21, on 22.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\xyz\Desktop\HijackThis.exe
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - Startup: AVWIN (2).lnk = C:\Programme\AVPersonal\AVWIN.EXE
O4 - Global Startup: Spybot - Search & Destroy.lnk = D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C881D2B-CB40-4814-849C-F33571A22352}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FA2CF96-2A67-4AB6-AF64-991F0F5B0C5A}: NameServer = 217.237.151.97 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{8329F7E1-4752-4B89-A351-80A0CC6D5AD1}: NameServer = 192.168.0.1
Antwort 23 von uwei
Alles o.k.
Ein unbekanntes Programm, AV Personal/avwin, wird wohl dein Virenprogramm sein(AntiVir).
Was das Update betrifft, kann dir hier nicht geholfen werden ohne org... .
Ein unbekanntes Programm, AV Personal/avwin, wird wohl dein Virenprogramm sein(AntiVir).
Was das Update betrifft, kann dir hier nicht geholfen werden ohne org... .