Bitte um Hilfe nix funzt

Dieses Thema Bitte um Hilfe nix funzt im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von zwenny11, 19. Apr. 2005.

Thema: Bitte um Hilfe nix funzt Hallo alle zusammen, mein rechner hat sich einen cws eingefangen und ich als laie habe keinen dunst wie ich das...

  1. Hallo alle zusammen,

    mein rechner hat sich einen cws eingefangen und ich als laie habe keinen dunst wie ich das ding endlich beisitigen kann.

    zum Problem:

    IE: startseite ändert sich von about:blank immer zu http://default.home
    ad-aware: findet was in der registry, kann es aber nicht entfernen
    CWshredder: hat keinen dunst und findet nix
    Logfile of HijackThis v1.98.0
    Scan saved at 09:26:15, on 19.04.2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Programme\VS KEN!\AVGUARD.EXE
    C:\WINNT\system32\Ati2evxx.exe
    C:\Programme\VS KEN!\AVWUPSRV.EXE
    C:\WINNT\system32\svchost.exe
    C:\Programme\KEN!\KENCLI.EXE
    C:\WINNT\system32\regsvc.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\mspmspsv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\explorer.exe
    C:\WINNT\system32\TASKMGRU.EXE
    C:\WINNT\system32\MSIMN32.EXE
    C:\Programme\Analog Devices\SoundMAX\Smtray.exe
    C:\Programme\KEN!\kentbcli.exe
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
    C:\Programme\HP\hpcoretech\hpcmpmgr.exe
    C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Programme\VS KEN!\AVGNT.EXE
    C:\WINNT\system32\TASKMGRU.EXE
    C:\WINNT\system32\MSIMN32.EXE
    C:\Program Files\interMute\SpySubtract\SpySub.exe
    \Server2000\data\palm\HOTSYNC.EXE
    C:\lotus\organize\easyclip6.exe
    C:\Programme\Microsoft Office\Office\OSA.EXE
    C:\Programme\SpywareGuard\sgmain.exe
    C:\Programme\SpywareGuard\sgbhp.exe
    C:\Programme\WinRAR\WinRAR.exe
    C:\DOKUME~1\user12\LOKALE~1\Temp\Rar$EX00.438\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-DSL Business
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.201:3128
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINNT\bhoass.dll
    O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
    O4 - HKLM\..\Run: [KEN Taskbar Client] C:\Programme\KEN!\kentbcli.exe
    O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
    O4 - HKLM\..\Run: [HP Component Manager] C:\Programme\HP\hpcoretech\hpcmpmgr.exe
    O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\VS KEN!\AVGNT.EXE /min
    O4 - HKCU\..\Run: [TASKMGRU] C:\WINNT\system32\TASKMGRU.EXE
    O4 - HKCU\..\Run: [MSIMN32] C:\WINNT\system32\MSIMN32.EXE
    O4 - Startup: HotSync Manager.lnk = palm\HOTSYNC.EXE
    O4 - Startup: Lotus Organizer EasyClip.lnk = C:\lotus\organize\easyclip6.exe
    O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
    O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
    O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Outlook\Office\OSA9.EXE
    O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ALTENBURG.local
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ALTENBURG.local
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ALTENBURG.local
    O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll

    Ich bin echt dankbar wenn mir jemand schnell helfen könnte.
    der zwenny
     
  2. hp
    hp
    1. du verwendest ein altes hijackthis, lade mal das neue runter und lass das mal laufen

    2. das log kannst du hier www.hijackthis.de auswerten lassen

    3. lade auch spybot search&destroy runter, mach den update

    4. aktuallisier deinen viren/trojaner wächter

    5. dann starte im abgesicherten modus und lass ad-aware, spybot und den virenscanner laufen und alles was gefunden wird bereinigen. die dateien die nicht gelöscht werden können, kannst du via hijackthis beim booten löschen lassen. mit spybot die kiste immunisieren ...

