Supportnet Computer
Planet of Tech

Supportnet / Forum / WindowsXP

Hijack File - Dialer - Bitte helfen !





Frage

Hallo Könnt Ihr mir bitte helfen? Habe anscheinend 2 Dialer auf meinem Rechner. Kann von keinem Programm gefunden werden. Könnt Ihr mir bitte helfen, Logfile ist aktuell MfG Joe Logfile of HijackThis v1.98.0 Scan saved at 21:16:23, on 21.07.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RunDll32.exe C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\System32\enmzlc.exe C:\WINDOWS\System32\wuamgrd.exe C:\WINDOWS\System32\winsystem.exe C:\WINDOWS\System32\winmx.exe C:\WINDOWS\System32\winsyst32.exe C:\WINDOWS\outIook.exe C:\WINDOWS\System32\msssss.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\xyz\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = kicker.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = tsv1860.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = tsv1860.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.sport1.de/ F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file) O2 - BHO: (no name) - {14AF3156-BC13-2EC1-8726-12557BD02F67} - C:\WINDOWS\System32\wokgtwcg.dll (file missing) O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {8085E374-ACBB-42F9-873F-49EC7E244F97} - C:\WINDOWS\System32\fiuuae.dll (file missing) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [efkybetlf] C:\WINDOWS\System32\enmzlc.exe O4 - HKLM\..\Run: [Microsoft Java Windows Update] msssss.exe O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe O4 - HKLM\..\Run: [Windows System Manager] winsystem.exe O4 - HKLM\..\Run: [Microsoft CONFIG] winmx.exe O4 - HKLM\..\Run: [Microsoft IT Update] winsyst32.exe O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINDOWS\shman.exe /i O4 - HKLM\..\Run: [OfficeAgent] C:\WINDOWS\outIook.exe /i O4 - HKLM\..\RunServices: [Microsoft Java Windows Update] msssss.exe O4 - HKLM\..\RunServices: [Windows Registers] winservicess.exe O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe O4 - HKLM\..\RunServices: [Windows System Manager] winsystem.exe O4 - HKLM\..\RunServices: [Microsoft CONFIG] winmx.exe O4 - HKLM\..\RunServices: [Microsoft IT Update] winsyst32.exe O4 - HKCU\..\Run: [C:\WINDOWS\System32\ikituba.dll] C:\WINDOWS\System32\ikituba.dll /c del >nul O4 - HKCU\..\Run: [Rcus] C:\Dokumente und Einstellungen\xyz\Anwendungsdaten\lsmi.exe O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe O4 - HKCU\..\Run: [Microsoft Java Windows Update] msssss.exe O4 - HKCU\..\Run: [Windows System Manager] winsystem.exe O4 - HKCU\..\Run: [Microsoft CONFIG] winmx.exe O4 - HKCU\..\Run: [Microsoft IT Update] winsyst32.exe O4 - HKCU\..\Run: [Windows Registers] winservicess.exe O4 - Startup: AVWIN (2).lnk = C:\Programme\AVPersonal\AVWIN.EXE O4 - Global Startup: Spybot - Search & Destroy.lnk = D:\Programme\Spybot - Search & Destroy\SpybotSD.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4C881D2B-CB40-4814-849C-F33571A22352}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{8329F7E1-4752-4B89-A351-80A0CC6D5AD1}: NameServer = 192.168.0.1

Antwort 1 von Mickey

Da hast du ne Menge - von Hijackern zu Viren und Unbekanntem.
Prüf die jeweiligen dateieigenschaften und scan dein System auch mit einem Antivirus Programm. Deaktiviere vor dem Scannen die Systemwiederherstellung und scanne im abgesicherten Modus. Lass die Scanner ein paar mal laufen. Recherchiere auch mit den Dateiendungen selber mal bei einer Suchmaschine falls du dir unsicher bist (siehe den letzten Punkt MediaTicketsInstaller.cab

C:\WINDOWS\System32)\enmzlc.exe
C:\WINDOWS\System32\wuamgrd.exe
C:\WINDOWS\System32\winsystem.exe
C:\WINDOWS\System32\winmx.exe
C:\WINDOWS\System32\winsyst32.exe
C:\WINDOWS\System32\msssss.exe

