Bin ich meine Trojaner usw. los ?

nicolebw · 26.10.2005

hi.

hatte einige dialer ungewollt auf meinem rechner gehabt. wollte nun wissen ob ich wirklich alles losgeworden bin. kann auch nochmal nachschauen welche trojaner dafür verantwortlich waren.
wurde während ich im internet war, einfach auf irgendwelche sexseites geschickt oder wollte sich ein dialer einfach einwählen. das ist nun aber vorbei. das einzige was jetzt noch passiert ist, dass ich auf websearch lande, wenn ich eine seite eingetippt habe oder dass der laptop, wenn ich online bin, durch einen klick auf arbeitsplatz mit dem internet verbinden will. wie bekomme ich den müll runter? habe schon cwshredder versucht.
wie bekomme ich ausserdem mein administrator kennwort raus, wenn ich es gar nicht mehr kenne, mich aber auch nicht erinnere, dass ich einen eingetippt habe, weil ich eigentlich immer drei gleiche kennwörter verwende?
hier aber erstmal meine hijackthis logfile. ist da alles sauber?

Logfile of HijackThis v1.99.1
Scan saved at 20:06:51, on 26.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\0190 warner\w0svc.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Special\Special.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realevent.exe
c:\programme\special\WsRasMon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Nicole\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0B46B130-C457-4CD9-872B-6B2F96DFBE95} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {14BD7584-D4B1-44C5-9DE1-B1CDCDE64EC0} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {65E92D5C-D0AB-44A9-9766-C0B6F502A37B} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {8A84A826-08B4-4072-9CA2-3EB5D4821AD3} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {A70A3FD5-3793-4833-9C83-AF038EAEED21} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {ACCCDA00-2AF7-458C-8610-61EFAF144284} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {D7E398F2-6DD8-410D-BA53-4E7268235D2F} - C:\Programme\t20w7z6x\t20w7z6x.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\WINDOWS\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-611111193457} - file://c:\wx.cab
O16 - DPF: {11111111-1111-1111-1111-611111193458} - file://c:\wx.cab
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130243002577
O17 - HKLM\System\CCS\Services\Tcpip\..\{B44DF5E4-3C9C-4211-BC05-4D496C702DC8}: NameServer = 62.104.191.241 62.104.196.134
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - c:\programme\0190 warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe

ps: bin laie. kenn mich nicht so gut mit pcs aus. wenn ich etwas machen soll, bitte genau hinschreiben wie und wo ich es machen soll.
habe antivir, lavasoft ad aware und spybot: search & destroy auf meinem pc.
wenn ihr mehr informationen braucht, fragt mich einfach.
habe auch schonmal alle running processes aus dem taskmanager übers internet gesucht und keine datei scheinte verdächtig zu sein.
auch unter regedit: hkey_local_machine\software\microsoft\windows\currentversion\run scheint nix auffälliges zu sein.

danke schonmal

nicole

PCDpan_fee · 26.10.2005

nicolebw schrieb:
O2 - BHO: (no name) - {0B46B130-C457-4CD9-872B-6B2F96DFBE95} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {14BD7584-D4B1-44C5-9DE1-B1CDCDE64EC0} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {65E92D5C-D0AB-44A9-9766-C0B6F502A37B} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {8A84A826-08B4-4072-9CA2-3EB5D4821AD3} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {A70A3FD5-3793-4833-9C83-AF038EAEED21} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {ACCCDA00-2AF7-458C-8610-61EFAF144284} - C:\Programme\t20w7z6x\t20w7z6x.dll
O2 - BHO: (no name) - {D7E398F2-6DD8-410D-BA53-4E7268235D2F} - C:\Programme\t20w7z6x\t20w7z6x.dll

sehr suspekt - im abgesicherten Modus [F8] löschen

O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\msexploren.exe /i

hier ist der Trojaner
http://www.wintotal.de/Spyware/index.php?Filter=M#Spyware2044

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-611111193457} - file://c:\wx.cab
O16 - DPF: {11111111-1111-1111-1111-611111193458} - file://c:\wx.cab
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

auch mal den Downloaded Program Files Ordner entmisten

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)

dies hier noch mit HijackThis fixen

Hier deine Auswertung:
http://www.hijackthis.de/logfiles/c5722da940d0718146f9869aa721da67.html

pan_fee

nicolebw · 26.10.2005

hi.

erstmal danke für die schnelle antwort.

