hallo leute,

habe mir schon seit tagen die zeit hier in eurem super forum um die ohren geschlagen, weil ich ständig irgendwelche trojaner oder viren auf meinem pc hab und die immer wieder löschen muß, um in ruhe surfen zu können.

mein problem:
vor ein paar tagen war ich im net und auf einmal kamen von www.vn.msie.cc/popups 1,2,3,4,5,6,7,8,9 ... ein haufen verschiedene kleine fenster, die ständig wiederholt hintereinander aufgingen, half nur aus aol raus!!!! in meinem IE stand dann auch immer about blank, was aber nach allen bereinigungen wieder umzustellen war und kurzzeitig auch so blieb.

bin nicht all zu fit am pc, aber habe mir aus euren anleitungen einiges runtergeladen, wie spybot, cwschredder, window washer. adware 6.0 hatte ich schon und meine norton antivirussoftware habe ich auch wieder aktualisiert. mache auch ständig den onlinescan bei housecall.trendmicro.com. danke erstmal für die einträge + hilfe, sind sehr hilfreich.

trotzdem bekomme ich das problem nicht in den griff!!!! wenn ich also wieder mal 1-2 mal im net war, geht die ganze popupsch.... wieder los. also scanne ich mit spybot: DSO Exploid (5), Common Hijacker (1) und Webdialer (1) immer wieder da (jedesmal entfernen)!!! als nächstes adware: Cool/Websearch (1) immer wieder ( löschen). dann cwschredder: cws.searchfix = removed, restoring IE pages = restored (6 items). mache den onlinescan: mal TROJ STARTPAGE S, mal STRTPAGE AU oder FX, immer in verschiedenen ordnern, aber einer ist immer da (immer wieder gelöscht!)!!! mein norton findet im system keinen virus.

kann mir bitte jemand sagen, was das ist und wie ich meinen pc wieder total i.o. bekomme??? aber bitte geht nicht so hart mit mir um, bin echt kein pc-profi, brauche wahrscheinlich etwas länger als die meisten hier, um es zu verstehen und zu handeln. <schmunzel>
danke euch vorab für jegliche hilfe, die ich von euch bekommen kann!
bernd

Hi,

lade dir alle Updates und Patches zu deinem Betriebssystem, installiere eine Firewall und ein Antivirenprogramm, das du täglich aktualisierst. Mit Spybot Search&Destroy kannst du dein System impfen, damit die Startseite nicht mehr geändert werden kann. Wenn du XP einsetzt, dann deaktiviere den Nachrichtendienst - Start - Verwaltung - Dienste.

Gruß Jinxy

Lad dir mal bitte Hijackthis runter (-->Google!) und poste die Log-File ins Forum (http://board.protecus.de/showtopic.php?threadid=9391).

Außerdem schau mal im Autostart-Ordner/ Registry nach, welche Programme beim Sytsemstart automatisch mitstarten, da werden betimmt einige dabei sein, die da raus könnten ...

Mfg

Scanne mit AdAware(vorher updaten) und Spybot im abgesicherten Modus
F8 beim Hochfahren druecken.
Dann suche den Dialer und loesche ihn manuell.(auch in der Registry)

http://www.soft411.com/company/MicroWor ... oolkit.htm
lade e-scann (mwav.exe), scanne<alle Dateien) und poste das Log hier im Forum (auch mit der Maus kopieren)

Mit dem HijackThis koennen wir aber noch besser helfen.
Lad dir mal bitte Hijackthis , scanne , save und kopiere das Log mit der Maus und poste die Log-File ins Forum (http://board.protecus.de/showtopic.php?threadid=9391).
Nikita

hallo leute,
danke euch erstmal für die schnelle hilfe.

habe eigentlich alle updates für xp vor ein paar tagen geladen und installiert. nachrichtendienst ist auch schon länger auf AUS.

meinen autostartordner hab ich mir schon viel betrachtet, sind einige programme drin, trau mich immer nicht, die zu deaktivieren, grins.
was darf denn im minimum drin bleiben, bzw. was könnte alles raus?

habe gestern meinen norton voll aktualisiert, ist also auf dem neuesten stand. als firewal hab ich die mcafee personal firewall plus! <ist das gut oder schlecht? lol >

so, war grad wieder im net und meine popups waren wieder da, heeeeeeul.
habe mir den hijackthis runtergeladen und gescannt - im jetzigen verseuchten zustand - und schicke euch mal das log-file:

Logfile of HijackThis v1.97.7
Scan saved at 19:40:55, on 26.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\ICO.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\NORTON~2\navapw32.exe
C:\Program Files\Webroot\Washer\wwDisp.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Dokumente und Einstellungen\Bernd\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ejg.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ejg.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.8/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.8/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ejg.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ejg.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ejg.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.8/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.8/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ejg.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.8/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.8/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {52CF95BB-8BB1-4BA7-8984-2D35CCA4A3D5} - C:\WINDOWS\System32\ejg.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [VOR] C:\Programme\Sony\OnlineRegistration\VOR.exe /SCHEDULER
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~2\navapw32.exe
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O13 - DefaultPrefix:
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: World Class Solitaire by pogo - http://game.pogo.com/applet-5.8.2.19/wo ... assets.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/ ... mv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/7d90 ... scan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 4276041667
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... -0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{851DB2A0-A8FE-4007-BBD8-773AD3F24776}: NameServer = 192.168.0.110

werde jetzt mal mit allem was ich hab scannen und löschen, dann nochmal mit adware und spybot im abgesicherten modus nach nem dialer suchen und versuchen ihn auch in der reg. zu löschen <zitter>, dann schicke ich das neue log-file von hijackthis nochmal und hoffe ihr sagt mir, ob ich ihn -danke euch- schon gekillt habe oder was wir dann machen können.

bis gleich ( hoffe ich, lol )
bernd

so leute,

habe jetzt im abgesicherten modus adware laufen lassen, 3 Dinge gefunden, hier gelöscht + Coolwebsearch in der Reg. entfernt.

dann spybot laufen lassen, 3 x DSO Exploid, 1 x Common Hijacker und 1 x Webdialer. wollte eigendlich alle 5 Einträge in der Reg. löschen, habe aber nur den Eintrag zum Webdialer in der reg. gefunden und gelöscht.
beim eintrag zum webdailer handelt es sich um einen registrierungsdatenbankwert und bei den anderen einträgen um registrierungsdatenbank-änderungen ( hab aber diese einträge in der reg nicht gesehen, stand alles als REG_SZ )
also alle im spybot gelöscht. runtergefahren + wieder abgesicherter modus, nochmal spybot und wieder 3 x DSO Exploid und 1 x Common Hijacker, scheinen sich net löschen zu lassen. im spybot wieder gelöscht, danach nochmal, das selbe. schnief.

danach alles gesäubert und hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 21:18:02, on 26.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\ICO.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\NORTON~2\navapw32.exe
C:\Program Files\Webroot\Washer\wwDisp.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Dokumente und Einstellungen\Bernd\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.8/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.8/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.8/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.8/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.8/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.8/
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [VOR] C:\Programme\Sony\OnlineRegistration\VOR.exe /SCHEDULER
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~2\navapw32.exe
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O13 - DefaultPrefix:
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: World Class Solitaire by pogo - http://game.pogo.com/applet-5.8.2.19/wo ... assets.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/ ... mv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/7d90 ... scan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 4276041667
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... -0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{851DB2A0-A8FE-4007-BBD8-773AD3F24776}: NameServer = 192.168.0.110

es ist der hass mit dem zeug.

bin also für jeden tip dankbar und möchte auch den profis jetzt schonmal danken, daß sie sich um meine einträge kümmern und mir sicher sagen können, was im log-file zu finden ist und wie wir es killen können.

warte auf eure antwort, danke
bernd

Lade ALLE Tools von dieser Site (AdAware, Spybot, CWSHredder und SPHfix.exe scanne dann spaeter im abgesicherten Modus
http://www.trojaner-info.de/anleitungen ... blank.html

Lade e-scann (mwav.exe ), scanne spaeter ebenfalls im abgesicherten Modus <alle Dateien< und loesche manuell , was das Tool nicht beseitigt.
http://www.mwti.net/antivirus/free_utilities.asp
-------------------------------------------------------------------------------
Gehe in den abgesicherten Modus (F8 beim Hochfahren druecken)
Fixe mit dem HijackThis folgendes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.8/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.8/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.8/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.8/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.8/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.8/





Mit folgenden Schritten kannst du den Schmarotzer entfernen :

1. System im abgesicherten Modus starten, hijackthis.exe ausführen und alles makieren und löschen, WAS ich gepostet habe.
2. nun mit dem e-scann arbeiten und manuell alles loeschen, was er anzeigt
mit CWHredder und Sphjfix.exe und AdAware (free)scannen (ohne Internetverb.)

