Hijacker-Hilfe!!!

Fieselgott · 28.04.2004

Hallo, ich bin neu hier und würde gerne wissen, welche von diesen files ich löschen muss, damit es wieder richtig geht?

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F1 - win.ini: run=C:\WINDOWS\SYSTEM32\services\wmplayer.exe
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra->Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O9 - Extra button: Preispiraten 2.02 (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra->Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: eBay Homepage (HKLM)
O9 - Extra button: SchnapperPlus (HKLM)
O10 - Broken Internet access because of LSP provider->lsp.dll' missing
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38033.5305208333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Danke Fieselgott

Athene · 28.04.2004

Könntest Du bitte zunächst das gesamte Log hier kopieren? Der Anfang fehlt.......

Fieselgott · 28.04.2004

Tschuldigung!!

Logfile of HijackThis v1.97.7
Scan saved at 19:32:10, on 28.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\System32\hphmon04.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\QSCAG~1\QSCENT~1\app\pppoeservice.exe
C:\WINDOWS\System32\HPHipm11.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
D:\Eigene Dateien\Downloads\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F1 - win.ini: run=C:\WINDOWS\SYSTEM32\services\wmplayer.exe
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [H/PC Connection Agent] C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra->Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O9 - Extra button: Preispiraten 2.02 (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra->Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: eBay Homepage (HKLM)
O9 - Extra button: SchnapperPlus (HKLM)
O10 - Broken Internet access because of LSP provider->lsp.dll' missing
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38033.5305208333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

MFG

Fieselgott

mav1976 · 28.04.2004

bitte folgendes fixen [mittels hijacker fix checked drücken]

Fieselgott schrieb:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F1 - win.ini: run=C:\WINDOWS\SYSTEM32\services\wmplayer.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38033.5305208333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

danach rufst du die win.ini auf und löschst den eintrag hinter run: C:\WINDOWS\SYSTEM32\services\wmplayer.exe

die einträge O16 würde ich auch mal rauskicken, die installieren sich bei bedarf wieder neu.

danach suchst du auf deinen rechner den services-ordner [pfad s.o.] und löschst diesen.

dann empfehle ich dir, dein xp und deinen explorer mit dem sp1 zu bestücken. reboote dann in den abgesicherten modus und lasse dein system von norton gründlich durchchecken. du kannst auch einen der vielen onlinescanner verwenden [im normalen modus aber], um ein 2.es ergebnis einzuholen.

dann würde ich mir auch mal deinen autostart anschauen. einiges muß nicht unbedingt mit xp aufstarten. diverse sachen kannst du auch manuell starten, wenn du diese dann auch brauchst.

bl4ckic3 · 28.04.2004

Das würde ich mal lieber bleiben lassen.
Einzig untypisch und daher verdächtig, ist

F1 - win.ini: run=C:\WINDOWS\SYSTEM32\services\wmplayer.exe

Alles andere geht in Ordnung.

Athene · 28.04.2004

Aber: SP1 für Windows XP und SP für IE wären dringlich zu installieren!!!

mav1976 · 28.04.2004

bl4ckic3 schrieb:
Einzig untypisch und daher verdächtig, ist

nicht verdächtig, sondern merkmale des W32/Agobot-BM

weitere info´s hier: http://www.sophos.de/virusinfo/analyses/w32agobotbm.html

bl4ckic3 · 29.04.2004

Ja, eben.
Und du zeigst mir gleich noch, was am Windowsupdate, dem Cult3D-Plugin und dem Flashplugin von Macromedia so böse ist, dass man es fixen muss.

Athene · 29.04.2004

Darf ich trotzdem wiederholen: dringend erforderlich ist das Installieren aller ServivePacks für Windows und IE sowie aller erhältlichen Sicherheitsupdates!
Und die Beseitigung sonstiger Ursachen!!! für das, was passiert ist!

mav1976 · 29.04.2004

moin bl4ckic3,

bl4ckic3 schrieb:
Ja, eben.
Und du zeigst mir gleich noch, was am Windowsupdate, dem Cult3D-Plugin und dem Flashplugin von Macromedia so böse ist, dass man es fixen muss.

gar nichts! ich habe nicht gesagt er muß sie fixen, ich sagte: die einträge O16 würde ich auch mal rauskicken ....

eine pflicht entsteht hieraus nicht. nur ein ratschlag!

das an den einträgen nichts schlimmes dran ist, ist mir selbst klar, doch ein rauskicken kann auch nichts schaden, da diese sich bei bedarf wieder selbst nachinstallieren, wenn sie denn benötigt werden.

wieviele plugins stehen denn bei einigen drin, die gar nicht mehr benötigt werden? deswegen habe ich dies nur als ratschlag mit angegeben.

deshalb sollten wir auch erstx fieselgotts reaktion abwarten. und das hier jetzt mal ruhen lassen. (denn beides kann man machen - es beeinträchtigt die funktionen von win nicht im geringsten)
benötigt er alle plugins, dann kann er sie ja stehen lassen.

Hijacker-Hilfe!!!

Fieselgott

Athene

Fieselgott

mav1976

bl4ckic3

Athene

mav1976

bl4ckic3

Athene

mav1976

Hijacker-Hilfe!!!

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums