Hallo alle zusammen.
Ich hab/hatte viren und spyware und und und zu hauf. Nun hab ich hijacker gefunden, und frage mich ob mir mal jemand sagen kann ob das resultat, nach einiger arbeit meinerseits, jetzt annehm bar ist, oder was da noch falsch ist.

Ich bin selbst nicht der Durchblicker, und darum wärs toll wenn jemand mir helfen könnte.

thx a lot:

Hijacker:

Logfile of HijackThis v1.98.2
Scan saved at 22:09:03, on 05.11.2004
Platform: Windows XP SP2, v.2149 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2149)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\Navnt\navapsvc.exe
C:\PROGRA~1\Navnt\npssvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Navnt\alertsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Navnt\navapw32.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\imapi.exe
C:\Dokumente und Einstellungen\Pascal\Eigene Dateien\antisoft\hijackthis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluemail.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NPS Event Checker] C:\PROGRA~1\Navnt\npscheck.exe
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\Navnt\defalert.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [hpfsched] C:\WINDOWS\hpfsched.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = C:\Programme\Navnt\navapw32.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

Hallo@redoer

Gehe in die Registry
Start<Ausfuehren<regedit

loesche RECHTS in der Registry folgende Eintraege:

Adware.DealHelper

HKEY_CLASSES_ROOT\AppID\{A1F53F1D-FB2D-4FE0-8EE8-7BBE69999D9F}\
HKEY_CLASSES_ROOT\AppID\{A57AFB0F-C63E-4AE2-8A7B-BCA01BA32CC5}\
HKEY_CLASSES_ROOT\AppID\dhbrwsr.EXE\
HKEY_CLASSES_ROOT\AppID\dhsvr.EXE\
HKEY_CLASSES_ROOT\Dealhlpr.Band.1\
HKEY_CLASSES_ROOT\Dealhlpr.Band\
HKEY_CLASSES_ROOT\Dhbrwsr.BrowserWindows.1\
HKEY_CLASSES_ROOT\Dhbrwsr.BrowserWindows\
HKEY_CLASSES_ROOT\DHP.DHEvents.1\
HKEY_CLASSES_ROOT\DHP.DHEvents\
HKEY_CLASSES_ROOT\DHP.Popup.1\
HKEY_CLASSES_ROOT\DHP.Popup\
HKEY_CLASSES_ROOT\Dhsvr.CFileDatabase.1\
HKEY_CLASSES_ROOT\Dhsvr.CFileDatabase\
HKEY_CLASSES_ROOT\Dhsvr.DBHelper.1\
HKEY_CLASSES_ROOT\Dhsvr.DBHelper\
HKEY_CLASSES_ROOT\Dhsvr.Even.1\
HKEY_CLASSES_ROOT\Dhsvr.Even\
HKEY_CLASSES_ROOT\Dhsvr.WebDealEvents.1\
HKEY_CLASSES_ROOT\Dhsvr.WebDealEvents\
HKCU\Software\DealHelper\
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DealHelperBrwsr="C:\WINDOWS\dhbrwsr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DealHelperUpdate="C:\WINDOWS\DHUpdt.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\dealhlpr.dll
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\dhbrwsr.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\DHP.dll
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\dhsvr.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\DHUpdt.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\DealHelper\


#Oeffne das HijackTHis< scan< anhaken < Button "Fix checked" < PC neustarten

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - (no file) [Adware.DealHelper]

Neustarten

#suche und loesche (falls es noch da ist:
<C:\WINDOWS\dealhlpr.dll
<C:\WINDOWS\dhbrwsr.exe
<C:\WINDOWS\DHP.dll
<C:\WINDOWS\dhsvr.exe
<C:\WINDOWS\DHUpdt.exe

loeschen kannst du gut mit dem HijackThis.
Oeffne es und
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\dealhlpr.dll
PC neustarten

usw.....

<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten,

mfg
Nikita

Danke, werde ich machen und das resultat dann anhängen, kann aber ne weile dauern, da ich im Moment gerade nicht an den PC komme.

Danke, viele viele male...
eine Frage habe ich noch:
Wie weist du das diese Einträge unnütz sind, respektive schädlich? Erfahrung, oder kannst du das irgendwo nachlesen?

Thx nochmals.

redoer

Hallo@redoer

aus dieser Zeile (hijackThis) habe ich es haerausgefunden:
O2 - BHO: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - (no file)

Hier kannst du es nachlesen:
http://sarc.com/avcenter/venc/data/pf/a ... elper.html

mfg
Nikita

Hallo, Nikita...

So jetzt habe ich endlich einmal etwas an meinem Compi basteln können und ich habe mal das ganze gescant... Die Logdatei war ziemlich gross, 128 MB und darum nicht zum öffnen, hab sie dann in ne Datenbank gschmissen und dort die "Infected" herausgelesen. Folgendes ist rausgekommen:

Und was sagst du jetzt dazu?

