Bitte um Hilfe nix funzt

zwenny11 · 19.04.2005

Hallo alle zusammen,

mein rechner hat sich einen cws eingefangen und ich als laie habe keinen dunst wie ich das ding endlich beisitigen kann.

zum Problem:

IE: startseite ändert sich von about:blank immer zu http://default.home
ad-aware: findet was in der registry, kann es aber nicht entfernen
CWshredder: hat keinen dunst und findet nix
Logfile of HijackThis v1.98.0
Scan saved at 09:26:15, on 19.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\VS KEN!\AVGUARD.EXE
C:\WINNT\system32\Ati2evxx.exe
C:\Programme\VS KEN!\AVWUPSRV.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\KEN!\KENCLI.EXE
C:\WINNT\system32\regsvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\explorer.exe
C:\WINNT\system32\TASKMGRU.EXE
C:\WINNT\system32\MSIMN32.EXE
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\Programme\KEN!\kentbcli.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\VS KEN!\AVGNT.EXE
C:\WINNT\system32\TASKMGRU.EXE
C:\WINNT\system32\MSIMN32.EXE
C:\Program Files\interMute\SpySubtract\SpySub.exe
\Server2000\data\palm\HOTSYNC.EXE
C:\lotus\organize\easyclip6.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\user12\LOKALE~1\Temp\Rar$EX00.438\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-DSL Business
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.201:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINNT\bhoass.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [KEN Taskbar Client] C:\Programme\KEN!\kentbcli.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HP Component Manager] C:\Programme\HP\hpcoretech\hpcmpmgr.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\VS KEN!\AVGNT.EXE /min
O4 - HKCU\..\Run: [TASKMGRU] C:\WINNT\system32\TASKMGRU.EXE
O4 - HKCU\..\Run: [MSIMN32] C:\WINNT\system32\MSIMN32.EXE
O4 - Startup: HotSync Manager.lnk = palm\HOTSYNC.EXE
O4 - Startup: Lotus Organizer EasyClip.lnk = C:\lotus\organize\easyclip6.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Outlook\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ALTENBURG.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ALTENBURG.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ALTENBURG.local
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll

Ich bin echt dankbar wenn mir jemand schnell helfen könnte.
der zwenny

hp · 19.04.2005

1. du verwendest ein altes hijackthis, lade mal das neue runter und lass das mal laufen

2. das log kannst du hier www.hijackthis.de auswerten lassen

3. lade auch spybot search&destroy runter, mach den update

4. aktuallisier deinen viren/trojaner wächter

5. dann starte im abgesicherten modus und lass ad-aware, spybot und den virenscanner laufen und alles was gefunden wird bereinigen. die dateien die nicht gelöscht werden können, kannst du via hijackthis beim booten löschen lassen. mit spybot die kiste immunisieren ...

die programme kannst du alle hier http://www.wintotal.de/softw/index.php?rb=31 downloaden

greetz

hugo

zwenny11 · 19.04.2005

Habe hier mal den neuen hijack gepostet,
leider läuft bei mir immer noch kein internet.
Schon mal danke für die mühe..... :'(

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\Programme\VS KEN!\AVWUPSRV.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\KEN!\KENCLI.EXE
C:\WINNT\system32\regsvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\explorer.exe
C:\WINNT\system32\TASKMGRU.EXE
C:\WINNT\system32\MSIMN32.EXE
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\Programme\KEN!\kentbcli.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\VS KEN!\AVGNT.EXE
C:\WINNT\system32\TASKMGRU.EXE
C:\WINNT\system32\MSIMN32.EXE
C:\Program Files\interMute\SpySubtract\SpySub.exe
\Server2000\data\palm\HOTSYNC.EXE
C:\lotus\organize\easyclip6.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\Programme\VS KEN!\AVGUARD.EXE
C:\DOKUME~1\user12\LOKALE~1\Temp\HijackThis.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-DSL Business
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.201:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINNT\bhoass.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [KEN Taskbar Client] C:\Programme\KEN!\kentbcli.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HP Component Manager] C:\Programme\HP\hpcoretech\hpcmpmgr.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\VS KEN!\AVGNT.EXE /min
O4 - HKCU\..\Run: [TASKMGRU] C:\WINNT\system32\TASKMGRU.EXE
O4 - HKCU\..\Run: [MSIMN32] C:\WINNT\system32\MSIMN32.EXE
O4 - Startup: HotSync Manager.lnk = palm\HOTSYNC.EXE
O4 - Startup: Lotus Organizer EasyClip.lnk = C:\lotus\organize\easyclip6.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Outlook\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O15 - Trusted IP range: 206.161.125.149
O15 - ProtocolDefaults:->http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults:->http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ALTENBURG.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ALTENBURG.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ALTENBURG.local
O23 - Service: Virenschutz für KEN! Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\VS KEN!\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Virenschutz für KEN! Update Service (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\VS KEN!\AVWUPSRV.EXE
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINNT\system32\MSTask.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

