Brauche Hilfe bei HIJACK

Matek · 05.07.2004

Hallo,

mein Internet Explorer wurde gehijacket, und bekomme es einfach nicht weg. Ich bin beim Googleln auf diese Seite gestossen, habe alle Tips ausprobiert und es hilft leider nicht weiter.
Unter dem folgendem Link findet Ihr den Log von HijackThis.

www.bonczkowitz.de/hijack.jpg

Bitte um schnelle Hilfe, denn ic hbin scho am Verzweifeln.

Vielen Dank,

Matek

PCDCharly · 05.07.2004

Führe schonmal von hier http://www.wintotal.de/Tipps/Eintrag.php?TID=873 ganz unten das Tool für sp.html-Startseiten aus und dann poste die Log hier bitte als Text ...

Gruß
Charly

Matek · 05.07.2004

Hab ich schon, der Scanner hat nichts gefunden

.

Hier die Log:

Logfile of HijackThis v1.97.7
Scan saved at 00:42:58, on 05.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ipxv32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\system32\ntbg.exe
C:\Programme\deeEnEs\DeeEnEs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Wincommander\Wincmd32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Backup\Hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wleyv.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://wleyv.dll/index.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://wleyv.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wleyv.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://wleyv.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wleyv.dll/sp.html#37680
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.1:8080
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {3739B70B-C6B3-2B4B-5988-766BCAC45148} - C:\WINDOWS\system32\appfz32.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ntbg.exe] C:\WINDOWS\system32\ntbg.exe
O4 - HKCU\..\Run: [DeeEnEs] C:\Programme\deeEnEs\DeeEnEs.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: tempweg.bat
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra->Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37913.5022800926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1A0F4EEA-6A1F-4573-A699-9034D14B2C9F}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A0F4EEA-6A1F-4573-A699-9034D14B2C9F}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1A0F4EEA-6A1F-4573-A699-9034D14B2C9F}: NameServer = 192.168.2.1

Danke

Matek

hp · 05.07.2004

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wleyv.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://wleyv.dll/index.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://wleyv.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wleyv.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://wleyv.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wleyv.dll/sp.html#37680
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {3739B70B-C6B3-2B4B-5988-766BCAC45148} - C:\WINDOWS\system32\appfz32.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll

das prog könnte auch ein schädling sein, bin mir aber nicht ganz sicher...

O4 - HKCU\..\Run: [DeeEnEs] C:\Programme\deeEnEs\DeeEnEs.exe

die oberen positionen kannst du mal fixen. zusätzlich mit einem viren/trojaner cleaner, adaware und spybot die kiste scannen und alles bereinigen, was gefunden wurde. die tools gibt´s im downloadbereich...

greetz

hugo

PCDCharly · 05.07.2004

Matek schrieb:
C:\Programme\Internet Explorer\IEXPLORE.EXE

Und vor allem den geschlossen halten beim Ausführen von Hijackthis. :

http://www.wintotal.de/Tipps/Eintrag.php?RBID=1&TID=873&URBID=3

PCDpan_fee · 05.07.2004

Matek schrieb:
Logfile of HijackThis v1.97.7

1.98.0 ist aktuell

Running processes:
C:\WINDOWS\system32\ipxv32.exe

zu welchen Programm gehört der Prozess?

C:\WINDOWS\system32\ntbg.exe

zu welchen Programm gehört der Prozess?

C:\Programme\deeEnEs\DeeEnEs.exe

ist ein Tool (Client für den DynDNS-Service)

C:\Programme\Internet Explorer\IEXPLORE.EXE

??? :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wleyv.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://wleyv.dll/index.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://wleyv.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\wleyv.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://wleyv.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\wleyv.dll/sp.html#37680

rein zufällig einen Dienst der Network Security Service heißt?
(Systemsteurung/Verwaltung/Dienste)

O2 - BHO: (no name) - {3739B70B-C6B3-2B4B-5988-766BCAC45148} - C:\WINDOWS\system32\appfz32.dll

würde ich fixen

O4 - HKLM\..\Run: [ntbg.exe] C:\WINDOWS\system32\ntbg.exe

fixen

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

gewollt? durch Administrator deaktiviert

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

gewollt? durch Administrator deaktiviert

pan_fee

PCDpan_fee · 05.07.2004

hp schrieb:
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

gehört zu Adobe

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll

gehört zu Google-Toolbar

O4 - HKCU\..\Run: [DeeEnEs] C:\Programme\deeEnEs\DeeEnEs.exe

ist ein Tool http://www.pcgo.de/downloads/cm/dtt/file.php?areaid=38&fileid=2092

pan_fee

Brauche Hilfe bei HIJACK

Matek

PCDCharly

Matek

hp

PCDCharly

PCDpan_fee

PCDpan_fee

Brauche Hilfe bei HIJACK

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums