Hilfe: was muss ích bei dieser hijackthis log file rauslöschen?

[jack_12]

Es öffnen sich immer komische Startseiten. Der IE merkt sich nie meine eingegebene Startseite. Und es kommt fast immer boredelife vor meiner eingegebenen Site. Habe mit hijackthis unten stehendes kog file erstellt. Was muss ich jetzt davon rauslöschen?

Logfile of HijackThis v1.97.7
Scan saved at 14:41:24, on 20.03.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINNTSystem32smss.exe
C:WINNTsystem32winlogon.exe
C:WINNTsystem32services.exe
C:WINNTsystem32lsass.exe
C:WINNTsystem32svchost.exe
C:WINNTsystem32spoolsv.exe
C:WINNTSystem32Ati2evxx.exe
CrogrammeMcAfeeMcAfee VirusScanAvsynmgr.exe
CrogrammeAVPersonalAVWUPSRV.EXE
C:WINNTSystem32svchost.exe
C:WINNTsystem32regsvc.exe
C:WINNTSystem32r_server.exe
C:WINNTsystem32MSTask.exe
C:WINNTSystem32WBEMWinMgmt.exe
CrogrammeMcAfeeMcAfee VirusScanVsStat.exe
CrogrammeMcAfeeMcAfee VirusScanVshwin32.exe
CrogrammeGemeinsame DateienNetwork AssociatesMcShieldMcshield.exe
CrogrammeMcAfeeMcAfee VirusScanAvconsol.exe
C:WINNTExplorer.EXE
C:WINNTSystem32RunDll32.exe
CrogrammeATI TechnologiesATI Control Panelatiptaxx.exe
CrogrammeElaborate BytesCloneCDCloneCDTray.exe
CrogrammeWinamp3winampa.exe
CrogrammeD-Toolsdaemon.exe
CrogrammeTelefonCDOtbStart.EXE
CROGRA~1A4TechMouseAmoumain.exe
CrogrammeMcAfeeMcAfee Shared ComponentsInstant UpdaterRuLaunch.exe
CrogrammeInterVideoCommonBinWinCinemaMgr.exe
CrogrammeInternet ExplorerIEXPLORE.EXE
CownloadsHijackThishijackthis1977HijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet Explorer,SearchURL =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

Please, Anmelden or Registrieren to view URLs content!

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page_bak =

Please, Anmelden or Registrieren to view URLs content!

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKCUSoftwareMicrosoftInternet Explorer,Search =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKLMSoftwareMicrosoftInternet Explorer,Search =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - CrogrammeAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - crogrammegooglegoogletoolbar1.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - CrogrammeMcAfeeMcAfee VirusScanVSCShellExtension.dll
O3 - Toolbar: (no name) - {3C624F62-E7D9-4154-9C93-F3489069FD52} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - crogrammegooglegoogletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINNTSystem32msdxm.ocx
O4 - HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM..Run: [ATIPTA] CrogrammeATI TechnologiesATI Control Panelatiptaxx.exe
O4 - HKLM..Run: [CloneCDElbyCDFL] "CrogrammeElaborate BytesCloneCDElbyCheck.exe" /L ElbyCDFL
O4 - HKLM..Run: [CloneCDTray] "CrogrammeElaborate BytesCloneCDCloneCDTray.exe"
O4 - HKLM..Run: [WinampAgent] "CrogrammeWinamp3winampa.exe"
O4 - HKLM..Run: [DAEMON Tools-1033] "CrogrammeD-Toolsdaemon.exe" -lang 1033
O4 - HKLM..Run: [OtbStart] CrogrammeTelefonCDOtbStart.EXE
O4 - HKLM..Run: [WheelMouse] CROGRA~1A4TechMouseAmoumain.exe
O4 - HKLM..Run: [CloneDVDElbyDelay] "CrogrammeElaborate BytesCloneDVDElbyCheck.exe" /L ElbyDelay
O4 - HKLM..Run: [NeroFilterCheck] C:WINNTsystem32NeroCheck.exe
O4 - HKLM..Run: [SBHC] CrogrammeSuperBarsbhc.exe
O4 - HKLM..Run: [sys] regedit -s sysdllwm.reg
O4 - HKCU..Run: [McAfee.InstantUpdate.Monitor] "CrogrammeMcAfeeMcAfee Shared ComponentsInstant UpdaterRuLaunch.exe" /STARTMONITOR
O4 - HKCU..Run: [winlogon] c:winntwinlogon.exe
O4 - HKCU..Run: [16zgtws1h2] C:WINNTxxxv8j61nc.exe
O4 - HKCU..Run: [2a3dv5h7fe] C:WINNTjgbr8heb1s.exe
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = CrogrammeInterVideoCommonBinWinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = CrogrammeMicrosoft OfficeOfficeOSA9.EXE
O8 - Extra context menu item: &Google Search - res://CrogrammeGoogleGoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://CrogrammeGoogleGoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://CrogrammeGoogleGoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://CrogrammeGoogleGoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -

Please, Anmelden or Registrieren to view URLs content!

O17 - HKLMSystemCCSServicesTcpip..{FCCDDA0F-B5D1-428E-B6D3-1F4292A2B52E}: NameServer = 195.58.160.2,195.58.160.3,195.58.161.3,195.3.96.67,195.3.96.68
O19 - User stylesheet: C:WINNTWebtips.ini
O19 - User stylesheet: C:WINNThh.htt (HKLM)

 

[pcwango]

Re: Hilfe: was muss ích bei dieser hijackthis log file rauslöschen?

Schau hier nach:

Please, Anmelden or Registrieren to view URLs content!

und hier

Please, Anmelden or Registrieren to view URLs content!

Benutze bitte ein AntiVir Programme z.B:

Please, Anmelden or Registrieren to view URLs content!

oder Ad-aware:

Please, Anmelden or Registrieren to view URLs content!

wenn dich das nicht weiter hilft dann melde dich noch mal.