File C:\WINDOWS\system32\casino.exe infected by \Trojan.Win32.Dialer.bh\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\consys98.exe infected by \TrojanClicker.Win32.Small.an\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\d2kpax.exe infected by \Trojan.Win32.Dialer.u\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\mseggo.gif infected by \TrojanSpy.Win32.Delf.dx\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\secupd1203.exe infected by \TrojanDownloader.Win32.Esepor.e\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\secupd1305.exe infected by \TrojanDownloader.Win32.Esepor.j\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\secupdcl.exe infected by \TrojanDownloader.Win32.Esepor.h\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\supd130404.exe infected by \TrojanDownloader.Win32.Esepor.m\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\supd180204.exe infected by \TrojanDownloader.Win32.Esepor.x\ Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Marc\Lokale Einstellungen\Temp\~8368865283.tmp infected by \TrojanDownloader.Win32.Siboco\ Virus. Action Taken:
File C:\Dokumente und Einstellungen\Marc\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LYFOTYF\\onlybigmovies[1].htm infected by \Exploit.HTML.Mht\ Virus.
File C:\Dokumente und Einstellungen\Marc\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LYFOTYF\\prompt[1].htm infected by \TrojanDownloader.JS.IstBar.a\ Virus.
File C:\Dokumente und Einstellungen\Marc\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GLYJWLMB\\enter[1].htm infected by \Exploit.HTML.Mht\ Virus.
File C:\Dokumente und Einstellungen\Pascal\Internet Optimizer\optimize.exe infected by \TrojanDownloader.Win32.Dyfuca.da\ Virus. Action Taken:
File C:\Dokumente und Einstellungen\Pascal\Lokale Einstellungen\Temp\\ms8.tmp infected by \TrojanDropper.Win32.Small.gj\ Virus. Action Taken:
File C:\Dokumente und Einstellungen\Pascal\Lokale Einstellungen\Temporary Internet Files\\Content.IE5\\SHWJW3ON\\soft17[1].htm infected by \Exploit.HTML.Mht\ Virus.
File C:\Dokumente und Einstellungen\Pascal\Lokale Einstellungen\Temporary Internet Files\\Content.IE5\\WDY7S9IF\\optimize[1].exe infected by \TrojanDownloader.Win32.Dyfuca.da\ Virus.
File C:\Dokumente und Einstellungen\Pascal\Lokale Einstellungen\Temporary Internet Files\\Content.IE5\\WPARW163\\Free_Sex_Download[1].exe infected by \Trojan.Win32.Dialer.eh\ Virus.
File C:\WINDOWS\system32\casino.exe infected by \Trojan.Win32.Dialer.bh\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\consys98.exe infected by \TrojanClicker.Win32.Small.an\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\d2kpax.exe infected by \Trojan.Win32.Dialer.u\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\mseggo.gif infected by \TrojanSpy.Win32.Delf.dx\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\secupd1203.exe infected by \TrojanDownloader.Win32.Esepor.e\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\secupd1305.exe infected by \TrojanDownloader.Win32.Esepor.j\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\secupdcl.exe infected by \TrojanDownloader.Win32.Esepor.h\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\supd130404.exe infected by \TrojanDownloader.Win32.Esepor.m\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\supd180204.exe infected by \TrojanDownloader.Win32.Esepor.x\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\casino.exe infected by \Trojan.Win32.Dialer.bh\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\consys98.exe infected by \TrojanClicker.Win32.Small.an\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\d2kpax.exe infected by \Trojan.Win32.Dialer.u\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\mseggo.gif infected by \TrojanSpy.Win32.Delf.dx\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\secupd1203.exe infected by \TrojanDownloader.Win32.Esepor.e\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\secupd1305.exe infected by \TrojanDownloader.Win32.Esepor.j\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\secupdcl.exe infected by \TrojanDownloader.Win32.Esepor.h\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\supd130404.exe infected by \TrojanDownloader.Win32.Esepor.m\ Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\supd180204.exe infected by \TrojanDownloader.Win32.Esepor.x\ Virus. Action Taken: No Action Taken.

Hallo@redoer

Eigentlich solltest du neuinstallieren....

Du kannstversuchen manuell zu loeschen.
<HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
In dem Fenster bei Dateiname einfügen:
C:\WINDOWS\system32\casino.exe

Du solltest diese Nachricht erhalten: "The file 'C:\WINDOWS\system32\casino.exel' will be deleted by Windows when the system restarts....Do you want to restart your computer now?"
No klicken.
Abermals den "Delete a file on reboot" Button klicken - diesmal einfügen:
C:\WINDOWS\system32\consys98.exe

usw...du kannst auch alles einzeln loeschen und immer rebboten, wenn das mit dem akkumulierten Loeschen nicht klappt.

<C:\WINDOWS\system32\d2kpax.exe
<C:\WINDOWS\system32\mseggo.gif
<C:\WINDOWS\system32\secupd1203.exe
<C:\WINDOWS\system32\secupd1305.exe i
<C:\WINDOWS\system32\secupdcl.exe
<C:\WINDOWS\system32\supd130404.exe
<C:\WINDOWS\system32\supd180204.exe

PC neustarten

Die Temporaeten Dateien loescht du oder manuell oder so:
Datentraegerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

Dann scanne noch mal mit eScan...bis alles sauber ist...und berichte

mfg
Nikita