    die programme kannst du alle hier http://www.wintotal.de/softw/index.php?rb=31 downloaden

    greetz

    hugo
     
  3. Habe hier mal den neuen hijack gepostet,
    leider läuft bei mir immer noch kein internet.
    Schon mal danke für die mühe..... :'(

    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\WINNT\system32\Ati2evxx.exe
    C:\Programme\VS KEN!\AVWUPSRV.EXE
    C:\WINNT\system32\svchost.exe
    C:\Programme\KEN!\KENCLI.EXE
    C:\WINNT\system32\regsvc.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\mspmspsv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\explorer.exe
    C:\WINNT\system32\TASKMGRU.EXE
    C:\WINNT\system32\MSIMN32.EXE
    C:\Programme\Analog Devices\SoundMAX\Smtray.exe
    C:\Programme\KEN!\kentbcli.exe
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
    C:\Programme\HP\hpcoretech\hpcmpmgr.exe
    C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Programme\VS KEN!\AVGNT.EXE
    C:\WINNT\system32\TASKMGRU.EXE
    C:\WINNT\system32\MSIMN32.EXE
    C:\Program Files\interMute\SpySubtract\SpySub.exe
    \Server2000\data\palm\HOTSYNC.EXE
    C:\lotus\organize\easyclip6.exe
    C:\Programme\Microsoft Office\Office\OSA.EXE
    C:\Programme\SpywareGuard\sgmain.exe
    C:\Programme\SpywareGuard\sgbhp.exe
    C:\Programme\VS KEN!\AVGUARD.EXE
    C:\DOKUME~1\user12\LOKALE~1\Temp\HijackThis.exe
    C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-DSL Business
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.201:3128
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINNT\bhoass.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
    O4 - HKLM\..\Run: [KEN Taskbar Client] C:\Programme\KEN!\kentbcli.exe
    O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
    O4 - HKLM\..\Run: [HP Component Manager] C:\Programme\HP\hpcoretech\hpcmpmgr.exe
    O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\VS KEN!\AVGNT.EXE /min
    O4 - HKCU\..\Run: [TASKMGRU] C:\WINNT\system32\TASKMGRU.EXE
    O4 - HKCU\..\Run: [MSIMN32] C:\WINNT\system32\MSIMN32.EXE
    O4 - Startup: HotSync Manager.lnk = palm\HOTSYNC.EXE
    O4 - Startup: Lotus Organizer EasyClip.lnk = C:\lotus\organize\easyclip6.exe
    O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
    O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
    O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Outlook\Office\OSA9.EXE
    O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
    O15 - Trusted IP range: 206.161.125.149
    O15 - ProtocolDefaults:->http' protocol is in My Computer Zone, should be Internet Zone
    O15 - ProtocolDefaults:->http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ALTENBURG.local
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ALTENBURG.local
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ALTENBURG.local
    O23 - Service: Virenschutz für KEN! Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\VS KEN!\AVGUARD.EXE
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
    O23 - Service: Virenschutz für KEN! Update Service (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\VS KEN!\AVWUPSRV.EXE
    O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
    O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
    O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINNT\system32\MSTask.exe (file missing)
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
     