 

[Anni]

Re: Hilfe: was muss ích bei dieser hijackthis log file rauslöschen?

hi jack,
alles, wo R1 davor steht fixen (im hijackthis) und löschen... danach würde ich JV16 tool runterladen und die Registry aufräumen... da kommst du glaube ich nich drum rum....
Wenn du Adaware hast, bitte durchlaufen lassen, genauso dein Antivirus Programm.. vorausgesetzt du hast alle deine schutzprogramme geupdatet... das ist ganz wichtig...

Please, Anmelden or Registrieren to view URLs content!

<--- runterladen und registry damit säubern....
ich such dir noch gleich die anleitung dafür...

ach ja.. nach m fixen und löschen hijackthis nochmal durchlaufen lassen und bitte log posten

LG
Anni

 

[Anni]

Re: Hilfe: was muss ích bei dieser hijackthis log file rauslöschen?

die anleitung für das JV16 Power Tool:

Please, Anmelden or Registrieren to view URLs content!

Please, Anmelden or Registrieren to view URLs content!

Please, Anmelden or Registrieren to view URLs content!

Please, Anmelden or Registrieren to view URLs content!

ist etwas umfangreich aber ist sehr gut erklärt.. da kannst du nix mehr falsch machen...

LG
Anni

 

[jack_12]

Re: Hilfe: was muss ích bei dieser hijackthis log file rauslöschen?

Danke für die guten Tipps!! Habe die mit R1 gekennzeichneten Einträge rausgelöscht und danach JV16 downgeloadet und die Registry laut der Beschreibung aufgeräumt.
Ad-Aware hab ich zwar nicht, dafür "SpyBot Search & Destroy" - der hat keine "Spione" gefunden. (Wäre Ad-Aware besser oder empfehlenswerter?)
Jetzt läuft alles wieder sehr gut.

Hier noch die neue log Datei vom Hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 17:02:36, on 20.03.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINNTSystem32smss.exe
C:WINNTsystem32winlogon.exe
C:WINNTsystem32services.exe
C:WINNTsystem32lsass.exe
C:WINNTsystem32svchost.exe
C:WINNTsystem32spoolsv.exe
C:WINNTSystem32Ati2evxx.exe
CrogrammeMcAfeeMcAfee VirusScanAvsynmgr.exe
CrogrammeAVPersonalAVWUPSRV.EXE
C:WINNTSystem32svchost.exe
C:WINNTsystem32regsvc.exe
C:WINNTSystem32r_server.exe
C:WINNTsystem32MSTask.exe
C:WINNTSystem32WBEMWinMgmt.exe
CrogrammeMcAfeeMcAfee VirusScanVsStat.exe
CrogrammeMcAfeeMcAfee VirusScanVshwin32.exe
CrogrammeGemeinsame DateienNetwork AssociatesMcShieldMcshield.exe
CrogrammeMcAfeeMcAfee VirusScanAvconsol.exe
C:WINNTExplorer.EXE
C:WINNTSystem32RunDll32.exe
CrogrammeATI TechnologiesATI Control Panelatiptaxx.exe
CrogrammeElaborate BytesCloneCDCloneCDTray.exe
CrogrammeWinamp3winampa.exe
CrogrammeD-Toolsdaemon.exe
CrogrammeTelefonCDOtbStart.EXE
CROGRA~1A4TechMouseAmoumain.exe
CrogrammeMcAfeeMcAfee Shared ComponentsInstant UpdaterRuLaunch.exe
CrogrammeInterVideoCommonBinWinCinemaMgr.exe
CrogrammeInternet ExplorerIEXPLORE.EXE
CrogrammeSpybot - Search & DestroySpybotSD.exe
CownloadsHijackThishijackthis1977HijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

Please, Anmelden or Registrieren to view URLs content!

R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - CrogrammeAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - crogrammegooglegoogletoolbar1.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - CrogrammeMcAfeeMcAfee VirusScanVSCShellExtension.dll
O3 - Toolbar: (no name) - {3C624F62-E7D9-4154-9C93-F3489069FD52} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - crogrammegooglegoogletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINNTSystem32msdxm.ocx
O4 - HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM..Run: [ATIPTA] CrogrammeATI TechnologiesATI Control Panelatiptaxx.exe
O4 - HKLM..Run: [CloneCDElbyCDFL] "CrogrammeElaborate BytesCloneCDElbyCheck.exe" /L ElbyCDFL
O4 - HKLM..Run: [CloneCDTray] "CrogrammeElaborate BytesCloneCDCloneCDTray.exe"
O4 - HKLM..Run: [WinampAgent] "CrogrammeWinamp3winampa.exe"
O4 - HKLM..Run: [DAEMON Tools-1033] "CrogrammeD-Toolsdaemon.exe" -lang 1033
O4 - HKLM..Run: [OtbStart] CrogrammeTelefonCDOtbStart.EXE
O4 - HKLM..Run: [WheelMouse] CROGRA~1A4TechMouseAmoumain.exe
O4 - HKLM..Run: [CloneDVDElbyDelay] "CrogrammeElaborate BytesCloneDVDElbyCheck.exe" /L ElbyDelay
O4 - HKLM..Run: [NeroFilterCheck] C:WINNTsystem32NeroCheck.exe
O4 - HKLM..Run: [sys] regedit -s sysdllwm.reg
O4 - HKCU..Run: [McAfee.InstantUpdate.Monitor] "CrogrammeMcAfeeMcAfee Shared ComponentsInstant UpdaterRuLaunch.exe" /STARTMONITOR
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = CrogrammeInterVideoCommonBinWinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = CrogrammeMicrosoft OfficeOfficeOSA9.EXE
O8 - Extra context menu item: &Google Search - res://CrogrammeGoogleGoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://CrogrammeGoogleGoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://CrogrammeGoogleGoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://CrogrammeGoogleGoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -

Please, Anmelden or Registrieren to view URLs content!

O17 - HKLMSystemCCSServicesTcpip..{FCCDDA0F-B5D1-428E-B6D3-1F4292A2B52E}: NameServer = 195.58.160.2,195.58.160.3,195.58.161.3,195.3.96.67,195.3.96.68
O19 - User stylesheet: C:WINNTWebtips.ini
O19 - User stylesheet: C:WINNThh.htt (HKLM)

 

[Anni]

Re: Hilfe: was muss ích bei dieser hijackthis log file rauslöschen?

R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =


die da kannst du nochmal fixen und löschen...
nochn kleiner tipp.. wenn du z.b. norton nimmst statt McAffee hast du um einiges weniger unter den laufenden Prozesse... wenns bei mir soviel im Taskmanager stehen würde würde ich durchdrehen.... viel zu viel prozesse....

lade trotzdem mal bitte adaware runter, und lass ihn durchlaufen.. ich werd das gefühl trotz allem nicht los, dass bei dir noch irgendwo n dialer schlummert....

LG
Anni

 

[jack_12]

Re: Hilfe: was muss ích bei dieser hijackthis log file rauslöschen?

Hab mir Ad-aware runtergeladen, upgedatet und gescannt. Hat wirklich noch ein paar Sachen gefunden. Das mit den vielen Prozessen: Das ist aber nicht wirklich ein Problem oder? Das blöde ist halt das ich nicht genau weiß welche Prozesse für was zuständig sind. Aber na ja...es stört mich auch nicht weiter.

Danke nochmal für die gute Hilfestellung.

 

[Anni]

Re: Hilfe: was muss ích bei dieser hijackthis log file rauslöschen?

systemprozesse sollte man nicht unbedingt beenden, doch unterm benutzernamen befindlichen kannst du mal testen..was passiert, wenn du das eine oder andere prozess beendest... mehr, als dass du dann mal eben neu starten musst, kann nich passieren...

es ist halt so, je mehr prozesse laufen, um so langsamer ist der rechner.... und viele Prozesse beenden sich nicht, obwohl man die Anwendung schon längst geschlossen hat...

Auf jeden fall ist es schön zu hören, dass alles wieder läuft wie es soll... Adaware auch etwa einmal pro woche durchlaufen lassen, genau so wie antivir.... und immer schön alles uptodate halten.. das ist das wichtigste....

LG
Anni

 

[chrisi]

Re: Hilfe: was muss ích bei dieser hijackthis log file rauslöschen?

hallo ich habe nun genau das selbe problem
und bereits mehr als 6 stunden alles probiert
ohne erfolg
nach jedem neustart
nistet sich diese blöde

Please, Anmelden or Registrieren to view URLs content!

((

Please, Anmelden or Registrieren to view URLs content!

(obfuscated))
seite ein
in den internetoptionen startseite heißt sie http://%72%69%76%69%65%72%61%2E%63%63
habe spybot b+d (stand 2.februar 2004)
und adaware 6.0 professional mit aktuellem update drüberlaufen lassen
und HijackThis mit löschen aller eigenartigen dateien (wahrscheinlich mittlerweile schon zu viele) und registry cleaning
alle cookies raus, alle temp geleert....
ABER fuck trotzdem nachjedem neustart immer das selbe
hier mal mein log

Logfile of HijackThis v1.97.7
Scan saved at 20:35:45, on 19.04.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSSYSTEMMPREXE.EXE
C:WINDOWSSYSTEMMSTASK.EXE
CROGRAMMENORTON CLEANSWEEPCSINJECT.EXE
C:WINDOWSSYSTEMSTIMON.EXE
C:WINDOWSEXPLORER.EXE
C:WINDOWSSYSTEMPGPSDKSERV.EXE
CROGRAMMESYMANTECNORTON GHOST 2003GHOSTSTARTSERVICE.EXE
CROGRAMMEGEMEINSAME DATEIENSYMANTEC SHAREDCCEVTMGR.EXE
CROGRAMMENORTON INTERNET SECURITYNISUM.EXE
CROGRAMMENORTON INTERNET SECURITYCCPXYSVC.EXE
C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSSYSTEMTAPISRV.EXE
C:WINDOWSSYSTEMRESTORESTMGR.EXE
C:WINDOWSTASKMON.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
C:WINDOWSSYSTEM32DRIVERSDCFSSVC.EXE
C:WINDOWSSYSTEMWMIEXE.EXE
CROGRAMMET-DSL SPEEDMANAGERSPEEDMGR.EXE
CROGRAMME190 WARNERWARN0190.EXE
CROGRAMMEGEMEINSAME DATEIENSYMANTEC SHAREDCCAPP.EXE
CROGRAMMEGEMEINSAME DATEIENREALUPDATE_OBREALSCHED.EXE
CROGRAMMENORTON CLEANSWEEPCSINSM32.EXE
CROGRAMMEWINDOWS MEDIA COMPONENTSENCODERWMENCAGT.EXE
CrogrammeNorton CleanSweepMonwow.exe
CROGRAMMET-DSL SPEEDMANAGERTSMSVC.EXE
CROGRAMMEINTERNET EXPLORERIEXPLORE.EXE
EROGRAMMENEUHIJACKTHIS.EXE

