Hijacker-Hilfe!!!

Dieses Thema Hijacker-Hilfe!!! im Forum "Sonstiges rund ums Internet" wurde erstellt von Fieselgott, 28. Apr. 2004.

Thema: Hijacker-Hilfe!!! Hallo, ich bin neu hier und würde gerne wissen, welche von diesen files ich löschen muss, damit es wieder richtig...

  1. Hallo, ich bin neu hier und würde gerne wissen, welche von diesen files ich löschen muss, damit es wieder richtig geht?

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    F1 - win.ini: run=C:\WINDOWS\SYSTEM32\services\wmplayer.exe
    O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
    O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe
    O4 - HKLM\..\Run: [HPHUPD04] C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
    O4 - HKCU\..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
    O9 - Extra->Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
    O9 - Extra button: Preispiraten 2.02 (HKLM)
    O9 - Extra button: Recherchieren (HKLM)
    O9 - Extra button: Recherche-Assistent (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra->Tools' menuitem: Show &Related Links (HKLM)
    O9 - Extra button: Real.com (HKLM)
    O9 - Extra button: eBay Homepage (HKLM)
    O9 - Extra button: SchnapperPlus (HKLM)
    O10 - Broken Internet access because of LSP provider->lsp.dll' missing
    O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
    O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38033.5305208333
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



    Danke Fieselgott
     
  2. Könntest Du bitte zunächst das gesamte Log hier kopieren? Der Anfang fehlt.......
     
  3. Tschuldigung!!

    Logfile of HijackThis v1.97.7
    Scan saved at 19:32:10, on 28.04.2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
    C:\WINDOWS\System32\hphmon04.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
    C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\PROGRA~1\QSCAG~1\QSCENT~1\app\pppoeservice.exe
    C:\WINDOWS\System32\HPHipm11.exe
    C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
    D:\Eigene Dateien\Downloads\HijackThis.exe

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    F1 - win.ini: run=C:\WINDOWS\SYSTEM32\services\wmplayer.exe
    O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
    O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe
    O4 - HKLM\..\Run: [HPHUPD04] C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
    O4 - HKCU\..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
    O9 - Extra->Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
    O9 - Extra button: Preispiraten 2.02 (HKLM)
    O9 - Extra button: Recherchieren (HKLM)
    O9 - Extra button: Recherche-Assistent (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra->Tools' menuitem: Show &Related Links (HKLM)
    O9 - Extra button: Real.com (HKLM)
    O9 - Extra button: eBay Homepage (HKLM)
    O9 - Extra button: SchnapperPlus (HKLM)
    O10 - Broken Internet access because of LSP provider->lsp.dll' missing
    O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
    O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38033.5305208333
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

    MFG

    Fieselgott
     
  4. bitte folgendes fixen [mittels hijacker fix checked drücken]

    danach rufst du die win.ini auf und löschst den eintrag hinter run: C:\WINDOWS\SYSTEM32\services\wmplayer.exe

    die einträge O16 würde ich auch mal rauskicken, die installieren sich bei bedarf wieder neu.

    danach suchst du auf deinen rechner den services-ordner [pfad s.o.] und löschst diesen.

    dann empfehle ich dir, dein xp und deinen explorer mit dem sp1 zu bestücken. reboote dann in den abgesicherten modus und lasse dein system von norton gründlich durchchecken. du kannst auch einen der vielen onlinescanner verwenden [im normalen modus aber], um ein 2.es ergebnis einzuholen.

    dann würde ich mir auch mal deinen autostart anschauen. einiges muß nicht unbedingt mit xp aufstarten. diverse sachen kannst du auch manuell starten, wenn du diese dann auch brauchst.
     
  5. Das würde ich mal lieber bleiben lassen.
    Einzig untypisch und daher verdächtig, ist

    F1 - win.ini: run=C:\WINDOWS\SYSTEM32\services\wmplayer.exe

    Alles andere geht in Ordnung.
     
  6. Aber: SP1 für Windows XP und SP für IE wären dringlich zu installieren!!!
     
  7. Ja, eben.
    Und du zeigst mir gleich noch, was am Windowsupdate, dem Cult3D-Plugin und dem Flashplugin von Macromedia so böse ist, dass man es fixen muss. :D
     
  8. Darf ich trotzdem wiederholen: dringend erforderlich ist das Installieren aller ServivePacks für Windows und IE sowie aller erhältlichen Sicherheitsupdates!
    Und die Beseitigung sonstiger Ursachen!!! für das, was passiert ist!
     
  9. moin bl4ckic3,

    gar nichts! ich habe nicht gesagt er muß sie fixen, ich sagte: die einträge O16 würde ich auch mal rauskicken .... ;) eine pflicht entsteht hieraus nicht. nur ein ratschlag!

    das an den einträgen nichts schlimmes dran ist, ist mir selbst klar, doch ein rauskicken kann auch nichts schaden, da diese sich bei bedarf wieder selbst nachinstallieren, wenn sie denn benötigt werden.

    wieviele plugins stehen denn bei einigen drin, die gar nicht mehr benötigt werden? deswegen habe ich dies nur als ratschlag mit angegeben.

    deshalb sollten wir auch erstx fieselgotts reaktion abwarten. und das hier jetzt mal ruhen lassen. (denn beides kann man machen - es beeinträchtigt die funktionen von win nicht im geringsten)
    benötigt er alle plugins, dann kann er sie ja stehen lassen.