PC infiziert - Fixen mit Hi Jack This nicht möglich

Hi,

hab schon wieder den mist mit der about-blank startseite und den lästigen Pop-Ups. Leider schlägt das Fixen folgender Dateien fehl:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ypqzr.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ypqzr.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ypqzr.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ypqzr.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ypqzr.dll/sp.html#12047
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ypqzr.dll/sp.html#12047
R3 - Default URLSearchHook is missing

Was kann ich tun? Außer Format C:?
Vielen Dank für Eure Hilfe!

__________________
Viele Grüße,
Tempomat

Tempomat schrieb:

Was kann ich tun?

Zum Vergrößern anklicken....

Ein komplettes Log posten?
Logfile mal auf www.hijackthis.de selbst auswerten lassen?
Die von dir genannten Einträge reichen _nie_ zur Behebung des Problems aus.

Brennmeister, Du scheinst mir ja ein ganz schlauer zu sein  . Naja, nichts für ungut ;-).

Die oben aufgeführten Punkte stammen aus der Log-File und wurden bei der Auswertung auf www.hijackthis.de als böse deklariert. Das Problem ist nur, daß sie nach dem fixen und erneuter Prüfung immer noch in der Log File stehen und der Fehler nicht behoben wird.

Wenn Du auch die Punkte benötigst, die nicht gefixt werden sollen, kann ich Dir hier gerne nochmal die ganze Log File posten:

Logfile of HijackThis v1.99.1
Scan saved at 14:09:16, on 07.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\sdkwv32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Valve\Steam\Steam.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\sdkxi32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\DW0197~1\LOKALE~1\Temp\Rar$EX00.422\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ypqzr.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ypqzr.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ypqzr.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ypqzr.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ypqzr.dll/sp.html#12047
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ypqzr.dll/sp.html#12047
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {0F0643E6-66C9-84AC-D29E-41B9B31BF9E6} - C:\WINDOWS\system32\sysoc32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [sdkwv32.exe] C:\WINDOWS\sdkwv32.exe
O4 - HKLM\..\RunOnce: [sdkxi32.exe] C:\WINDOWS\system32\sdkxi32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\mfcdy32.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Tempomat schrieb:

Brennmeister, Du scheinst mir ja ein ganz schlauer zu sein  . Naja, nichts für ungut ;-).

Zum Vergrößern anklicken....

Du musst das nicht tun und ich muss das hier auch nicht tun. Ich entscheide mich dann mal für letzteres.

Kleiner Tipp noch: O4 - HKLM\..\Run: [sdkwv32.exe] C:\WINDOWS\sdkwv32.exe
O4 - HKLM\..\RunOnce: [sdkxi32.exe] C:\WINDOWS\system32\sdkxi32.exe

Aber psssst.

Achja, von einer sysoc32.dll habe ich auch noch nie gehört, wohl aber von einer sysoc ohne 32 (und das ist dann aber ne inf). Aber auch das weißt du natürlich schon, wird ja auch nicht als böse angezeigt, ne ;D

Ich entscheide mich dann mal für letzteres. 

Zum Vergrößern anklicken....

Sorry, aber warum sofort so eingeschnappt  ???? Deine ersten Tips haben mir leider nicht so recht weitergeholfen. Weil warum sollte ich hijackthis nutzen, wenn ich die Log anschließend nicht auswerte(n lasse)?!

Trotzdem Danke für den Tip! Jetzt will ich nur hoffen dass ich nix falsches mache, wenn ich Deine Tips fixe... 

Frieden ...

Ich bin nicht eingeschnappt, aber du weißt doch, geschriebenes kommt beim Empfänger oftmals anders an, als es der Absender vielleicht gemeint hat.
Vielleicht war deine Formulierung einfach etwas unglücklich gewählt...

Warum dir mein erstes Posting nicht geholfen hat, kann ich nicht nachvollziehen. Ich weiß nicht, dass du das Teil hast bereits auswerten lassen (schreibst du ja auch nicht hin) und ein komplettes Log ist 10x hilfreicher als 5 Einträge daraus. Insofern habe ich dir nur gesagt, was du tun kannst, denn nach nichts anderem hast du gefragt.

BTW solltest du mal SP2 installieren, nen alternativen Browser verwenden und dein Surfverhalten überdenken. Diese Hijacker kommen nicht einfach so, das hängt immer davon ab, wie man sich im Internet verhält.
Achja, und während man HijackThis ausführt, sollte der IE geschlossen sein.

Die Einträge, die ich dir genannt habe, scheinen mir jedenfalls keine guten Einträge zu sein. Nach dem Fixen müsstest du natürlich die entsprechenden Dateien in den entsprechenden Ordnern noch löschen.

Naja, vielleicht hab ich Deine erste Antwort einfach etwas fehlinterpretiert... Wie Du schon sagtest, vieles kommt beim Empfänger anders an, als es der Absender gemeint hat. Böse war's nicht gemeint .

Na gut, dann werd ich jetzt mal versuchen die bösen & die von Dir genannten Dateien zu fixen. Das mit dem Löschen wußte ich gar nicht, dachte die Dateien werden automatisch beim fixen gelöscht.

Nein, das fixen entfernt nur die entsprechenden Einträge in der Registry. Die Dateien bleiben auf der Platte bestehen.
Du musst dein System nach dem Fixieren entweder neustarten oder den Prozess C:\WINDOWS\sdkwv32.exe manuell killen, bevor du die Datei löschen kannst. Du kannst sie ja zur Sicherheit auch behalten und den Papierkorb erst später leeren, dann gehst du kein Risiko ein.

Alles bereinigt .