zwenny11 · 19.04.2005

habe noch etwas gebastelt, aber leider ohne erfolg

der neue hijack síeht so aus:
can saved at 16:39:13, on 19.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\VS KEN!\AVGUARD.EXE
C:\WINNT\system32\Ati2evxx.exe
C:\Programme\VS KEN!\AVWUPSRV.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\KEN!\KENCLI.EXE
C:\WINNT\system32\regsvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\explorer.exe
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\Programme\KEN!\kentbcli.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\VS KEN!\AVGNT.EXE
C:\WINNT\system32\TASKMGRU.EXE
C:\WINNT\system32\MSIMN32.EXE
C:\Program Files\interMute\SpySubtract\SpySub.exe
\Server2000\data\palm\HOTSYNC.EXE
C:\lotus\organize\easyclip6.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
D:\HDD-ALT\C-WIN2~1\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\user12\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-DSL Business
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.201:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINNT\bhoass.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [KEN Taskbar Client] C:\Programme\KEN!\kentbcli.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HP Component Manager] C:\Programme\HP\hpcoretech\hpcmpmgr.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\VS KEN!\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSIMN32] C:\WINNT\system32\MSIMN32.EXE
O4 - HKCU\..\Run: [TASKMGRU] C:\WINNT\system32\TASKMGRU.EXE
O4 - Startup: HotSync Manager.lnk = palm\HOTSYNC.EXE
O4 - Startup: Lotus Organizer EasyClip.lnk = C:\lotus\organize\easyclip6.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Outlook\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ALTENBURG.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ALTENBURG.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ALTENBURG.local
O23 - Service: Virenschutz für KEN! Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\VS KEN!\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Virenschutz für KEN! Update Service (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\VS KEN!\AVWUPSRV.EXE
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINNT\system32\MSTask.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

PCDpan_fee · 19.04.2005

am besten im abgesicherten Modus (Taste F8) löschen .....

zwenny11 schrieb:
can saved at 16:39:13, on 19.04.2005
Running processes:
C:\WINNT\system32\TASKMGRU.EXE

http://www.wintotal.de/Spyware/index.php?Filter=T#Spyware2623

C:\WINNT\system32\MSIMN32.EXE

http://www.wintotal.de/Spyware/index.php?Filter=M#Spyware2625

O2 - BHO: BHDP Class - {1A1488CB-8028-49ba-AD19-18D13CDC650F} - C:\WINNT\bhoass.dll

http://www.wintotal.de/Spyware/index.php?Filter=B#Spyware2624

O4 - HKCU\..\Run: [MSIMN32] C:\WINNT\system32\MSIMN32.EXE

O4 - HKCU\..\Run: [TASKMGRU] C:\WINNT\system32\TASKMGRU.EXE

pan_fee

zwenny11 · 20.04.2005

habe ich probiert, leider kommen die exen im normalen modus trotzdem immer wieder.

habe auch noch eine datei namens BHOASSUI.exe gefunden, mit der ich nix anfangen kann.

Ich weiß nicht ob es von Interesse ist, aber adaware bringt immer diesen Pfad(?) von 2 Dateien die wahrscheinlich das Problem sind.
HKEY_CLASS:interface\{0b6ef17e-18e5-449-86ae-64c82d596eae}\
H-KEY-CLASS:ínterface\{b1e68d42-02c4-465b-8368-5ed9b732c22d}\

kann mir jemand helfen?

hp · 20.04.2005

zwenny11 schrieb:
habe auch noch eine datei namens BHOASSUI.exe gefunden, mit der ich nix anfangen kann.

zu der Bhoassui.exe gibts auch noch die bhoass.dll ... hier http://www.sophos.de/virusinfo/analyses/trojagentcx.html mehr dazu ...

greetz

hugo

zwenny11 · 20.04.2005

habe mir den link mal angeschaut, bin aber sicherlich zu blöd zu verstehen, was ich ,machen soll, klingt irgenwie super technisch, habe angst noch mehr zu zerstören.

Bitte um Hilfe nix funzt

zwenny11

hp

zwenny11

zwenny11

PCDpan_fee

zwenny11

hp

zwenny11

Bitte um Hilfe nix funzt

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums