Hallo,
bin ein newbie hier und habe ein Problem mit meinem PC bzw. mit div. Viren und about blank Trojanern.
Dass hijackthis ein guter Ansatz zum lösen dieser Probleme ist habe ich durch "mitlesen" in diesem Forum gelernt,was dabei allerdings alles ein Virus / ein Trojaner ist und wie man selbigen entfernt kann ich ohne fremde Hilfe jedoch nicht so ohne weiteres feststellen da ich mit dem PC normal nicht soo viel am Hut habe.
Deshalb bin ich für jede Antwort zu meinem hijackthis log mehr als dankbar !
Mein log:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\MDM.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Bernd\Eigene Dateien\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.zestyfind.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.pcgameshardware.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von PC Games HARDWARE
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.pcgameshardware.de/
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
F1 - win.ini: run=C:\WINDOWS\System32\services\wmplayer.exe
O1 - Hosts: 207.36.196.189 ieautosearch
O1 - Hosts: 207.36.196.189 auto.search.msn.com
O1 - Hosts: 207.36.196.189 search.netscape.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
O4 - HKLM\..\Run: [slmss] C:\Programme\Common Files\slmss\slmss.exe
O4 - HKLM\..\Run: [Mwsvm] C:\WINDOWS\mwsvm.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [AutoLoader00vp1PXKJWPL] "C:\WINDOWS\System32\fectm.exe" /PC="AM.ICMD2" /HideUninstall /HideDir
O4 - HKLM\..\Run: [074V35i] fectm.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [ClrSchLoader] C:\Programme\ClearSearch\Loader.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [WNSC] C:\WINDOWS\System32\wnsintsv.exe
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Bernd\Anwendungsdaten\soht.exe
O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Sidesearch (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.pcgameshardware.de
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} (F1 Organizer Class) - http://www.imbum.com/Imbum.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... w-intl.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwe ... .0.0.8.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.inf ... taller.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... _v1-32.cab


Ich hoffe jemand von euch kann mir helfen da mit meinem Rechner wie gesagt mächtig was nicht stimmt.
Gruss Bernd

ich sehe es mir an, in 30 Minuten hast du eine Loesung
Gruss
Nikita

Freut mich dass sich ein Profi meine Problem anschaut,das macht mir Mut

1. die Wiederherstellung deaktivieren (nach der Reinigung wieder aktivieren
http://service1.symantec.com/SUPPORT/IN ... 7105707924

2. deinstalliere den Avast4
und lade Antivir.(einstellen :<alle Dateien scannen)
http://www.free-av.com/

http://www.trojaner-info.de/anleitungen ... blank.html
Lade von dieser Site den AdAware (free)...updaten, den CWSHredder und Sphjfix.exe

Lade e-scann
mwav.exe
http://www.soft411.com/company/MicroWor ... oolkit.htm

-------------------------------------------------------------------------------------------------------------------------------------
Dann gehe in den abgesicherten Modus (F8 beim Hochfahren druecken)

scanne , hake folgendes an und fixe mit dem HijackThis.

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.zestyfind.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.pcgameshardware.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
F1 - win.ini: run=C:\WINDOWS\System32\services\wmplayer.exe
O1 - Hosts: 207.36.196.189 ieautosearch
O1 - Hosts: 207.36.196.189 auto.search.msn.com
O1 - Hosts: 207.36.196.189 search.netscape.com

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
O4 - HKLM\..\Run: [slmss] C:\Programme\Common Files\slmss\slmss.exe
O4 - HKLM\..\Run: [Mwsvm] C:\WINDOWS\mwsvm.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [AutoLoader00vp1PXKJWPL] "C:\WINDOWS\System32\fectm.exe" /PC="AM.ICMD2" /HideUninstall /HideDir
O4 - HKLM\..\Run: [074V35i] fectm.exe
O4 - HKLM\..\Run: [ClrSchLoader] C:\Programme\ClearSearch\Loader.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [WNSC] C:\WINDOWS\System32\wnsintsv.exe
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Bernd\Anwendungsdaten\soht.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: MedionShop (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.pcgameshardware.de
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} (F1 Organizer Class) - http://www.imbum.com/Imbum.cab

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwe ... .0.0.8.cab

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
--------------------------------------------------------------------------------------------------------------------
ohne Internetverbindung, alles im abgesicherten Modus:

#scannen mit AdAware, CWHredder, Sphjfix.exe
# mit dem Antivir. einen Vollscann machen

