Loadingwebsite 9Ringtone Paypopup <--- HILFE bin am verzweifeln

FrEaKnAsTy · 10.05.2005

Ich bin sicher nicht der erste der das Problem hier hat. Hier im Forum wurde auch schon ausgiebig darüber diskutiert. Ich habe mir alle beiträge angesehen bin jedoch nicht auf eine Lösung gestoßen um mein Problem zu beheben. Ich habe ebenfalls alles probiert gescannt bis zum abwinken kriege aber diese blöden Popups nicht los.

Eine Neuinstallation kam mir schon in den sinn aber das wäre wirklich erst das letzte das ich tun würde. Es dauert ziemlich lange mein system wieder so herzurichten wie es mal war.

Bitte um Hilfe bin echt am verzweifeln... :-[

Danke im vorraus

Dakota · 10.05.2005

Wie wär's mit ein paar Infos mehr?

BS, Firewall? Virenscanner? Zusatztools? Was probiert, gescannt, womit?

berliner-loewe · 10.05.2005

Am besten gleich mit einem Logfile von www.hijackthis.de

FrEaKnAsTy · 10.05.2005

Ich hatte Spybot, Ad-Aware Norton drüberlaufen lassen aber ohne erfolg. Hier meine Logfile von Hijack:

Scan saved at 14:54:17, on 10.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\MSI\Bluetooth Software\BTTray.exe
C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\PROGRA~1\MSI\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Games\StarWarsGalaxies\SWGClientSetup_r.exe
C:\Games\StarWarsGalaxies\SwgClient_r.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Mephisto\Eigene Dateien\Progs\hijackthis\HijackThis.exe

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe /L ElbyCDFL
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra->Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {3EFBBD62-414D-4372-9663-A8979EBC7C01} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra->Tools' menuitem: Unterstützung für xp-AntiSpy - {3EFBBD62-414D-4372-9663-A8979EBC7C01} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FD2AD40-58AB-42D8-A094-9534A855D6C5}: NameServer = 217.237.150.33 217.237.151.161
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)
O20 - Winlogon Notify: Unimodem - C:\WINDOWS\system32\gp82l3lo1.dll
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

berliner-loewe · 10.05.2005

O20 - Winlogon Notify: Unimodem - C:\WINDOWS\system32\gp82l3lo1.dll

O4 - Global Startup: BTTray.lnk = ?

Erscheinen mir suspekt, wäre es mein System würde ich versuchen diese Einträge zu fiven.

Hast Du die Möglichkeit von deinem System ein Image anzulegen?

Anderseits, No risk, no fun

PCDpan_fee · 10.05.2005

---------------

bla schrieb:
O4 - Global Startup: BTTray.lnk = ?
Erscheinen mir suspekt

FrEaKnAsTy schrieb:
C:\Programme\MSI\Bluetooth Software\BTTray.exe

O4 - Global Startup: BTTray.lnk = ?

ist Bluetooth Software

http://www.wintotal.de/Spyware/index.php?Filter=B#Spyware550
----------------

O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - (no file)

noch fixen, gehörte mal zu Desktop Search

O20 - Winlogon Notify: Unimodem - C:\WINDOWS\system32\gp82l3lo1.dll

Look2Me Spyware
http://www.wintotal.de/Spyware/index.php?Filter=G#Spyware2924

pan_fee

FrEaKnAsTy · 11.05.2005

den punkt O18 konnte ich beseitigen. Den rest leider nicht. und die popups kommen jetzt sogar noch öfter als vorher.

Hier die neue Logfile:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\MSI\Bluetooth Software\BTTray.exe
C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\PROGRA~1\MSI\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Mephisto\Eigene Dateien\Progs\hijackthis\HijackThis.exe

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe /L ElbyCDFL
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra->Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {3EFBBD62-414D-4372-9663-A8979EBC7C01} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra->Tools' menuitem: Unterstützung für xp-AntiSpy - {3EFBBD62-414D-4372-9663-A8979EBC7C01} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FD2AD40-58AB-42D8-A094-9534A855D6C5}: NameServer = 217.237.150.33 217.237.151.161
O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\kldsmsfi.dll
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

PCDpan_fee · 11.05.2005

FrEaKnAsTy schrieb:
O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\kldsmsfi.dll

versuch es mal mit dem Tool-Fix FxSpL2Me.exe von Symantec:
http://securityresponse.symantec.com/avcenter/venc/data/spyware.look2me.html

pan_fee

berliner-loewe · 11.05.2005

PCDpan_fee schrieb:
---------------

bla schrieb:

O4 - Global Startup: BTTray.lnk = ?
Erscheinen mir suspekt

Zum Vergrößern anklicken....

FrEaKnAsTy schrieb:

C:\Programme\MSI\Bluetooth Software\BTTray.exe

O4 - Global Startup: BTTray.lnk = ?

Zum Vergrößern anklicken....

ist Bluetooth Software
http://www.wintotal.de/Spyware/index.php?Filter=B#Spyware550

Ooops :-[

FrEaKnAsTy · 11.05.2005

Ich habe dieses Programm was du mir empfohlen hast durchlaufen lassen. Es wurde aber leider nichts gefunden. Und diese Popups sind immer noch da... :-\

PCDpan_fee · 11.05.2005

von der Look2Me-Fix (l2mfix.exe) hab ich mir die Reg.-Datei mal angesehen und mit meiner Registry verglichen. Diese Reg.-Datei stellt die Standardwerte von Winlogon wieder her. Ich hab sie dir mal gezippt, einfach entpacken und ausführen.

pan_fee

FrEaKnAsTy · 12.05.2005

Danke werd ich machen. Hilft das auch bei meinem Popup Problem?

FrEaKnAsTy · 16.05.2005

Habs ausgeführt...

die popups sind immer noch da. Ich hab derweil mal im abgesicherten modus escan und ad-aware durchlaufen lassen. Ich hab zwar einiges gefunden aber die popups sind nicht weg.

Was mach ich jetzt?

PCDpan_fee · 16.05.2005

auch mal die installierten Software durchschauen (Systemsteuerung - Software).
Poste doch bitte nochmal das aktuelle Hijack-Log.

pan_fee

FrEaKnAsTy · 16.05.2005

Logfile of HijackThis v1.99.1
Scan saved at 19:00:08, on 16.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\eScan\helperservice.exe
C:\PROGRA~1\eScan\AVKWCTL.EXE
C:\PROGRA~1\eScan\avkserv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\MSI\Bluetooth Software\BTTray.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\PROGRA~1\MSI\BLUETO~1\BTSTAC~1.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Norton AntiVirus\OPScan.exe
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Mephisto\Eigene Dateien\Progs\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe /L ElbyCDFL
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MailScan Dispatcher] C:\Programme\eScan\LAUNCH.EXE
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra->Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {3EFBBD62-414D-4372-9663-A8979EBC7C01} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra->Tools' menuitem: Unterstützung für xp-AntiSpy - {3EFBBD62-414D-4372-9663-A8979EBC7C01} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Broken Internet access because of LSP provider->mwtsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FD2AD40-58AB-42D8-A094-9534A855D6C5}: NameServer = 217.237.150.33 217.237.151.161
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\jt8407lqe.dll
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\PROGRA~1\eScan\helperservice.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\PROGRA~1\eScan\AVKWCTL.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - Unknown owner - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

PCDpan_fee · 16.05.2005

FrEaKnAsTy schrieb:
O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\jt8407lqe.dll

es liegt immer noch an dem Winlogon Eintrag ???

lad dir noch mal die winlogondefaults.zip runter und führ sie aus.

pan_fee

FrEaKnAsTy · 17.05.2005

Ok das hab ich getan. Habe auch im abgesicherten modus hijack durchlaufen lassen. Aber dieses Winlogon dingens geht nicht weg. Die Datei lässt sich auch nicht manuel löschen zumal sie sich der Dateiname ständig verändert.

Hier meine Logfile:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\eScan\helperservice.exe
C:\PROGRA~1\eScan\AVKWCTL.EXE
C:\PROGRA~1\eScan\avkserv.exe
C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\MSI\Bluetooth Software\BTTray.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\MSI\BLUETO~1\BTSTAC~1.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Mephisto\Eigene Dateien\Progs\hijackthis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe /L ElbyCDFL
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MailScan Dispatcher] C:\Programme\eScan\LAUNCH.EXE
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra->Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {3EFBBD62-414D-4372-9663-A8979EBC7C01} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra->Tools' menuitem: Unterstützung für xp-AntiSpy - {3EFBBD62-414D-4372-9663-A8979EBC7C01} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Broken Internet access because of LSP provider->mwtsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FD2AD40-58AB-42D8-A094-9534A855D6C5}: NameServer = 217.237.150.33 217.237.151.161
O20 - Winlogon Notify: URL - C:\WINDOWS\system32\jr2025fmg.dll
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\PROGRA~1\eScan\helperservice.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\PROGRA~1\eScan\AVKWCTL.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - Unknown owner - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Netware · 21.05.2005

Hi @ll,

habe zwar keine direkte Lösung aber einen Workaround gefunden, da ich mir diese VX2-POS
auch eingefangen hatte.

Du brauchst nur adaware se. Ich beschreib mal was ich gemacht habe um es loszuwerden.
Ich hab W2K, bei anderen OS sollte es ähnlich sein. Dauert ca. 10min.

Mit adaware alles reinigen, es wird noch zum Schluß angemerkt, dass eine Datei erst beim
nächasten Systemstart gelöscht wird.

1. Mit einem Texteditor eine Datei erstellen mit dem Namen guard.dum (Ihr könnt was beliebiges
reinschreiben, sinnvoll ist dummy). Diese in eurem System32 Ordner speichern. In deinem Fall
ist es C:\WINDOWS\system32\
2. Rechner runterfahren und Netzwerkkabel trennen.
3. Rechner im Abgesicherten Modus hochfahren.(F8 beim Systemstart)
4. adaware wieder durchlaufen lassen, es dürfte jetzt nur noch 3 VX2 Prozesse/Module finden.
Die normale Quarantäne/lösch-Prozedur durchführen. Wieder wird angezeigt, dass eine Datei
beim nächsten Systemstart gelöscht wird.
5. Rechner neu starten und wieder im abgesicherten Modus hochfahren, diesmal aber mit der Option
mit eingabeaufforderung.
6. Ihr landet dann auf einem DOS command prompt :
In den System32 ordner wechseln > cd \windows\system32
Die attribute der Datei guard.tmp ansehen > attrib guard.tmp (Bei mir war da nur ein S für System)
Die attribute der Datei guard.tmp ändern > attrib guard.tmp -s
Die Datei umbenennen > ren guard.tmp guard.bad
Den Dummy umbenennen > ren guard.dum guard.tmp
Die attribute der Datei guard.tmp setzen > attrib guard.tmp +s +r
Mit exit auf die Oberfläche und den Taskmanager aufrufen, System Neu starten.
7. Rechner im Abgesicherten Modus hochfahren.(F8 beim Systemstart)
8. adaware wieder durchlaufen lassen, es dürfte jetzt nichts mehr finden.

Das wars, runterfahren Netzwerkkabel wieder dran, normal hochfahren.
Hintergrund, guard.tmp wird anscheinend bei jedem Systemstart in eine DLL Datei reinkopiert die
dann später unter anderem Namen/Bezeichnung im HJT unter o20-Winlogon auftaucht.
Hat man es geschafft die guard.tmp zu ändern, taucht der komische DLL zwar immer noch auf,
aber er ist identisch mit der guard.tmp (in diesem Fall ein Dummy). Guard.tmp und sein Zwillings
DLL lassen sich von Windows aus nicht löschen, da sie in Benutzung sind.
HTH, falls Debugger da sind die was mit dem original guard.tmp anfangen können, sagt Bescheid, dann
mail ich Ihn zu.

Gruß
chris

Meike · 07.06.2005

hilfäääääääääää.......und was machen PC-Blondies?????? :-\

Loadingwebsite 9Ringtone Paypopup <--- HILFE bin am verzweifeln

FrEaKnAsTy

Dakota

berliner-loewe

FrEaKnAsTy

berliner-loewe

PCDpan_fee

FrEaKnAsTy

PCDpan_fee

berliner-loewe

FrEaKnAsTy

PCDpan_fee

FrEaKnAsTy

FrEaKnAsTy

PCDpan_fee

FrEaKnAsTy

PCDpan_fee

FrEaKnAsTy

Netware

Meike

Loadingwebsite 9Ringtone Paypopup <--- HILFE bin am verzweifeln

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums