Hallo,

ich bin neu hier und bitte daher schon mal um Verzeihung, falls ich das mit den Forumsregeln noch nicht so ganz auf die Reihe kriege.

Ich hab jedoch das Gefühl, dass sich auf meinem Rechner in den letzten Monaten so viel Mist angesammelt hat, dass es jetzt allmählich Zeit wird, mal aufzuräumen.
Allerdings glaube ich, dass es ohne die unschätzbare Hilfe von Nikita ComputerDirk und all der anderen dienstbaren Geister nicht ganz klappen wird.

Adaware, eScan und AntiVir finden zwar ab und an etwas, im Grunde habe ich jedoch das gleiche Problem wie Pat:

- Fenster werden plötzlich geschlossen
- Die Desktop-Symbole sind plötzlich weg
- Die Startleiste ist nicht mehr zu sehen
- Beim Herunterfahren stellt die die Anwendung „eregogr.exe“ quer, die ich nie geöffnet habe und die auch im Taskmanager nicht auftaucht

Die Probleme treten natürlich nur auf, wenn ich online gehe und nach etwa einer halben Stunde läuft dann meistens alles wieder stabil.

Da ich das Forum jetzt einige Tage aufmerksam verfolgt habe, weiß ich zumindest, dass der Auftakt zur Säuberungsaktion das Einstellen des Log von HijackThis darstellt. Hier kommt es also:

Logfile of HijackThis v1.98.0
Scan saved at 07:38:06, on 16.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.EXE
C:\windows\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\windows\System32\nvsvc32.exe
C:\windows\System32\ScsiAccess.EXE
C:\windows\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\windows\SOUNDMAN.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\Programme\Browser mouse\1.0\mouse32a.exe
C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\windows\System32\svchosd.exe
C:\windows\System32\svchosd.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Dokumente und Einstellungen\michael\iISystem Wiper\SystemWiper.exe
C:\windows\shchost.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Works\MSWorks.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\DOKUME~1\michael\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\michael\LOKALE~1\Temp\kavss.exe
C:\Dokumente und Einstellungen\michael\Desktop\Virenbekämpfung\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://v4.windowsupdate.microsoft.com/
O2 - BHO: (no name) - {140FD4DF-701A-46B3-BC1C-DCAE962B0093} - C:\windows\System32\knoecga.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\windows\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [FLMMOUSE] C:\Programme\Browser mouse\1.0\mouse32a.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Schedule] C:\Programme\CM Data Software\CM DiskCleaner\Schedule.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Aplune Service] svchosd.exe
O4 - HKLM\..\Run: [Settings] svchosd.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Systems Restart] C:\windows\System32\spchost.exe
O4 - HKCU\..\Run: [iIWiper] C:\Dokumente und Einstellungen\michael\iISystem Wiper\SystemWiper.exe m
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Wendows Deafult Configuration] C:\windows\shchost.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\windows\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\windows\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://*.ebay.de
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {11111111-1111-1111-1111-111111111111} - file://C:\Info6.cab
O16 - DPF: {11111111-1111-1111-1111-555300000000} - mhtml:C:\\NO_SUCH_MHT.MHT!http://216.240.137.40/g1.exe
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/I ... _EN_XP.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {A02780C3-7F77-4E28-855B-28890F3CF37A} - http://akamai.downloadv3.com/binaries/D ... ack_XP.cab
O18 - Protocol hijack: mhtml -

Ich hoffe, dass jemand bereit ist, mir zu helfen, so dass ich dann ab heute Abend den üblen Computerschädlingen zuleibe rücken kann.

Ich gehöre zwar nicht gerade zur Gruppe der DAU’s (Dümmste anzunehmende User), allerdings hab’ ich’s nicht so mit all den Dingen, die im Verborgenen werkeln, sondern bin eher ein reiner Anwender. Ich hoffe also, dass ich mich im Umsetzen potenzieller Ratschläge, (so sie denn kommen werden) nicht allzu ungeschickt anstelle.

Vielen Dank schon mal im Voraus.


Michael

Hallöchen,

na dann gehen wir die Sache doch mal an...

Fixen solltest du unbeding folgende Einträge:

O2 - BHO: (no name) - {140FD4DF-701A-46B3-BC1C-DCAE962B0093} - C:\windows\System32\knoecga.dll (file missing)
O4 - HKLM\..\Run: [Aplune Service] svchosd.exe
O4 - HKLM\..\Run: [Settings] svchosd.exe
O4 - HKLM\..\Run: [Systems Restart] C:\windows\System32\spchost.exe
O4 - HKCU\..\Run: [Wendows Deafult Configuration] C:\windows\shchost.exe
O16 - DPF: {11111111-1111-1111-1111-111111111111} - file://C:\Info6.cab
O16 - DPF: {11111111-1111-1111-1111-555300000000} - mhtml:C:\\NO_SUCH_MHT.MHT!http://216.240.137.40/g1.exe
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/I ... _EN_XP.cab
O16 - DPF: {A02780C3-7F77-4E28-855B-28890F3CF37A} - http://akamai.downloadv3.com/binaries/D ... ack_XP.cab

Danach am besten den Rechner im abgesicherten Modus starte und aktuelles Adaware und Antivir drüberlaufen lassen...

@ ComputerDirk:

Vielen Dank, scheint jetzt wieder alles ziemlich stabil zu laufen, zumindest verschwindet nix mehr und die "eregogr.exe" muß nicht mehr geschlossen werden.

Falls wieder Probleme auftreten sollten, darf ich mich hoffentlich nochmal melden?!

Nochmal vielen Dank für die großartige, kompetente und prompte Unterstützung.


Michael