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - CrogrammeNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSYSTEMMSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - CrogrammeNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [ScanRegistry] C:WINDOWSscanregw.exe /autorun
O4 - HKLM..Run: [TaskMonitor] C:WINDOWStaskmon.exe
O4 - HKLM..Run: [PCHealth] C:WINDOWSPCHealthSupportPCHSchd.exe -s
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit
O4 - HKLM..Run: [Dcfssvc] C:WINDOWSSystem32Driversdcfssvc.exe
O4 - HKLM..Run: [T-DSL SpeedMgr] "CROGRAMMET-DSL SPEEDMANAGERSPEEDMGR.EXE"
O4 - HKLM..Run: [0190 Warner] CROGRA~1190WA~1WARN0190.EXE
O4 - HKLM..Run: [ccApp] "CrogrammeGemeinsame DateienSymantec SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "CrogrammeGemeinsame DateienSymantec SharedccRegVfy.exe"
O4 - HKLM..Run: [PDF Converter Registry Controller] "CrogrammeScanSoftPDF ConverterRegistryController.exe"
O4 - HKLM..Run: [sys] regedit -s sysdll.reg
O4 - HKLM..Run: [TkBellExe] "CrogrammeGemeinsame DateienRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [iamapp] CrogrammeNorton Internet SecurityIAMAPP.EXE
O4 - HKLM..RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM..RunServices: [CSINJECT.EXE] CrogrammeNorton CleanSweepCSINJECT.EXE
O4 - HKLM..RunServices: [StillImageMonitor] C:WINDOWSSYSTEMSTIMON.EXE
O4 - HKLM..RunServices: [PGPSDKSVC] C:WINDOWSSYSTEMPGPsdkServ.exe
O4 - HKLM..RunServices: [*StateMgr] C:WINDOWSSYSTEMRestoreStateMgr.exe
O4 - HKLM..RunServices: [GhostStartService] CROGRAMMESYMANTECNORTON GHOST 2003GHOSTSTARTSERVICE.EXE
O4 - HKLM..RunServices: [ccEvtMgr] "CrogrammeGemeinsame DateienSymantec SharedccEvtMgr.exe"
O4 - HKLM..RunServices: [Nisum] CrogrammeNorton Internet SecurityNISUM.EXE
O4 - HKLM..RunServices: [ccPxySvc] CROGRA~1NORTON~4CCPXYSVC.EXE
O4 - HKLM..RunServices: [ScriptBlocking] "CrogrammeGemeinsame DateienSymantec SharedScript BlockingSBServ.exe" -reg
O4 - HKLM..RunServices: [nisserv] CrogrammeNorton Internet SecurityNISSERV.EXE
O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = CrogrammeNorton CleanSweepcsinsm32.exe
O4 - Startup: Encoder Agent.lnk = CrogrammeWindows Media ComponentsEncoderWMENCAGT.EXE
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) -

Please, Anmelden or Registrieren to view URLs content!

O8 - Extra context menu item: PDF in Word öffnen - res://CrogrammeScanSoftPDF ConverterIEShellExt.dll /500
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: D-Info (HKLM)
O9 - Extra 'Tools' menuitem: D-Info (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: PicGrab (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten (HKCU)
O12 - Plugin for .UVR: CrogrammeInternet ExplorerPluginsNPUPano.dll
O12 - Plugin for .avi: CrogrammeNetscapeCommunicatorProgramPLUGINSnpavi32.dll
O12 - Plugin for .swf: CrogrammeNetscapeCommunicatorProgramPLUGINSnpswf32.dll
O12 - Plugin for .rm: CROGRAMMENETSCAPECOMMUNICATORPROGRAMPLUGINSnppl3260.dll
O12 - Plugin for .mp3: CROGRA~1INTERN~1PLUGINSnpqtplugin4.dll
O12 - Plugin for .mpeg: CROGRA~1INTERN~1PLUGINSnpqtplugin3.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {A19A5625-2E41-4A8E-9AAA-629958E64E49} (XPeachpie.XPeachpieCtl) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {C94BFF60-7315-11D2-A844-0060086FEFD7} (Internet Banking und Brokerage) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -

Please, Anmelden or Registrieren to view URLs content!

O17 - HKLMSystemCCSServicesVxDMSTCP: NameServer = 192.168.120.252,192.168.120.253

etwas ähnliches hatte ich schonmal vor einigen monaten und da hatte spybot und adware geholfen...
nun nicht

help me

danke
christian

 

[Anni]

Re: Hilfe: was muss ích bei dieser hijackthis log file rauslöschen?

Hallo Christian,
also:

die sachen :

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://opti.riviera.cc (obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://opti.riviera.cc (obfuscated)
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://riviera.cc (obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://opti.riviera.cc (obfuscated)
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://riviera.cc (obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://opti.riviera.cc (obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://opti.riviera.cc (obfuscated)
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = http://opti.riviera.cc (obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP = http://riviera.cc (obfuscated)
bitte im hijackthis erstmal fixen, dann neustart, und dann neu scannen und den log hier wieder posten... dann können wir mal weiter sehen... die müssen auf jeden fall mal raus, deine prozesse schau ich mir währenddessen an... evtl. muss auch was raus.. aber das mal als erstes..

LG
Anni

 

[Anni]

Re: Hilfe: was muss ích bei dieser hijackthis log file rauslöschen?

hi christian,
so und nun zum restlichen:

O16 - DPF: {A19A5625-2E41-4A8E-9AAA-629958E64E49} (XPeachpie.XPeachpieCtl) - http://cc.st82.arena.ne.jp/ace/prg/XPeachpie.CAB
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://66.230.143.209/loader/dploader.cab
die bitte aussuchen und im hijackthis scanergebnis fixen (sorry dass es so langsam und nur stückweise geht, aber bei manchen sachen muss ich selbst suchen, was das sein könnte... jeder rechner ist nun mal anders... :redhead:
danach wieder mal neustart und neu scannen.. ergebnis bitte wieder posten.... bei den prozessen konnte ich nix verdächtiges entdecken ausser einen eintrag:

C:\WINDOWS\SYSTEM\RNAAPP.EXE
über den habe ich leider nur unterschiedliche ergebnisse gefunden... wenn deine wall "motzt" dass das gute teil eine eingehende verbindung herstellen will, dann prozess beenden und die datei löschen....

LG
Anni

 

[chrisi]

Re: Hilfe: was muss ích bei dieser hijackthis log file rauslöschen?

danke für die schnelle hilfe

habe die einträge nochmals gekillt, aber wie es schon den ganzen tag war, sind sie wieder da

Logfile of HijackThis v1.97.7
Scan saved at 22:59:27, on 19.04.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSSYSTEMMPREXE.EXE
C:WINDOWSSYSTEMMSTASK.EXE
CROGRAMMENORTON CLEANSWEEPCSINJECT.EXE
C:WINDOWSSYSTEMSTIMON.EXE
C:WINDOWSSYSTEMPGPSDKSERV.EXE
CROGRAMMESYMANTECNORTON GHOST 2003GHOSTSTARTSERVICE.EXE
CROGRAMMEGEMEINSAME DATEIENSYMANTEC SHAREDCCEVTMGR.EXE
CROGRAMMENORTON INTERNET SECURITYNISUM.EXE
CROGRAMMENORTON INTERNET SECURITYCCPXYSVC.EXE
C:WINDOWSEXPLORER.EXE
C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSSYSTEMTAPISRV.EXE
C:WINDOWSSYSTEMRESTORESTMGR.EXE
C:WINDOWSTASKMON.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
C:WINDOWSSYSTEM32DRIVERSDCFSSVC.EXE
C:WINDOWSSYSTEMWMIEXE.EXE
CROGRAMMET-DSL SPEEDMANAGERSPEEDMGR.EXE
CROGRAMME190 WARNERWARN0190.EXE
CROGRAMMEGEMEINSAME DATEIENSYMANTEC SHAREDCCAPP.EXE
CROGRAMMEGEMEINSAME DATEIENREALUPDATE_OBREALSCHED.EXE
CROGRAMMENORTON CLEANSWEEPCSINSM32.EXE
CrogrammeNorton CleanSweepMonwow.exe
CROGRAMMEWINDOWS MEDIA COMPONENTSENCODERWMENCAGT.EXE
CROGRAMMET-DSL SPEEDMANAGERTSMSVC.EXE
C:WINDOWSSYSTEMPSTORES.EXE
CROGRAMMEINTERNET EXPLORERIEXPLORE.EXE
EROGRAMMENEUHIJACKTHIS.EXE

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - CrogrammeNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSYSTEMMSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - CrogrammeNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [ScanRegistry] C:WINDOWSscanregw.exe /autorun
O4 - HKLM..Run: [TaskMonitor] C:WINDOWStaskmon.exe
O4 - HKLM..Run: [PCHealth] C:WINDOWSPCHealthSupportPCHSchd.exe -s
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit
O4 - HKLM..Run: [Dcfssvc] C:WINDOWSSystem32Driversdcfssvc.exe
O4 - HKLM..Run: [T-DSL SpeedMgr] "CROGRAMMET-DSL SPEEDMANAGERSPEEDMGR.EXE"
O4 - HKLM..Run: [0190 Warner] CROGRA~1190WA~1WARN0190.EXE
O4 - HKLM..Run: [ccApp] "CrogrammeGemeinsame DateienSymantec SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "CrogrammeGemeinsame DateienSymantec SharedccRegVfy.exe"
O4 - HKLM..Run: [PDF Converter Registry Controller] "CrogrammeScanSoftPDF ConverterRegistryController.exe"
O4 - HKLM..Run: [sys] regedit -s sysdll.reg
O4 - HKLM..Run: [TkBellExe] "CrogrammeGemeinsame DateienRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [iamapp] CrogrammeNorton Internet SecurityIAMAPP.EXE
O4 - HKLM..RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM..RunServices: [CSINJECT.EXE] CrogrammeNorton CleanSweepCSINJECT.EXE
O4 - HKLM..RunServices: [StillImageMonitor] C:WINDOWSSYSTEMSTIMON.EXE
O4 - HKLM..RunServices: [PGPSDKSVC] C:WINDOWSSYSTEMPGPsdkServ.exe
O4 - HKLM..RunServices: [*StateMgr] C:WINDOWSSYSTEMRestoreStateMgr.exe
O4 - HKLM..RunServices: [GhostStartService] CROGRAMMESYMANTECNORTON GHOST 2003GHOSTSTARTSERVICE.EXE
O4 - HKLM..RunServices: [ccEvtMgr] "CrogrammeGemeinsame DateienSymantec SharedccEvtMgr.exe"
O4 - HKLM..RunServices: [Nisum] CrogrammeNorton Internet SecurityNISUM.EXE
O4 - HKLM..RunServices: [ccPxySvc] CROGRA~1NORTON~4CCPXYSVC.EXE
O4 - HKLM..RunServices: [ScriptBlocking] "CrogrammeGemeinsame DateienSymantec SharedScript BlockingSBServ.exe" -reg
O4 - HKLM..RunServices: [nisserv] CrogrammeNorton Internet SecurityNISSERV.EXE
O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = CrogrammeNorton CleanSweepcsinsm32.exe
O4 - Startup: Encoder Agent.lnk = CrogrammeWindows Media ComponentsEncoderWMENCAGT.EXE
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) -

Please, Anmelden or Registrieren to view URLs content!

O8 - Extra context menu item: PDF in Word öffnen - res://CrogrammeScanSoftPDF ConverterIEShellExt.dll /500
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: D-Info (HKLM)
O9 - Extra 'Tools' menuitem: D-Info (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: PicGrab (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten (HKCU)
O12 - Plugin for .UVR: CrogrammeInternet ExplorerPluginsNPUPano.dll
O12 - Plugin for .avi: CrogrammeNetscapeCommunicatorProgramPLUGINSnpavi32.dll
O12 - Plugin for .swf: CrogrammeNetscapeCommunicatorProgramPLUGINSnpswf32.dll
O12 - Plugin for .rm: CROGRAMMENETSCAPECOMMUNICATORPROGRAMPLUGINSnppl3260.dll
O12 - Plugin for .mp3: CROGRA~1INTERN~1PLUGINSnpqtplugin4.dll
O12 - Plugin for .mpeg: CROGRA~1INTERN~1PLUGINSnpqtplugin3.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {C94BFF60-7315-11D2-A844-0060086FEFD7} (Internet Banking und Brokerage) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -

Please, Anmelden or Registrieren to view URLs content!

O17 - HKLMSystemCCSServicesVxDMSTCP: NameServer = 192.168.120.252,192.168.120.253

die rnaapp.exe habe ich über dos gelöscht und setzte damit das dfü netzwerk außer gefecht....hat also scheinbar nichts nit dem problem zu tun
so muss also noch irgendwo anders eine "datei" stecken, die immer wieder trotz "löschen" die blöde site nach dem neustart anzieht.....

gruß
christian

 

[Anni]

Re: Hilfe: was muss ích bei dieser hijackthis log file rauslöschen?

Hi Christian,
wie gehst du vor beim löschen? du musst die dateien im hijackthis fixen, sonst wird das nix...

was ist mit diesen einträgen hier?

O16 - DPF:
{A19A5625-2E41-4A8E-9AAA-629958E64E49} (XPeachpie.XPeachpieCtl) - http://cc.st82.arena.ne.jp/ace/prg/XPeachpie.CAB
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://66.230.143.209/loader/dploader.cab
hast du sie schon gefixt? was anderes ungewöhnliches kann ich leider nicht erkennen.. an deiner stelle würde ich noch adaware runterladen, updaten und durchlaufen lassen...

Please, Anmelden or Registrieren to view URLs content!

schaden kanns bestimmt nicht....

LG
Anni

 

[chrisi]

Re: Hilfe: was muss ích bei dieser hijackthis log file rauslöschen?

hallo anni

die einträge

code:--------------------------------------------------------------------------------O16 - DPF:
{A19A5625-2E41-4A8E-9AAA-629958E64E49} (XPeachpie.XPeachpieCtl) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} -

Please, Anmelden or Registrieren to view URLs content!

--------------------------------------------------------------------------------

habe ich ebenfalls, wie du beschrieben hast gelöscht

und sie bleiben auch dauerhaft weg

nur die blöden riviera einträge

R1 -
HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,HomeOldSP =

Please, Anmelden or Registrieren to view URLs content!

(obfuscated)

kommen immer wieder
habe auch adaware (sogar die pro version) drüberlaufen lassen, entweder findet er nichts oder der eintrag, der gefunden wird, kommt nach dem neustart ebenfalls wieder....

beim löschen gehe ich folgendermaßen vor

erst scan, dann markieren und dann drücke ich auf fix cheked, dann fragt der computer ob man die markierungen dauerhaft löschen will, das bestätige ich
dann neustart und alles beginnt von neuem

leider...

christian

 

[chrisi]

Re: Hilfe: was muss ích bei dieser hijackthis log file rauslöschen?

nachtrag

habe gerade nochmal einen
log erstellt

Logfile of HijackThis v1.97.7
Scan saved at 16:38:24, on 20.04.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMSPOOL32.EXE
C:WINDOWSSYSTEMMPREXE.EXE
C:WINDOWSSYSTEMMSTASK.EXE
CROGRAMMENORTON CLEANSWEEPCSINJECT.EXE
C:WINDOWSSYSTEMSTIMON.EXE
C:WINDOWSSYSTEMPGPSDKSERV.EXE
CROGRAMMESYMANTECNORTON GHOST 2003GHOSTSTARTSERVICE.EXE
CROGRAMMEGEMEINSAME DATEIENSYMANTEC SHAREDCCEVTMGR.EXE
CROGRAMMENORTON INTERNET SECURITYNISUM.EXE
CROGRAMMENORTON INTERNET SECURITYCCPXYSVC.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSEXPLORER.EXE
C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSSYSTEMTAPISRV.EXE
C:WINDOWSSYSTEMRESTORESTMGR.EXE
C:WINDOWSTASKMON.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
C:WINDOWSSYSTEM32DRIVERSDCFSSVC.EXE
C:WINDOWSSYSTEMWMIEXE.EXE
CROGRAMMET-DSL SPEEDMANAGERSPEEDMGR.EXE
CROGRAMME190 WARNERWARN0190.EXE
CROGRAMMEGEMEINSAME DATEIENSYMANTEC SHAREDCCAPP.EXE
CROGRAMMEGEMEINSAME DATEIENREALUPDATE_OBREALSCHED.EXE
CROGRAMMENORTON CLEANSWEEPCSINSM32.EXE
CrogrammeNorton CleanSweepMonwow.exe
CROGRAMMEWINDOWS MEDIA COMPONENTSENCODERWMENCAGT.EXE
CROGRAMMET-DSL SPEEDMANAGERTSMSVC.EXE
C:WINDOWSSYSTEMDDHELP.EXE
C:WINDOWSSYSTEMPSTORES.EXE
CROGRAMMEINTERNET EXPLORERIEXPLORE.EXE
CROGRAMMEINTERNET EXPLORERIEXPLORE.EXE
EROGRAMMENEUHIJACKTHIS.EXE

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - CrogrammeNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSYSTEMMSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - CrogrammeNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [ScanRegistry] C:WINDOWSscanregw.exe /autorun
O4 - HKLM..Run: [TaskMonitor] C:WINDOWStaskmon.exe
O4 - HKLM..Run: [PCHealth] C:WINDOWSPCHealthSupportPCHSchd.exe -s
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit
O4 - HKLM..Run: [Dcfssvc] C:WINDOWSSystem32Driversdcfssvc.exe
O4 - HKLM..Run: [T-DSL SpeedMgr] "CROGRAMMET-DSL SPEEDMANAGERSPEEDMGR.EXE"
O4 - HKLM..Run: [0190 Warner] CROGRA~1190WA~1WARN0190.EXE
O4 - HKLM..Run: [ccApp] "CrogrammeGemeinsame DateienSymantec SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "CrogrammeGemeinsame DateienSymantec SharedccRegVfy.exe"
O4 - HKLM..Run: [PDF Converter Registry Controller] "CrogrammeScanSoftPDF ConverterRegistryController.exe"
O4 - HKLM..Run: [sys] regedit -s sysdll.reg
O4 - HKLM..Run: [TkBellExe] "CrogrammeGemeinsame DateienRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [iamapp] CrogrammeNorton Internet SecurityIAMAPP.EXE
O4 - HKLM..RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM..RunServices: [CSINJECT.EXE] CrogrammeNorton CleanSweepCSINJECT.EXE
O4 - HKLM..RunServices: [StillImageMonitor] C:WINDOWSSYSTEMSTIMON.EXE
O4 - HKLM..RunServices: [PGPSDKSVC] C:WINDOWSSYSTEMPGPsdkServ.exe
O4 - HKLM..RunServices: [*StateMgr] C:WINDOWSSYSTEMRestoreStateMgr.exe
O4 - HKLM..RunServices: [GhostStartService] CROGRAMMESYMANTECNORTON GHOST 2003GHOSTSTARTSERVICE.EXE
O4 - HKLM..RunServices: [ccEvtMgr] "CrogrammeGemeinsame DateienSymantec SharedccEvtMgr.exe"
O4 - HKLM..RunServices: [Nisum] CrogrammeNorton Internet SecurityNISUM.EXE
O4 - HKLM..RunServices: [ccPxySvc] CROGRA~1NORTON~4CCPXYSVC.EXE
O4 - HKLM..RunServices: [ScriptBlocking] "CrogrammeGemeinsame DateienSymantec SharedScript BlockingSBServ.exe" -reg
O4 - HKLM..RunServices: [nisserv] CrogrammeNorton Internet SecurityNISSERV.EXE
O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = CrogrammeNorton CleanSweepcsinsm32.exe
O4 - Startup: Encoder Agent.lnk = CrogrammeWindows Media ComponentsEncoderWMENCAGT.EXE
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) -

Please, Anmelden or Registrieren to view URLs content!

O8 - Extra context menu item: PDF in Word öffnen - res://CrogrammeScanSoftPDF ConverterIEShellExt.dll /500
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: D-Info (HKLM)
O9 - Extra 'Tools' menuitem: D-Info (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: PicGrab (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten (HKCU)
O12 - Plugin for .UVR: CrogrammeInternet ExplorerPluginsNPUPano.dll
O12 - Plugin for .avi: CrogrammeNetscapeCommunicatorProgramPLUGINSnpavi32.dll
O12 - Plugin for .swf: CrogrammeNetscapeCommunicatorProgramPLUGINSnpswf32.dll
O12 - Plugin for .rm: CROGRAMMENETSCAPECOMMUNICATORPROGRAMPLUGINSnppl3260.dll
O12 - Plugin for .mp3: CROGRA~1INTERN~1PLUGINSnpqtplugin4.dll
O12 - Plugin for .mpeg: CROGRA~1INTERN~1PLUGINSnpqtplugin3.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {C94BFF60-7315-11D2-A844-0060086FEFD7} (Internet Banking und Brokerage) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -

Please, Anmelden or Registrieren to view URLs content!

O17 - HKLMSystemCCSServicesVxDMSTCP: NameServer = 192.168.120.252,192.168.120.253

die riviera einträge scheinen weg zu sein
...aber die startseíte gibt es nach wie vor...
ich glaube, dass ich mal Add cheked to ignorelist gedrückt hatte....
war das falsch???

christian

 

[Anni]

Re: Hilfe: was muss ích bei dieser hijackthis log file rauslöschen?

Hi Christian,

Please, Anmelden or Registrieren to view URLs content!

mal den CWSshredder vielleicht noch runterladen, updaten und damit scannen lassen... mir scheint, du hast was hartnäckiges drauf... hast du deine startseite wieder auf deine "standard" seite umgestellt? durch das fixen von den einträgen verschwindet deren Site nicht automatisch als startseite.. also manuell umstellen....
wenn du das getan hast, wovon ich ja ausgehe, dann mit dem shredder scannen und dann nochmal hijackthis log posten.. ich weiss, es ist mühsam, aber noch immer besser, als formatieren.. ach ja und noch was:
wenn du deinen log postest, benutze bitte den "code" button ( "#" überm textfeld, wo du den beitrag schreibst) dann sind keine smilies im code enthalten und wird der ganze text im forum (so hoffe ich) dargestellt, denn aus irgendeinem grund kann ich deine sämtlichen Prozesse in der mail lesen, die ich vom board bekomme, aber hier im forum fehlt dann ne ganze menge... wenn du auf die # klickst, hast du: [ code ] und [ /code ] der text vom log MUSS sich dann zwischen die beiden "fetten" befinden....

LG
Anni

 

[chrisi]

Re: Hilfe: was muss ích bei dieser hijackthis log file rauslöschen?

hallo anni

der log sieht nun so aus
ich hoffe das mit dem "code" hat geklappt....

Logfile of HijackThis v1.97.7
Scan saved at 21:00:24, on 20.04.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSSYSTEMMPREXE.EXE
C:WINDOWSSYSTEMMSTASK.EXE
CROGRAMMENORTON CLEANSWEEPCSINJECT.EXE
C:WINDOWSSYSTEMSTIMON.EXE
C:WINDOWSSYSTEMPGPSDKSERV.EXE
CROGRAMMESYMANTECNORTON GHOST 2003GHOSTSTARTSERVICE.EXE
CROGRAMMEGEMEINSAME DATEIENSYMANTEC SHAREDCCEVTMGR.EXE
CROGRAMMENORTON INTERNET SECURITYNISUM.EXE
CROGRAMMENORTON INTERNET SECURITYCCPXYSVC.EXE
C:WINDOWSEXPLORER.EXE
C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSSYSTEMTAPISRV.EXE
C:WINDOWSSYSTEMRESTORESTMGR.EXE
C:WINDOWSTASKMON.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
C:WINDOWSSYSTEM32DRIVERSDCFSSVC.EXE
CROGRAMMET-DSL SPEEDMANAGERSPEEDMGR.EXE
C:WINDOWSSYSTEMWMIEXE.EXE
CROGRAMME190 WARNERWARN0190.EXE
CROGRAMMEGEMEINSAME DATEIENSYMANTEC SHAREDCCAPP.EXE
CROGRAMMEGEMEINSAME DATEIENREALUPDATE_OBREALSCHED.EXE
CROGRAMMENORTON CLEANSWEEPCSINSM32.EXE
CROGRAMMEWINDOWS MEDIA COMPONENTSENCODERWMENCAGT.EXE
CrogrammeNorton CleanSweepMonwow.exe
CROGRAMMET-DSL SPEEDMANAGERTSMSVC.EXE
C:WINDOWSSYSTEMPSTORES.EXE
CROGRAMMEINTERNET EXPLORERIEXPLORE.EXE
EROGRAMMENEUHIJACKTHIS.EXE

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

Please, Anmelden or Registrieren to view URLs content!

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - CrogrammeNorton AntiVirusNavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSYSTEMMSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - CrogrammeNorton AntiVirusNavShExt.dll
O4 - HKLM..Run: [ScanRegistry] C:WINDOWSscanregw.exe /autorun
O4 - HKLM..Run: [TaskMonitor] C:WINDOWStaskmon.exe
O4 - HKLM..Run: [PCHealth] C:WINDOWSPCHealthSupportPCHSchd.exe -s
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit
O4 - HKLM..Run: [Dcfssvc] C:WINDOWSSystem32Driversdcfssvc.exe
O4 - HKLM..Run: [T-DSL SpeedMgr] "CROGRAMMET-DSL SPEEDMANAGERSPEEDMGR.EXE"
O4 - HKLM..Run: [0190 Warner] CROGRA~1190WA~1WARN0190.EXE
O4 - HKLM..Run: [ccApp] "CrogrammeGemeinsame DateienSymantec SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "CrogrammeGemeinsame DateienSymantec SharedccRegVfy.exe"
O4 - HKLM..Run: [PDF Converter Registry Controller] "CrogrammeScanSoftPDF ConverterRegistryController.exe"
O4 - HKLM..Run: [TkBellExe] "CrogrammeGemeinsame DateienRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [iamapp] CrogrammeNorton Internet SecurityIAMAPP.EXE
O4 - HKLM..RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM..RunServices: [CSINJECT.EXE] CrogrammeNorton CleanSweepCSINJECT.EXE
O4 - HKLM..RunServices: [StillImageMonitor] C:WINDOWSSYSTEMSTIMON.EXE
O4 - HKLM..RunServices: [PGPSDKSVC] C:WINDOWSSYSTEMPGPsdkServ.exe
O4 - HKLM..RunServices: [*StateMgr] C:WINDOWSSYSTEMRestoreStateMgr.exe
O4 - HKLM..RunServices: [GhostStartService] CROGRAMMESYMANTECNORTON GHOST 2003GHOSTSTARTSERVICE.EXE
O4 - HKLM..RunServices: [ccEvtMgr] "CrogrammeGemeinsame DateienSymantec SharedccEvtMgr.exe"
O4 - HKLM..RunServices: [Nisum] CrogrammeNorton Internet SecurityNISUM.EXE
O4 - HKLM..RunServices: [ccPxySvc] CROGRA~1NORTON~4CCPXYSVC.EXE
O4 - HKLM..RunServices: [ScriptBlocking] "CrogrammeGemeinsame DateienSymantec SharedScript BlockingSBServ.exe" -reg
O4 - HKLM..RunServices: [nisserv] CrogrammeNorton Internet SecurityNISSERV.EXE
O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = CrogrammeNorton CleanSweepcsinsm32.exe
O4 - Startup: Encoder Agent.lnk = CrogrammeWindows Media ComponentsEncoderWMENCAGT.EXE
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) -

Please, Anmelden or Registrieren to view URLs content!

O8 - Extra context menu item: PDF in Word öffnen - res://CrogrammeScanSoftPDF ConverterIEShellExt.dll /500
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: D-Info (HKLM)
O9 - Extra 'Tools' menuitem: D-Info (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: PicGrab (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten (HKCU)
O12 - Plugin for .UVR: CrogrammeInternet ExplorerPluginsNPUPano.dll
O12 - Plugin for .avi: CrogrammeNetscapeCommunicatorProgramPLUGINSnpavi32.dll
O12 - Plugin for .swf: CrogrammeNetscapeCommunicatorProgramPLUGINSnpswf32.dll
O12 - Plugin for .rm: CROGRAMMENETSCAPECOMMUNICATORPROGRAMPLUGINSnppl3260.dll
O12 - Plugin for .mp3: CROGRA~1INTERN~1PLUGINSnpqtplugin4.dll
O12 - Plugin for .mpeg: CROGRA~1INTERN~1PLUGINSnpqtplugin3.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {C94BFF60-7315-11D2-A844-0060086FEFD7} (Internet Banking und Brokerage) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -

Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -

Please, Anmelden or Registrieren to view URLs content!

O17 - HKLMSystemCCSServicesVxDMSTCP: NameServer = 192.168.120.252,192.168.120.253

es scheint aber mittlerweile, DANK des CWshredders, dass dem grauen ein ende bereitet ist...
nachdem ich heute nochmals norton, spybot, adaware, jv 16, cleansweep drüberlaufen hatte lassen, was nichts half, habe ich eben den CWs drübergefahren (ohne update, das ging nicht), danach neustart und die alte startseite war wieder da (hurra) mit dem spyblaster habe ich über TOOLS die internet browser pages gecheckt und da waren die blöden rivierasites verschwunden.....
hoffe das bleibt so

DAHER ZUNÄCHST MAL VIELEN VIELEN VIELEN VIELEN DANK FÜR DEINE TOLLE UNBEZAHLBAR WERTVOLLE HILFE
DANKE
LIEBE GRÜßE
CHRISTIAN

 

[Anni]

Re: Hilfe: was muss ích bei dieser hijackthis log file rauslöschen?

hi christian..

das mit dem "code" üben wir noch ein bisserl, aber wichtig ist, dass nun alles wieder läuft... solltest du noch probleme haben, wende dich an uns wir helfen so gut wir können, und so schnell wir können...

viele Grüsse
Anni