O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42}
O2 - BHO: (no name) - {8085E374-ACBB-42F9-873F-49EC7E244F97} - C:\WINDOWS\System32\fiuuae.dll
O4 - HKLM\..\Run: [efkybetlf] C:\WINDOWS\System32\enmzlc.exe
O4 - HKLM\..\Run: [Microsoft Java Windows Update] msssss.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [Windows System Manager] winsystem.exe
O4 - HKLM\..\Run: [Microsoft CONFIG] winmx.exe
O4 - HKLM\..\Run: [Microsoft IT Update] winsyst32.exe
O4 - HKLM\..\RunServices: [Microsoft Java Windows Update] msssss.exe
O4 - HKLM\..\RunServices: [Windows Registers] winservicess.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Windows System Manager] winsystem.exe
O4 - HKLM\..\RunServices: [Microsoft CONFIG] winmx.exe
O4 - HKLM\..\RunServices: [Microsoft IT Update] winsyst32.exe
O4 - HKCU\..\Run: [C:\WINDOWS\System32\ikituba.dll] C:\WINDOWS\System32\ikituba.dll /c del >nul
O4 - HKCU\..\Run: [Rcus] C:\Dokumente und Einstellungen\xyz\Anwendungsdaten\lsmi.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Java Windows Update] msssss.exe
O4 - HKCU\..\Run: [Windows System Manager] winsystem.exe
O4 - HKCU\..\Run: [Microsoft CONFIG] winmx.exe
O4 - HKCU\..\Run: [Microsoft IT Update] winsyst32.exe
O4 - HKCU\..\Run: [Windows Registers] winservicess.exe
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

Gruss,
Mic

Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©

Antwort 2 von Joe 60

Hallo Mickey

Kann im abgesicherten Modus nicht starten. Bildschirm bleibt schwarz.

Soll ich alles löschen was bei Deiner Antwort steht?

Vielen Dank

PS: Hab sämtliche Antivirenprogramme ausprobiert, Spybot, Spyware etc.

Joe

Antwort 3 von Mickey

Ja. Prüf vorher unter msconfig was du im Systemstart hast - da beenden. Dann fixen und noch manuell suchen. Nochmals scannen und wie gesagt auch ein Anti-Virenproggie laufen lassen. Denk auch an die Sys.wiederherstellung.

Gruss,
Mic

Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©

Antwort 4 von Roland

Hi,

erst mal die Systemwiederherstellung ausschalten.
Dann im Abgesicherten Modus starten.

Einfach mal länger warten, vielleicht dauert es nur etwas bis der Rechner im abgesicherten Modus startet.
Ich habe bis jetzt noch keinen Rechner gesehen der normal hochfährt und im abges.Modus nicht.

Antwort 5 von Joe 60

Vielen Dank für Eure schnelle Hilfe,
bin leider ein Laie und kenn mich nicht so gut aus.


Systemwiederherstellung ausschalten???
Dann im Abgesicherten Modus starten???

Muß ich da den Computer ausschalten und beim Neustart F8 Taste,stimmt das so?

Prüf vorher unter msconfig was du im Systemstart hast ?????

Tas Manager oder wie geht das????

Sorry, aber ich bin leider nicht so ein Experte wie Ihr.

Schönen Tag

Joe

Antwort 6 von Joe 60

Aktuelles Hijack File

Logfile of HijackThis v1.98.0
Scan saved at 08:33:40, on 22.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\outIook.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\xyz\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = kicker.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.miosearch.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = tsv1860.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = tsv1860.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.sport1.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll
O2 - BHO: (no name) - {14AF3156-BC13-2EC1-8726-12557BD02F67} - C:\WINDOWS\System32\wokgtwcg.dll (file missing)
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINDOWS\shman.exe /i
O4 - HKLM\..\Run: [OfficeAgent] C:\WINDOWS\outIook.exe /i
O4 - HKLM\..\Run: [qagpwowqxonho] C:\WINDOWS\System32\enmzlc.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - Startup: AVWIN (2).lnk = C:\Programme\AVPersonal\AVWIN.EXE
O4 - Global Startup: Spybot - Search & Destroy.lnk = D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C881D2B-CB40-4814-849C-F33571A22352}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FA2CF96-2A67-4AB6-AF64-991F0F5B0C5A}: NameServer = 217.237.151.97 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{8329F7E1-4752-4B89-A351-80A0CC6D5AD1}: NameServer = 192.168.0.1



Antwort 7 von Mickey

Deaktiviere diese in der Systemsteuerung unter "System" - Registerkarte "Systemwiederherstellung" - "Systemwiederherstellung auf allen Laufwerken deaktivieren", neu booten.
Abgesichert würde wie folgt aussehen:
Edit: >Neustart des PC, während des Neustarts die F8 Taste drücken.<

Folgende weiterhin fixen:
O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll
O4 - HKLM\..\Run: [qagpwowqxonho] C:\WINDOWS\System32\enmzlc.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx

Deine wuamgrd... kommen über einen Wurm, der sich über wenig geschützte Netzwerkfreigaben verbreitet. Patch mal deinen Rechner oder schliess deine Ports (manuel oder per Firewall).

Beschäftige dich voher dringend damit, deine
Browser-Sicherheitseinstellungen anzupassen (ActiveX mal komplett sperren).

Gruss,
Mic

Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©

Antwort 8 von Joe 60

Logfile of HijackThis v1.98.0
Scan saved at 09:32:25, on 22.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\outIook.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\xyz\Desktop\HijackThis.exe
C:\WINDOWS\msmg32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = kicker.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.miosearch.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = tsv1860.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = tsv1860.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.sport1.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {14AF3156-BC13-2EC1-8726-12557BD02F67} - C:\WINDOWS\System32\wokgtwcg.dll (file missing)
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [OfficeAgent] C:\WINDOWS\outIook.exe /i
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINDOWS\shman.exe /i
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - Startup: AVWIN (2).lnk = C:\Programme\AVPersonal\AVWIN.EXE
O4 - Global Startup: Spybot - Search & Destroy.lnk = D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C881D2B-CB40-4814-849C-F33571A22352}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FA2CF96-2A67-4AB6-AF64-991F0F5B0C5A}: NameServer = 217.237.151.97 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{8329F7E1-4752-4B89-A351-80A0CC6D5AD1}: NameServer = 192.168.0.1



Antwort 9 von Mickey

Nichts für ungut, aber nur mit deinen Logfiles kommen wir hier nicht weiter.
Du postet nicht, was du unternommen hast, wie du gescannt hast, ob du deine Sicherheitseinstellungen angepasst hast oder die Ports abgedichtet. So machts wenig Spass.
Ein weiteres Beispiel:
(...)...C:\Programme\Internet Explorer\iexplore.exe...(...)

Edit: irgendwo sind mir in der Antwort 7 zwei Sätze nicht gespeichert worden:
1) Start - Ausführen - msconfig [ENTER] -< Systemstart (nicht mehr notwendig wenn du abgesichert bootest)
2) Schliesse deinen Browser beim Scannen.

Gruss,
Mic

Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©

Antwort 10 von Joe 60

Ich hab alles gemacht wie Ihr gesagt habt.

Hijack Files gelöscht, gesicherter Systemstart, danch gescannt, tatsächlich 1 Virus und 13 Spybot (Dateien?) gefunden und gelöscht.

Sicherheitseinstellungen wie angegeben geändert.

Jetzt bin ich wieder im normalen Modus

aktuelles File:

Logfile of HijackThis v1.98.0
Scan saved at 10:14:23, on 22.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\outIook.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\wuamgrd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\xyz\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = kicker.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://supportnet.de/discussion/messages.asp?adminrecno=40
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = tsv1860.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = tsv1860.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.sport1.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {14AF3156-BC13-2EC1-8726-12557BD02F67} - C:\WINDOWS\System32\wokgtwcg.dll (file missing)
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [OfficeAgent] C:\WINDOWS\outIook.exe /i
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINDOWS\shman.exe /i
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - Startup: AVWIN (2).lnk = C:\Programme\AVPersonal\AVWIN.EXE
O4 - Global Startup: Spybot - Search & Destroy.lnk = D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C881D2B-CB40-4814-849C-F33571A22352}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FA2CF96-2A67-4AB6-AF64-991F0F5B0C5A}: NameServer = 217.237.151.97 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{8329F7E1-4752-4B89-A351-80A0CC6D5AD1}: NameServer = 192.168.0.1



Antwort 11 von Mickey

1) Warum schliesst du deinen Browser nicht?
(...)...C:\Programme\Internet Explorer\iexplore.exe...(...)