3. Normal neustarten.
4. Nun hier http://members.shaw.ca/techcd/VB_Projects den File den Hostfilereader.exe downloaden, ausführen und die Schalfläche "Reset Default" klickern und danach OK und Exit.
5. Editor öffnen und folgenden Text einfügen :

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"System"=-
[-HKEY_CLASSES_ROOT\CLSID\ {52CF95BB-8BB1-4BA7-8984-2D35CCA4A3D5}

6. Speichern unter "clear.reg" (dazu Dateityp : alle Dateien auswählen)
7. Doppelklick auf den so neu erzeugten File und der Abfrage "zur Registry hinzufügen" zustimmen.
8. Neustart
9. Diesen FileC:\WINDOWS\System32\ejg.dll finden und löschen.
10. Neustart .


Poste dann das Log noch mal, falls es noch Probleme gibt.

Und lade den Firefox als Zweitbrowser (ist Hijackerfrei)
http://www.firebird-browser.de/

MfG
Nikita

hallo nikita,

danke für deine hilfe vorab.

habe erstmal alle exe.'n und programme runtergeladen, die ich noch nicht hatte.

bekomme aber von deinem link zur mwav.exe keinen download hin, da sich keiner der 7 downloadlinks dort öffnen lässt.

gibt es noch einen anderen link zur mwav.exe oder mache ich dort etwas falsch?

bis später
bernd

http://www.soft411.com/company/MicroWor ... oolkit.htm
Versuch es mal hier
Nikita

hallo nikita,

ich bin dir so unendlich dankbar, daß du dich so um mein problem bemühst, dankeeeeeeeeeeeeeeeeeeee

habe jetzt alles soweit gescannt und gelöscht und gemacht, genau nach deiner anleitung.

habe nur den Eintrag FileC:\WINDOWS\System32\ejg.dll nicht gefunden, konnte ihn also auch nicht löschen!

wie finde ich den eintrag bzw. warum ist er nicht da bzw. ist es normal daß er nicht da ist? ( oder bin ich sogar zu bl..., um ihn zu finden, lol )

wie kann ich kontrollieren, ob ich den Eintrag im editor richtig gemacht habe und vor allem, wenn ich in ausführen "regedit4" eingebe kommt da irgend eine meldung, daß es nicht geht. ist das normal???

schicke dir nochmal mein log:

Logfile of HijackThis v1.97.7
Scan saved at 18:54:04, on 28.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\ICO.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\NORTON~2\navapw32.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Program Files\Webroot\Washer\wwDisp.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\Dokumente und Einstellungen\Bernd\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~2\navapw32.exe
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O13 - DefaultPrefix:
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: World Class Solitaire by pogo - http://game.pogo.com/applet-5.8.2.19/wo ... assets.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/ ... mv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/7d90 ... scan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 4276041667
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... -0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{851DB2A0-A8FE-4007-BBD8-773AD3F24776}: NameServer = 192.168.0.110

Siehst du noch was bösartiges???

OHNE DICH wäre ich nie soweit gekommen, danke!
hoffe mal, daß nun alles weg ist, na mal abwarten!!! <wehe nicht, lol>

vorhin beim scannen mit sämtlichen programmen waren alle meine probleme noch da und ich hab sie alle soweit gekillt!!!

bis später
bernd

@xxxlbernd

Das Log sieht wunderbar aus.
Es scheint, dass die Tools die dll erkannt und geloescht haben.
Ich habe dir die manuelle Loeschung empfohlen, weil es neuerdings dlls gibt, welche die Entfernungs-Tools nicht erkennen und da muss man eben diesen Weg gehen.

Nun ist ja hoffentlich alles in Butter.

Lade noch den Firefox als Zweit-und Surf-Browser, denn da gibt es keine Probleme mit Hijackern
http://firebird.stw.uni-duisburg.de/windows.php

MfG
Nikita

hallo nikita,

weiß garnicht, wie ich dir noch danken kann, haste echt sauber hinbekommen. unendliches dankeschön meinerseits.

bin echt froh, daß es solche profis wie dich hier gibt, weil der normalsterbliche "pc -an- und ausschalter" garnicht erkennen und raffen kann, was man mit einem solchen problem machen muß.

habe nun mehrfach nochmal alles nachgesehen und gescannt, schein echt alles verschwunden zu sein. PRIMA!

Also nochmals danke und alles erdenklich gute für dich.

bernd