  4. habe noch etwas gebastelt, aber leider ohne erfolg

    der neue hijack síeht so aus:
    can saved at 16:39:13, on 19.04.2005
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Programme\VS KEN!\AVGUARD.EXE
    C:\WINNT\system32\Ati2evxx.exe
    C:\Programme\VS KEN!\AVWUPSRV.EXE
    C:\WINNT\system32\svchost.exe
    C:\Programme\KEN!\KENCLI.EXE
    C:\WINNT\system32\regsvc.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\mspmspsv.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\explorer.exe
    C:\Programme\Analog Devices\SoundMAX\Smtray.exe
    C:\Programme\KEN!\kentbcli.exe
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
    C:\Programme\HP\hpcoretech\hpcmpmgr.exe
    C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    C:\Programme\VS KEN!\AVGNT.EXE
    C:\WINNT\system32\TASKMGRU.EXE
    C:\WINNT\system32\MSIMN32.EXE
    C:\Program Files\interMute\SpySubtract\SpySub.exe
    \Server2000\data\palm\HOTSYNC.EXE
    C:\lotus\organize\easyclip6.exe
    C:\Programme\Microsoft Office\Office\OSA.EXE
    C:\Programme\SpywareGuard\sgmain.exe
    C:\Programme\SpywareGuard\sgbhp.exe
    C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
    D:\HDD-ALT\C-WIN2~1\PROGRA~1\WinZip\winzip32.exe
    C:\DOKUME~1\user12\LOKALE~1\Temp\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-DSL Business
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.201:3128
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINNT\bhoass.dll
    O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
    O4 - HKLM\..\Run: [KEN Taskbar Client] C:\Programme\KEN!\kentbcli.exe
    O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
    O4 - HKLM\..\Run: [HP Component Manager] C:\Programme\HP\hpcoretech\hpcmpmgr.exe
    O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\VS KEN!\AVGNT.EXE /min
    O4 - HKCU\..\Run: [MSIMN32] C:\WINNT\system32\MSIMN32.EXE
    O4 - HKCU\..\Run: [TASKMGRU] C:\WINNT\system32\TASKMGRU.EXE
    O4 - Startup: HotSync Manager.lnk = palm\HOTSYNC.EXE
    O4 - Startup: Lotus Organizer EasyClip.lnk = C:\lotus\organize\easyclip6.exe
    O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
    O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
    O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Outlook\Office\OSA9.EXE
    O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ALTENBURG.local
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ALTENBURG.local
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ALTENBURG.local
    O23 - Service: Virenschutz für KEN! Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\VS KEN!\AVGUARD.EXE
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
    O23 - Service: Virenschutz für KEN! Update Service (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\VS KEN!\AVWUPSRV.EXE
    O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
    O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
    O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
    O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINNT\system32\MSTask.exe (file missing)
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
     
  5. am besten im abgesicherten Modus (Taste F8) löschen .....

    http://www.wintotal.de/Spyware/index.php?Filter=T#Spyware2623

    http://www.wintotal.de/Spyware/index.php?Filter=M#Spyware2625

    http://www.wintotal.de/Spyware/index.php?Filter=B#Spyware2624

    pan_fee
     
  6. habe ich probiert, leider kommen die exen im normalen modus trotzdem immer wieder.

    habe auch noch eine datei namens BHOASSUI.exe gefunden, mit der ich nix anfangen kann.

    Ich weiß nicht ob es von Interesse ist, aber adaware bringt immer diesen Pfad(?) von 2 Dateien die wahrscheinlich das Problem sind.
    HKEY_CLASS:interface\{0b6ef17e-18e5-449-86ae-64c82d596eae}\
    H-KEY-CLASS:ínterface\{b1e68d42-02c4-465b-8368-5ed9b732c22d}\

    kann mir jemand helfen?
     
  7. hp
    hp
    zu der Bhoassui.exe gibts auch noch die bhoass.dll ... hier http://www.sophos.de/virusinfo/analyses/trojagentcx.html mehr dazu ...

    greetz

    hugo
     
  8. habe mir den link mal angeschaut, bin aber sicherlich zu blöd zu verstehen, was ich ,machen soll, klingt irgenwie super technisch, habe angst noch mehr zu zerstören.
     
Die Seite wird geladen...

Bitte um Hilfe nix funzt - Ähnliche Themen

Forum Datum
probleme mit windows 7 update bitte um hilfe. Windows 7 Forum 4. Nov. 2016
Bitte Hilfe :( Driver_Verifier_Detected_violation (excsd.sys) Windows 10 Forum 30. Aug. 2016
BitteHilfe was soll ich tun Windows 10 Forum 29. Mai 2016
Win 10 vorinstalliert downgrade auf Win 7, bitte um Hilfe! Windows 10 Forum 24. Feb. 2016
Bluescreen brauche bitte hilfe Windows 7 Forum 24. Nov. 2014