# mwav.exe(alle Dateien scannen)Dann loescht du manuell, was das Tool mwav.exe noch anzeigt.(in Windows und in der Registry)

neustarten

----------------------------------------------------------------------------------------------------------------------------
Onlinescann
http://www.pestscan.com/Scan.asp
VirenOnlinescanns
http://www.johannrain-softwareentwicklu ... nsuche.htm
scanne mit alllen Onlinescanneren, die moeglich sind

#WebWasher laden
http://www.zdnet.de/downloads/programs/ ... is-wc.html

#Firefox als Zweitbrowser laden (hijackerfrei)
http://firebird.stw.uni-duisburg.de/windows.php

#Lade den RegCleaner
http://www.comzu-heide.de/Downloadberei ... tility.htm

Stelle ihn in Deutsch ein und reinige den Comp.
Tool<Registry saeubern<alles durchfuehren...kannst beruhigt alles loeschen, was angezeigt wird, denn es verbleibt eine Sicherung
---unter Autostart kannst du ueberpruefen, ob die Trojaner , die ich dir im HijackThis unter 04 gepostet habe , alle raus sind
Man kommt mit dem Tool auch elegant in die Registry
<Registry oeffnen

Dann poste das Log noch einmal.
MfG
Nikita

Zuerst:vielen Dank für die professionelle Hilfe nikita!!
Dann mein neuer log (sieht schon viel besser aus,oder??)

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Dokumente und Einstellungen\Bernd\Eigene Dateien\Internetseuche\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von PC Games HARDWARE
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.pcgameshardware.de/
R3 - Default URLSearchHook is missing
F1 - win.ini: run=C:\WINDOWS\System32\services\wmplayer.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\RunOnce: [Index Washer] C:\Program Files\Webroot\Washer\WashIdx.exe "Bernd"
O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... w-intl.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.inf ... taller.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... _v1-32.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab


Dann noch 2 Fragen:
kann ich die backup-Dateien die seit dem hochfahren im abgesicherten Modus in den eigenen Dateien liegen gefahrlos löschen und taugt eigentlich Norton Internet Security und Norton Anti Virus was??

Fast vergessen:wenn ich meinen PC hochfahre kommt immer die Fehlermeldung "C\Windows.....wmplayer.exe konnte nicht gefunden werden" und danach die Meldung "wmplayer.exe konnte nicht gestartet werden"

Was kann ich gegen diese Fehlermeldungen machen?? wmplayer.exe aus dem Autostart herausnehmen (wenn ja,wie mache ich das??)

Fixe:

F1 - win.ini: run=C:\WINDOWS\System32\services\wmplayer.exe

Gehe in den abgesicherten Modus und
suche die wmplayer.exe in windows und der Registry und loeschen

mit der Suchfunktion und mit Start<Ausfuehren<regedit

MfG
Nikita

Ich mag den Norton nicht, aber wo du ihn nun mal drauf hast...und schwer wieder runterbekommst,,,,,

arbeite mit der mwav.exe, wenn du unsicher bist.
Vergiss den Firefox nicht als Zweitbrowser zu laden. Surfe mit ihm, das ist viel sicherer.

Wenn du etwas aus dem Autostart holen willst, dann mache es mit dem RegCleaner
(anhaken und neustarten)
http://www.comzu-heide.de/Downloadberei ... tility.htm
mit dem Tool kommst du auch elegant in die Registry und kannst unter <Tools<Registry saeubern<alles durchfuehren< den Comp. saeubern.

Stelle das Tool in Deutsch ein.
MfG
Nikita

@Nikita
Hab' das Norton jetzt runter geschmissen weil es einfach nur nervt und zuviel Rechnerkapazität braucht.
Mit deiner Anweisung hat alles auch ganz gut geklappt,aber diese 3 Einträge im log bekomme ich nicht weg:

O1 - Hosts: 207.36.196.189 auto.search.msn.com
O1 - Hosts: 207.36.196.189 search.netscape.com
O1 - Hosts: 207.36.196.189 ieautosearch

Sind die schlimm oder kann man die lassen??

Natuerlich muessen die unbedingt raus !!!

Fixe sie noch einmal mit dem HijackThis, aber diesmal im abgesicherten Modus

O1 - Hosts: 207.36.196.189 auto.search.msn.com
O1 - Hosts: 207.36.196.189 search.netscape.com
O1 - Hosts: 207.36.196.189 ieautosearch

(F8 beim Hochfahren druecken)
Dann scanne noch einmal mit dem AdAware, CWSHredder (ohne Internetverbindung).

neustarten

Nun hier http://members.shaw.ca/techcd/VB_Projects den File den Hostfilereader.exe downloaden, ausführen und die Schalfläche "Reset Default" klickern und danach OK und Exit.

Dann poste das komplette Log noch einmal.
MfG
Nikita

Einfach abartig wie sich die Seuche im Rechner festfrisst;hab die drei Dateien schonmal im abgesicherten Modus gefixt.
Nun hab ich alles so emacht wie von dir geschrieben,und mein log sieht nun so aus:

Logfile of HijackThis v1.97.7
Scan saved at 12:54:21, on 28.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\WinTV\Ir.exe
C:\Dokumente und Einstellungen\Bernd\Eigene Dateien\Internetseuche\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von PC Games HARDWARE
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.pcgameshardware.de/
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... w-intl.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.inf ... taller.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... _v1-32.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab


Ist das OK oder gibts da noch Müll den man rausschmeissen sollte??

So muessten alle Logs aussehen...Glueckwunsch...
Wenn es wieder mal Probleme gibt, weisst du ja nun, was zu tun ist.

Firefox als Zweitbrowser laden (hijackerfrei)
http://firebird.stw.uni-duisburg.de/windows.php
Antivir. laden (du scheinst keinen Virenscanner zu haben)
<alle Dateien scannen< einstellen, der Scanner muss dann unter 04 erscheinen
http://www.free-av.com/

Gruss
Nikita

@nikita
Danke,aber ein Problem besteht noch!
Und zwar geht untenstehende Seite immer noch völlig willkürlich auf:

http://www.spotresults.com/dns.php?url=www.gmx.de

url=www.gmx.de zeigt an dass die spotresults Seite die gmx Seite verdrängt hat und als nicht zu finden anzeigt!

Der Hijacker ist noch drauf

Deaktiviere die Wiederherstellung (Windows Me/XP).
http://service1.symantec.com/SUPPORT/IN ... 7105707924
--------------------------------------------------------------------
C:\WINNT\System32\msg117.dll
benenne sie um :
Gehe dazu in den abgesicherten Modus

Start<Ausfuehren:

schreibe rein:
ren %system%\msg117.dll zesty.nav

Computer ausmachen, 30 Sekunden warten und wieder hochfahren.


Gehe in die Registry
Start<Ausfuehren<regedit
und loesche auf der rechten Seite:

# HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Guardian
# HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Shell Extensions\Approved\{DDFFA75A-E81D-4454-89FC-B9FD0631E726}
# HKEY_CLASSES_ROOT\CLSID\{DDFFA75A-E81D-4454-89FC-B9FD0631E726}
# HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DDFFA75A-E81D-4454-89FC-B9FD0631E726}



Suche die C:\WINNT\System32\msg117.dll zesty.nav und loesche sie

------------------------------------------------------------------------


http://sarc.com/avcenter/venc/data/adwa ... yfind.html
hier ist noch einmal alles in Englisch erklaert

Ist nun wieder alles o.k.????

Nikita

Das ist ja der Hammer;wie soll da ein Normalsterblicher draufkommen??
Aber der Reihe nach:ich habe die Systemwiederherstellung deaktiviert,im abgesicherten Modus gestartet und in
Start<Ausfuehren:

ren %system%\msg117.dll zesty.nav

reingeschrieben.
Daraufhin erhielt ich eine Fehlermeldung dass dieser Pfad nicht existiert.
Dann habe ich wie von dir geschrieben nach 30s neu gebootet und in der Registry
# HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Guardian
gelöscht.

Die anderen 3 files konnte ich nicht finden (ich hoffe dass sie auch nicht auf dem Rechner sind!)

Danach habe ich C:\WINNT\System32\msg117.dll zesty.nav gesucht,aber leider nicht gefunden.
Die Suche nach der Originaldatei msg117.dll blieb auch erfolglos!

Wie weiss ich jetzt ob ich den Müll los geworden bin oder nicht??

P.S:
Wieso kennst du dich mit sowas so gut aus??Machst du das beruflich??

Das gibts doch nicht,hab immer noch diese 3 Einträge:

O1 - Hosts: 207.36.196.189 auto.search.msn.com
O1 - Hosts: 207.36.196.189 search.netscape.com
O1 - Hosts: 207.36.196.189 ieautosearch