werde morgen gleich

1. C:\Programme\t20w7z6x\t20w7z6x.dll
im abgesicherten Modus [F8] löschen. den kompletten ordner.

2. O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\msexploren.exe /i
mit hilfe folgender seite loswerden: http://www.wintotal.de/Spyware/index.php?Filter=M#Spyware2044

3. Downloaded Program Files Ordner entmisten, also komplett entleeren, wenn ich ihn finde...

4. O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
mit HijackThis fixen

5. C:\WINDOWS\System32\alg.exe
Überflüssiger Windows-Dienst, wenn Sie ICS nicht benutzen!

loswerden, wenn ich wüsste ob ich ihn brauche oder nicht....hier nochmal HILFE bitte

6. O2 - BHO: (no name) - SOFTWARE - (no file)
Unnötig - Nicht bekanntes Programm.
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!

loswerden, wenn ich wüsste wie, also auch hier nochmal HILFE bitte

7. O4 - Global Startup: PowerPanel.lnk = ?
Nicht bekanntes Programm.
Der Eintrag ist unnötig und kann entfernt werden!

oder brauche ich den, um zu sehen wie lange mein akku noch hält (da ich ja einen laptop benutze)
loswerden, wenn ich wüsste wie, also auch hier nochmal HILFE bitte

8. O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\WINDOWS\MICROS~1\Office10\EXCEL.EXE/3000
Wenn der Eintrag->Nach Microsoft &Excel exportieren-> nicht mehr benötigt wird, sollte er trotzdem gefixt werden.

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
Wenn der Eintrag->' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.

O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
Wenn der Eintrag->Sun Java Konsole-> nicht mehr benötigt wird, sollte er trotzdem gefixt werden.

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
Wenn der Eintrag->Messenger-> nicht mehr benötigt wird, sollte er trotzdem gefixt werden.

O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
Wenn der Eintrag->Windows Messenger-> nicht mehr benötigt wird, sollte er trotzdem gefixt werden.

werden, glaube ich, nicht mehr benötigt, oder? HILFE auch hier, bitte. woher weiss ich, ob ich das alles noch brauche, und wie werde ich es los?

9. O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
Wenn hier aufgeführte Internet-Seiten nicht wissentlich unter->Vertrauenswürdige Seiten' hinzugefügt wurden, sollten diese mit HijackThis gefixt werden.

diese seiten habe ich soweiso noch nie besucht. ich kann sie doch auch besuchen, wenn sie hier erst gar nicht auftauchen, oder? darf ich das auch loswerden, wenn ja, wie? Bitte auch hier HELFEN

10. O17 - HKLM\System\CCS\Services\Tcpip\..\{B44DF5E4-3C9C-4211-BC05-4D496C702DC8}: NameServer = 62.104.191.241 62.104.196.134
Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die->SearchList'-Einträge (Suchlisten-Einträge).
Die Eingegebene IP oder Domäne->62.104.191.241 62.104.196.134' wurde als gut identifiziert.

muss ich hier noch etwas ändern? woher weiss ich ob die seite zum isp gehört? HILFE, bitte

11. eine neue hijackthis logfile machen und hier posten

danke schonmal. und tschuldigung, dass ich soviele fragen habe und auch sonst viel geschrieben habe

gruss nicole

PCDpan_fee · 27.10.2005

nicolebw schrieb:
1. C:\Programme\t20w7z6x\t20w7z6x.dll
im abgesicherten Modus [F8] löschen. den kompletten ordner.

genau

2. O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\msexploren.exe /i
mit hilfe folgender seite loswerden: http://www.wintotal.de/Spyware/index.php?Filter=M#Spyware2044

lösche msexploren.exe im Windows-Verzeichnis im abgesicherten Modus, schau auch in die Registry (Start/Ausführen/regedit) unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run nach, ob hier auch die msexploren.exe drin ist. Wenn ja, löschen.
Autostarteinträge finden:
http://www.wintotal.de/Tipps/Eintrag.php?TID=233

3. Downloaded Program Files Ordner entmisten, also komplett entleeren, wenn ich ihn finde...

Der Ordner ist unter C:\Windows zu finden (C:\Windows\Downloaded Program Files).

4. O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
mit HijackThis fixen

HijackThis löscht durch das Fixen (Button Fix checked) den Registry-Eintrag SystemCheck2 unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad.

5. C:\WINDOWS\System32\alg.exe
Überflüssiger Windows-Dienst, wenn Sie ICS nicht benutzen!
loswerden, wenn ich wüsste ob ich ihn brauche oder nicht....hier nochmal HILFE bitte

Finger weg, ist eine Systemdatei: http://www.wintotal.de/Spyware/index.php?Filter=A#Spyware164

6. O2 - BHO: (no name) - SOFTWARE - (no file)
Unnötig - Nicht bekanntes Programm.
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!

loswerden, wenn ich wüsste wie, also auch hier nochmal HILFE bitte

das sind BHO-Programmerweiterungen (Browser Helper Objects), die sich im Internet-Explorer Menü Extras breit machen.

7. O4 - Global Startup: PowerPanel.lnk = ?
Nicht bekanntes Programm.
Der Eintrag ist unnötig und kann entfernt werden!

oder brauche ich den, um zu sehen wie lange mein akku noch hält (da ich ja einen laptop benutze)
loswerden, wenn ich wüsste wie, also auch hier nochmal HILFE bitte

genau, hier würde ich mal gar nichts machen.

8. O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\WINDOWS\MICROS~1\Office10\EXCEL.EXE/3000
Wenn der Eintrag->Nach Microsoft &Excel exportieren-> nicht mehr benötigt wird, sollte er trotzdem gefixt werden.

naja, der Eintrag ist von Excel (Office 2002) und harmlos.

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
Wenn der Eintrag->' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.

gehört zu Sun Java: http://www.wintotal.de/softw/?id=1522
würde da mal nichts machen.

O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
Wenn der Eintrag->Sun Java Konsole-> nicht mehr benötigt wird, sollte er trotzdem gefixt werden.

wenn du SUN Java noch installiert hast, belasse es einfach so.

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
Wenn der Eintrag->Messenger-> nicht mehr benötigt wird, sollte er trotzdem gefixt werden.

Windows Messenger - belasse das so.

O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
Wenn der Eintrag->Windows Messenger-> nicht mehr benötigt wird, sollte er trotzdem gefixt werden. werden, glaube ich, nicht mehr benötigt, oder? HILFE auch hier, bitte. woher weiss ich, ob ich das alles noch brauche, und wie werde ich es los?

siehe oben

9. O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
Wenn hier aufgeführte Internet-Seiten nicht wissentlich unter->Vertrauenswürdige Seiten' hinzugefügt wurden, sollten diese mit HijackThis gefixt werden.

diese seiten habe ich soweiso noch nie besucht. ich kann sie doch auch besuchen, wenn sie hier erst gar nicht auftauchen, oder? darf ich das auch loswerden, wenn ja, wie? Bitte auch hier HELFEN

Vertrauenswürdige Sites zu finden im Internet-Explorer - Extras - Internetoptionen - Sicherheit - Vertrauenswürdige Sites - »Sites«. Die Einträge sind von Sony und harmlos.

10. O17 - HKLM\System\CCS\Services\Tcpip\..\{B44DF5E4-3C9C-4211-BC05-4D496C702DC8}: NameServer = 62.104.191.241 62.104.196.134
Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die->SearchList'-Einträge (Suchlisten-Einträge).
Die Eingegebene IP oder Domäne->62.104.191.241 62.104.196.134' wurde als gut identifiziert.

muss ich hier noch etwas ändern? woher weiss ich ob die seite zum isp gehört? HILFE, bitte

das ist dein Provider Freenet

absolut in Ordnung

11. eine neue hijackthis logfile machen und hier posten

ja - aber erst, wenn du alles abgearbeitet hast.

pan_fee

nicolebe · 27.10.2005

hi.

habe mal alles durchgeführt und meine hijackthis logfile sieht jetzt so aus:

Logfile of HijackThis v1.99.1
Scan saved at 22:09:00, on 27.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\PowerPanel\Program\PcfMgr.exe
c:\programme\0190 warner\w0svc.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Nicole\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0B46B130-C457-4CD9-872B-6B2F96DFBE95} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
O2 - BHO: (no name) - {14BD7584-D4B1-44C5-9DE1-B1CDCDE64EC0} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {65E92D5C-D0AB-44A9-9766-C0B6F502A37B} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
O2 - BHO: (no name) - {8A84A826-08B4-4072-9CA2-3EB5D4821AD3} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
O2 - BHO: (no name) - {A70A3FD5-3793-4833-9C83-AF038EAEED21} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
O2 - BHO: (no name) - {ACCCDA00-2AF7-458C-8610-61EFAF144284} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
O2 - BHO: (no name) - {D7E398F2-6DD8-410D-BA53-4E7268235D2F} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\WINDOWS\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-611111193457} - file://c:\wx.cab
O16 - DPF: {11111111-1111-1111-1111-611111193458} - file://c:\wx.cab
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130243002577
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - c:\programme\0190 warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe

sieht es gut aus? alles sauber?
habe noch ein weiteres kleines problem unter winxp gepostet mit dem thema geräte oder anwendungen wurden deaktiviert. kann mir da noch einer helfen?
danke

nicole

PCDpan_fee · 28.10.2005

nicolebe schrieb:
sieht es gut aus? alles sauber?

nein, unverändert ???

http://www.hijackthis.de/logfiles/d93acd1b1516b75bb352d50ce39f4b16.html

pan_fee

nicolebw · 28.10.2005

hi.

aber immerhin bin ich den msexplorer.exe los.

kann ich die hier nicht einfach über hijackthis fixen:

O2 - BHO: (no name) - {0B46B130-C457-4CD9-872B-6B2F96DFBE95} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
O2 - BHO: (no name) - {14BD7584-D4B1-44C5-9DE1-B1CDCDE64EC0} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
O2 - BHO: (no name) - {65E92D5C-D0AB-44A9-9766-C0B6F502A37B} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
O2 - BHO: (no name) - {8A84A826-08B4-4072-9CA2-3EB5D4821AD3} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
O2 - BHO: (no name) - {A70A3FD5-3793-4833-9C83-AF038EAEED21} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
O2 - BHO: (no name) - {ACCCDA00-2AF7-458C-8610-61EFAF144284} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)
O2 - BHO: (no name) - {D7E398F2-6DD8-410D-BA53-4E7268235D2F} - C:\Programme\t20w7z6x\t20w7z6x.dll (file missing)

und die folgenden auch:

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-611111193457} - file://c:\wx.cab
O16 - DPF: {11111111-1111-1111-1111-611111193458} - file://c:\wx.cab
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab

oder hätte ich vorher die systemwiederherstellung ausschalten sollen und alle vorhergenannten schritte nochmal durchführen?
danke.

nicole

Dakota · 28.10.2005

Hi Nicole,

es ist immer gut, die Systemwiederherstellung beim Bereinigen auszuschalten. Viele Schädlinge nisten sich im _restore-Ordner (das ist der, der für die Wiederherstellung zuständig ist) ein.

Bei einem Neustart aktivieren sich die Kerlchen dann wieder.

Noch besser ist es, eine Bereinigung im abgesicherten Modus durchzuführen, weil dann die meisten Startdateien diverser Programme umgangen werden.

Versuch mal ein Fixen im abgesicherten Modus (beim Booten F8 drücken, dann erscheint ein Menü aus dem du auswählen kannst)

Anschließend wieder neu starten, wenn die Einträge verschwunden sind, ist alles OK.

Wenn du DSL hast, ist der 0190-Warner übrigens überflüssig

Viel Glück.
Dakota

PS: du hast Hijackthis in einem temporären Ordner..... nicht gut!
In einen gesonderten Ordner entpacken und dann erst ausführen, nicht aus dem zip-Ordner raus.

nicolebw · 28.10.2005

hi.

wie sieht jetzt meine hijackthis logfile aus?

Logfile of HijackThis v1.99.1
Scan saved at 19:49:58, on 28.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\0190 warner\w0svc.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: PowerPanel.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\WINDOWS\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - c:\programme\0190 warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe

habe kein dsl. habe aber inzwischen eine 0190er/0900er sperre über meinen telekom telefonanschluss eingerichtet.
danke nochmal.

nicole

PCDpan_fee · 28.10.2005

nicolebw schrieb:
wie sieht jetzt meine hijackthis logfile aus?

sehr gut

http://www.hijackthis.de/logfiles/d93acd1b1516b75bb352d50ce39f4b16.html

pan_fee

nicolebw · 29.10.2005

hi.

vielen, vielen lieben dank.

nicole

nicolebw · 31.10.2005

hi.

sollte noch jemand ein ähnliches problem haben, und dieses mit den oben genannten möglichkeiten nicht losgeworden sein, für den habe ich noch eine interessante seite entdeckt:

http://www.trojaner-info.de/hijacker/escan.shtml

nicole

Bin ich meine Trojaner usw. los ?

nicolebw

PCDpan_fee

nicolebw

PCDpan_fee

nicolebe

PCDpan_fee

nicolebw

Dakota

nicolebw

PCDpan_fee

nicolebw

nicolebw

Bin ich meine Trojaner usw. los ?

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums