Hallo!

Nach ewiger Zeit ist mein Computer mal wieder im Netz. Könnte mal jemand das hier überfliegen?
Hab keine Probleme, nur so zur Sicherheit!

Vielen Dank!!

Logfile of HijackThis v1.98.2
Scan saved at 16:53:37, on 30.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\pctspk.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\PRISMSTA.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.10\WlanCU.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\93b9023ce74cc2dad700644c5dc522ef\update\update.exe
C:\Dokumente und Einstellungen\Annika Luna\Desktop\important stuff\viren zeug\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://192.168.1.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.10\WlanCU.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3120794218

Hallo@AnnikaLuna

Schoen, mal wieder von dir zu hoeren
Musstest du damals neu installieren ? Ich erinnere mich noch gut, wie verseucht dein PC war.....

Dieses Log dagegen ist absolut o.k.

Gruss
Nikita

Du erinnerst dich noch an mich?

Nein, ich habe gar nichts neu installiert!
Funktioniert alles einwandfrei dank deiner Hilfe damals!

Werde hier jetzt öfters mein Log reinposten... hab keine Lust mehr auf 38 Viren und Trojaner!

Vielen Dank nochmal!
*Annika*

Hallo@AnnikaLuna
Poste ab und an dein Log in das Fenster.
Wenn was gelbes auftaucht(undefinierbar) ...komme ins Forum und wenn es rot ist, ueberlege nicht zweimal.

#HijackThis-Auswertung
http://www.hijackthis.de/

Gruss
Nikita

Ähm… ich will ja nicht nerven, aber es läuft doch nicht alles so rund, wie ich das gerne hätte.

Also: Ich kann nichts schicken! Weder Emails, noch Forenbeiträge (bin grad mal wieder am Ersatzcomputer) Konnte noch nicht mal euer geniales Do-it-yourself-HijackThis ausprobieren! Ich kann sonst alle Seiten besuchen, downloaden oder Emails abrufen. Nur selbst abschicken funktioniert nicht...

Woran kann das liegen? Bekomme dann (nach ewigem Laden) immer die Nachricht „Server nicht gefunden“.

Idee?
Danke schon mal!

Und noch was: Ist der Mozilla wirklich besser als der T-Online Browser?

Hallo@AnnikaLuna

Es scheint, dass niemand eine Loesung kennt, obwohl ich deinen Thread verschoben habe.
Versuche mal folgendes:

#oeffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
loesche alles , lasse nur stehen:
127.1.1.0 localhost
#Original Host Datei

Dann berichte, ob es wieder funktioniert.

mfg
Nikita

Hallo!

Tja, irgendwie weiß wirklich niemand, was bei mir nicht stimmt… aber danke trotzdem für’s Verschieben!
Also, hab gemacht, was du gesagt hast, aber bei mir stand leider nichts weiter da als das Beispiel und „127.1.1.0 localhost“, wie du schon gesagt hast. Konnte also nichts löschen…

Ich muss auch bei jedem neuen Hochfahren das Häkchen „Windows zum Konfigurieren der Einstellungen verwenden“ bei den Netzwerkeinstellungen neu setzen. Sonst klappt das Internet auch nicht.
Vielleicht hängt das ja irgendwie zusammen…!?
Und die Avguard.Exe stellt auch ab und zu ein Problem fest und will, dass ich ihn beende. Dann krieg ich ihn auch nicht mehr zum Laufen und muss neu hochfahren... *stöhn*, aber das passiert ja nicht so häufig

Vielleicht hast du ja noch eine zündende Idee (oder irgendwer anders!!??)

Aber danke schon mal!
Lieben Gruß, *Annika*


PS: Hab jetzt auch das Do-it-yourself-HighjackThis ausprobiert. Nix Rotes, aber wieso wird auch die Brower.exe als unbekannt angezeigt??
Und außerdem:
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START (sagt mir nix, is gelb)

Hallo@AnnikaLuna

<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten

mfg
Nikita

Nö, das hat gar nichts ergeben...
Konnte den Download-Link nicht direkt anklicken, da hat die Browser.exe nicht mehr reagiert... Hab's dann von diesem Computer auf meinen rübergezogen.
Ergebnis: Kein einziger Virus (bin ich ja gar nicht gewöhnt )

Gut oder seltsam?

Lieben Gruß, *Annika*

Hallo Annika, ich bin mir nicht ganz sicher. Aber du könntest mal den DNS-Cache leeren. Schaden kanns nicht Start -> Ausführen -> cmd, dann ipconfig /flushdns.

Nö, das war's leider auch nicht....
Hab bestimmt irgendwo nur ein Häkchen falsch bzw. nicht gesetzt...

Naja, aber danke trotzdem!

Gruß, *Annika*

HUCH!

Ich konnt's ja posten! War eigentlich nur ein Versuch...
Also, hier klappts. Mails abschicken (über gmx oder web) geht aber immer noch nicht, hab's grad getestet.
HijackThis-Auswertung auch nicht...

Total seltsam jetzt!

*confused*

Ok, das Leeren des DNS Cache hat zumindest schon mal was bewirkt. Vermutlich aber nicht dauerhaft
Das nächste währe eine Kontrolle der hosts List.

%Windir%\System32\drivers\etc\hosts

Die Datei rechts anklicken -> Öffnen -> Programm aus Liste wählen -> Editor

Poste mal was drin steht. Gleiches machst du noch mit lmhosts.sam

Info: %windir% steht für dein Windows Verzeichnis. Kann ja verschieden heißen

Tja, zu früh gefreut. Jetzt konnt ich doch nix mehr posten...
Aber hier die Daten:

hosts:

"# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost"

und Imhosts:

"# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine Beispieldatei für LMHOSTS, wie sie von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
# Sie ist mit der LMHOSTS-Datei von Microsoft TCP/IP für LAN Manager 2.x
# kompatibel.
# Bearbeiten Sie diese Datei mit einem ASCII-Editor.
#
# In dieser Datei werden einzelnen IP-Adressen die entsprechenden
# Computernamen (NetBIOS-Namen) zugeordnet. Jeder Eintrag sollte aus
# einer einzelnen Zeile bestehen.
# Die IP-Adresse wird in der ersten Spalte eingetragen, gefolgt vom
# zugehörigen Computer-Namen. Die Adresse und der Computer-Name müssen
# dabei durch mindestens ein Leerzeichen oder ein Tabulatorzeichen
# getrennt sein.
# Das Zeichen "#" wird gewöhnlich Kommentaren vorangestellt. Ausnahmen
# hiervon sind die folgenden Erweiterungen:
#
# #PRE
# #DOM:<Domäne>
# #INCLUDE <Dateiname>
# #BEGIN_ALTERNATE
# #END_ALTERNATE
# \0xnn (Unterstützung nichtdarstellbarer Zeichen)
#
# Die Erweiterung "#PRE" wird nach dem Computer-Namen angegeben, wenn
# dieser Eintrag bereits zu Anfang in den Namen-Cache geladen werden
# soll. Standardmäßig werden die Einträge nicht zu Anfang in den Namen-
# Cache geladen, sie werden jedoch auch nur dann ausgewertet, wenn die
# dynamische Namensauswertung fehlschlägt.
#
# Die Erweiterung "#DOM:<Domäne>" wird nach dem Computer-Namen angegeben,
# wenn der Eintrag mit einer Domäne verknüpft werden soll.
# Dies wirkt sich auf das Verhalten des Computer-Suchdienstes und des
# Anmeldedienstes in der TCP/IP-Umgebung aus.
# Die Erweiterung "DOM:<Domäne>" kann zusammen mit der Erweiterung "PRE"
# für einen Eintrag angegeben werden.
#
# Die Angabe von "#INCLUDE <Dateiname>" veranlasst den NetBIOS Helper-
# Dienst die angegebene Datei zu suchen und sie wie eine lokale Datei
# auszuwerten. Für <Dateiname> werden UNC-Namen akzeptiert. Dadurch ist
# es möglich, eine LMHOSTS-Datei zentral auf einem Server zu verwalten.
# Befindet sich der Server außerhalb des Broadcast-Bereichs, ist eine
# Adresszuordnung für diesen Server vor der "#INCLUDE"-Anweisung not-
# wendig.
#
# Die Anweisungen "#BEGIN_ALTERNATE" und "#END_ALTERNATE" ermöglichen die
# Gruppierung von mehreren "#INCLUDE"-Anweisungen.
# Ist eine "INCLUDE"-Anweisung erfolgreich, werden alle weiteren
# "INCLUDE-ANWEISUNGEN" übersprungen und die Gruppe verlassen.
#
# Nichtdarstellbare Zeichen können im Computer-Namen enhalten sein.
# Solche Zeichen müssen als Hex-Wert in der \0xnn-Notation angegeben
# werden und zusammen mit dem NetBIOS-Namen in Anführungszeichen
# eingeschlossen werden.
#
#
# Beispiel:
#
# 102.54.94.97 maestro #PRE #DOM:technik # DC von "Technik"
# 102.54.94.102 "spiele \0x14" # besonderer Server
# 102.54.94.123 nordpol #PRE # Server in 3/4317
# #BEGIN_ALTERNATE
# #INCLUDE \\lokal\public\lmhosts
# #INCLUDE \\maestro\public\lmhosts
# #END_ALTERNATE
#
# In diesem Beispiel enthält der Server "spiele" ein Sonderzeichen
# im Namen, und der Server "nordpol" wird bereits zu Anfang in den
# Namen-Cache geladen.
# Die Adresszuordnung für den Server "maestro" wird angegeben, um diesen
# Server weiter unten in der #INCLUDE-Gruppe verwenden zu können.
# Wenn der Server "lokal" nicht verfügbar ist, wird die zentrale LMHOSTS-
# Datei auf "maestro" verwendet.
#
# Beachten Sie, dass die gesamte Datei bei jeder Auswertung durchsucht wird,
# einschließlich der Kommentarzeilen. Es wird daher empfohlen, die obigen
# Kommentarzeilen zu entfernen."

Glaube nicht, dass du das alles brauchst, aber ich wusste nicht, was wichtig ist...

Merci beaucoup!

Hallo,
interessant sind die Zeilen, wo kein # vorsteht. Da ist nur der localhost 127.0.0.1 eingetragen, und das ist auch richtig so.

Wie es aussah konntest du kurzzeitig posten. Nun geht es wieder nicht mehr. Nun würde ich an dieser Stelle weiterforschen. Ich sagte schon, dass das nicht dauerhaft sein wird. Ich würde folgendes machen:

1. Nochmal /flushdns
2. versuchen zu posten so lange es geht
3. neustarten, schauen ob es dann noch geht

Kann sein, dass irgentetwas das Problem immer wieder neu herstellt.

Du kannst auch schauen welche Einträge in dem DNS Cache stehen. Interessant währe dann, welche Einträge hinzukommen und das Problem auslösen.

Cache auslesen mit dem Befehl ipconfig /displaydns

Ich hoffe hier hat jemand eine andere Idee, denn das hier vorgeschlagene Verfahren ist ein langsames herantasten an den Fehler. Besser währe jemand würde schon die fertige Lösung haben.