2) Hast du deinen Rechner gepacht?
C:\WINDOWS\System32\wuamgrd.exe = MS03-039

Gruss,
Mic

Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©

Antwort 12 von uwei

Mach erst mal Windows Update wie angeraten und stell wenigstens die XP Firewall an.
Deine Sicherheit in den Internetoptionen kannst du auch mal auf "hoch" stellen.

Systemsteuerung/Netzwerkverbindungen/deine Verbindung/Eigenschaften/Erweitert/Häkchen rein bei Firewall.

Dann machst du alles noch mal im abgesicherten Modus(Virenprogramm, Spywareprogramm, Hijack This, alles vorher auf Updates prüfen) mit deaktivierter Systemwiederherstellung.

Du hast nach wie vor einen Virus, wie's ausschaut.

Antwort 13 von Joe 60

Hab alles wie angegeben gemacht.

Bekomm dieses C:\WINDOWS\System32\wuamgrd.exe
nicht weg.

MfG

Joe


Antwort 14 von uwei

Poste doch nochmal dein aktuelles Logfile.

Antwort 15 von Joe 60

Hier nochmal ein Logfile, abgesicherter Modus, alles durchsucht, nix gefunden.



Logfile of HijackThis v1.98.0
Scan saved at 11:14:23, on 22.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\outIook.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\wuamgrd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\xyz\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = kicker.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = tsv1860.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = tsv1860.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.sport1.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {14AF3156-BC13-2EC1-8726-12557BD02F67} - C:\WINDOWS\System32\wokgtwcg.dll (file missing)
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [OfficeAgent] C:\WINDOWS\outIook.exe /i
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINDOWS\shman.exe /i
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe
O4 - Startup: AVWIN (2).lnk = C:\Programme\AVPersonal\AVWIN.EXE
O4 - Global Startup: Spybot - Search & Destroy.lnk = D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C881D2B-CB40-4814-849C-F33571A22352}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{8329F7E1-4752-4B89-A351-80A0CC6D5AD1}: NameServer = 192.168.0.1


Antwort 16 von uwei

wuamgrd.exe:

Öffne den Taskmanager, schließe alle laufenden Anwendungen, beende den Prozeß wuamgrd.exe. Schließen, nochmal öffnen, kontrollieren, daß der Prozeß wirklich beendet ist, schließen.

Systemwiederherstellung deaktivieren(Arbeitsplatz/Eigenschaften/Systemwiederherstellung/Systemwiederherstellung auf allen Laufwerken deaktivieren.

Start/Ausführen/msconfig
Systemstart. Steht da wuamgrd.exe drin, Haken raus, sieh am besten bei Befehl nach.

Virenscan machen(Virenprogramm sollte auf dem neuesten Stand sein).

Start/Ausführen/regedit:

HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
Im rechten Fenster Microsoft Update = "wuamgrd.exe" löschen.

HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Run
Im rechten Fenster Microsoft Update = "wuamgrd.exe" löschen.

HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>RunOnce
Im rechten Fenster Microsoft Update = "wuamgrd.exe" löschen(wenn vorhanden).

HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>RunServices
Im rechten Fenster Microsoft Update = "wuamgrd.exe" löschen.

HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>RunOnce
Im rechten Fenster Microsoft Update = "wuamgrd.exe" löschen(wenn vorhanden).

Neustart.

Nochmal Logfile posten.

Hinweis:
Deine Version des Internet Explorer (6.00.2600.0000) ist veraltet. Besuche Windowsupdate um den Browser zu aktualisieren.
Neuste Version: 6.00.2800.1106!

Mach alle wichtigen Updates.

Hast du keine Firewall, nimm die von XP.

Prüfe deine Sicherheitseinstellungen(Antwort 7).


Mehr fällt mir jetzt auch nicht mehr dazu ein.




Antwort 17 von Outlook.exe?

Seit wann gibts nen windows Prosess der Outlook.exe heißt?


Der Prozess von Outlook heißt msimn.exe



gruß


Sf

Antwort 18 von Mickey

@Antwort 17:
msimn.exe = Microsoft Outlook Express
outlook.exe = Outlook der Office Familie

@uwei,
ich hab das Gefühl das wir uns mit msconfig, Systemwiederherstellung, abgesichertem Booten und löschen der Datei im Kreis drehen - all das wurde ja schon mehrfach erwähnt.

Gruss,
Mic

Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©

Antwort 19 von uwei

Das habe ich nur der Vollständigkeit nochmal gemacht, um alles zusammenzufassen.

Kernpunkt meines Posts sind die Registryeinträge, hab ich denk ich, nichts davon gesehen(auch wenn sie eigentlich von Hijack This gefixt werden sollten).

Auch ist es ja nun leicht möglich, wenn ich mal nur von jedem was mache, das nichts bei rauskommt.

Ich bin auch soweit fertig(siehe letzter Satz), wenn alles der Reihe nach keinen Erfolg bringt(warum auch immer).



Antwort 20 von S.A.

Der I-Net Explorer is der ...... [ZENS] dasselbe Problem bei mir auch und hab am Ende keine andere Möglichkeit gesehen als Windows neu zu installieren.

Und der größte Witz is, das Problem hier is schon mind 1 monat bekannt und es gibt noch immer keinen Patch von Microsoft.


Und die ganzen Virenscanner erkennen diese sachen auch net zu 100%.
bzw. enkannt werden die schon aber nach nem neustart sind se wieder da.......

und von den AntiViren Firmen is auch noch nix in sicht.

Ich überleg grad auf nen anderen Browser umzusteigen damit ich diese Art von Problemen
hoffentlich nie wieder hab.

Sowas hartnäckiges wie diese ........ hijacker hab ich bis jetzt noch net erlebt.


gruß

SA


PS:Entwerder Windows neuinstallieren oder die registry neuschreiben :)

Antwort 21 von S.A.

Kann nur jedem empfehlen sich ein Imageprogramm zuzulegen.

z.B. Acronis True Image


Egal was du dir eingefangen hast...... nach 30 min hast du dein altes Windows wieder :)


gruß

Antwort 22 von Joe 60

Habe jetzt alles gemacht was Ihr geschrieben habt.
Bis jetzt bin ich sogar von dem Hotxxx Dialer und Miosearch verschont geblieben, hoffe es bleibt so.
Kann leider mein XP nicht updaten, die Version auf meinem Rechner ist nämlich nicht org..., oder kann man da was machen?

Was haltet Ihr von meinem aktuellen Logfile?

MfG

Joe

PS: TAUSEND DANK AN EUCH ALLE!!!!!!!!!!!



Logfile of HijackThis v1.98.0
Scan saved at 18:50:21, on 22.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\xyz\Desktop\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - Startup: AVWIN (2).lnk = C:\Programme\AVPersonal\AVWIN.EXE
O4 - Global Startup: Spybot - Search & Destroy.lnk = D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C881D2B-CB40-4814-849C-F33571A22352}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FA2CF96-2A67-4AB6-AF64-991F0F5B0C5A}: NameServer = 217.237.151.97 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{8329F7E1-4752-4B89-A351-80A0CC6D5AD1}: NameServer = 192.168.0.1



Antwort 23 von uwei

Alles o.k.

Ein unbekanntes Programm, AV Personal/avwin, wird wohl dein Virenprogramm sein(AntiVir).

Was das Update betrifft, kann dir hier nicht geholfen werden ohne org... .

Ich möchte kostenlos eine Frage an die Mitglieder stellen:


Ähnliche Themen:


Suche in allen vorhandenen Beiträgen: