Log-File Hijackthis

von **Shadow73** am 15.09.2004, 13:34

Hallo Leute,

könnte mir mal bitte, bittejemand dieses Fachchinesisch übersetzen? Ich hatte in den letzten Tagen heftigen Viren/Trojaner Befall auf meinem Rechner. :cry:

Der IExplorer funzt immer so ca. 3-4 Minuten dann iss Schluss. DSL-Verbindung steht kann auch mit OutloockExpress EMails abrufen und ICQ geht auch. Ich habe XoftSpy, AdAwareSE, CWshredder, SpyBotSD, TrojanHunter und noch ein paar andere Programme laufen lassen. Alle haben eine Menge Dreck auf meinem Rechner gefunden. :evil:

Ich bin zwar nicht ganz ein Dau aber wenn es an Registrierungseinträge o.ä. geht bin ich mit meinem Latein am Ende. :oops:

Hier ist mal der Log vom letzten Hijackthis Scan nachdem die o.a. Programme schon eine Menge bereinigt haben.

Logfile of HijackThis v1.98.2
Scan saved at 11:25:18, on 15.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Andreas\LOKALE~1\Temp\Rar$EX00.083\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aomi.info
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aomi.info
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aomi.info
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SAITEKAUTOCONFIGURE] C:\Programme\Saitek\ST\Drv\saicnfig.exe /autorun
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\Chris\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.0\THGuard.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 4551084882
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4AF161E6-ABA7-44AC-AB96-72A386485C2A}: NameServer = 192.168.122.252,192.168.122.253

von **Nikita** am 15.09.2004, 14:30

Hallo @Shadow73

fixe mit dem HijackThis:
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
neustarten

Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken .
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen)

#Gehe unbedingt in den abgesicherten Modus (!)
http://www.bsi.de/av/texte/winsave.htm
#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.

(Virenlog aus "Viewer"vom Scanner speichern und dann abkopieren:
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal posten.

(Tip:O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
DeinModem\Router hat eine Fehler, vielleicht musst du die Karte+Driver neu installieren)

mfg
Nikita

von **Shadow73** am 15.09.2004, 14:34

Wow, das ging aber fix. :shock:

Coole Sache, euer Forum. Respekt und Danke erstmal, werde dann heute Abend Deine Anweisungen versuchen umzusetzen. :roll:

Ich hoffe, dass ich das alles gebacken kriege. Werde aber zur Sicherheit nachher nochmal den HijackThis Log posten.

Schöne Grüsse
Andreas

von **Nikita** am 15.09.2004, 15:12

Shadow73 hat geschrieben:Wow, das ging aber fix. Coole Sache, euer Forum. Respekt und Danke erstmal, werde dann heute Abend Deine Anweisungen versuchen umzusetzen. Ich hoffe, dass ich das alles gebacken kriege. Werde aber zur Sicherheit nachher nochmal den HijackThis Log posten.

Schöne Grüsse
Andreas

und das:
(Virenlog aus "Viewer"vom Scanner speichern und dann abkopieren:
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal posten.
mfg
Nikita

von **Shadow73** am 15.09.2004, 23:47

Das update habe ich erfolgreich gemacht aber wenn ich die mwav.exe ausführen will kommt eine meldung sinngemäss "Signaturen älter als 30 tage, update empfohlen"?? :shock:

von **Nikita** am 16.09.2004, 00:12

Dann hattest du das Tool schon und nun ist nach 30 Tagen "free" abgelaufen....
Deinstalliere eScan.

Scanne mit Anivirus im abgesicherten Modus
konfiguriere:<alle Dateien, HeuristIk.mittel <

mfg
Nikita

von **Shadow73** am 16.09.2004, 00:34

Die Zeile R3 hab' ich schonmal gelöscht und für die O10 Zeilen hiess es, ich brauche ein lspfix Programm. Mühsam nährt sich das Eichhörnchen! :lol:

von **Nikita** am 16.09.2004, 00:42

Ich habe selbstverstaendlich das lspfix, aber ich empfehel es dir nicht, weil c:\programme\fritz!dsl\sarah.dll kein Virus sein soll (kannst ja mal googeln)
Ich wuste das frueher nicht, hab es fixen lassen und schwupps, war kein Reinkommen mehr ins Net......

Du musst einfach im abgesicherten Modus mit dem aktuallisierten Antivirus scannen, oder du deinstallierst mwav.exe , loescht alle Eintrage unter
Start<Ausfuehren<%temp%, die zum Tool gehoeren und auch in der Registry und versuchst es noch mal zu laden.

Im Log kann man nichts sehen.....

FindnFix:(wenn der Antivirus protestiert...ab in die Quarantaene...ist ein Bug"
http://www10.brinkster.com/expl0iter/freeatlast/FNF/
1. Entpacken
2. !LOG!.BAT anklicken
3. Log(log.txt) abkopieren und posten

mfg
Nikita

von **Shadow73** am 16.09.2004, 12:18

Thu 16 Sep 04 12:16:00

»»»»»»»»»»»»»»»»»»***LOG!***(*updated *9/1*)»»»»»»»»»»»»»»»»

*System:
Microsoft Windows XP Professional 5.1 Service Pack 2 (Build 2600)
*IE version:
6.0.2900.2180 SP2

MS-DOS Version 5.00.500

*command.com test passed!

__________________________________
!!*Creating backups...!!

The operation completed successfully
12:15:59,64 16.09.2004
__________________________________

*Local time:
Donnerstag, 16. September 2004 (16.09.2004)
12:16, Westeuropäische Sommerzeit
*Uptime:
12:16:02 up 0 days, 0:03:43

*Path:
C:\FINDnFIX
----------------------------------------------------
»»Member of...: ("ADMIN" logon + group match required!)

User is a member of group FITZGERALD\Kein.
User is a member of group \Jeder.
User is a member of group VORDEFINIERT\Administratoren.
User is a member of group VORDEFINIERT\Benutzer.
User is a member of group NT-AUTORITÄT\INTERAKTIV.
User is a member of group NT-AUTORITÄT\Authentifizierte Benutzer.
User is a member of group \LOKAL.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Running in WORKSTATION MODE.

»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided and registry scan should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove
without attempting to confirm it's nature!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!
If in doubt, always search the file(s) and properties according to criteria!

The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder

______________________________________________________________________________
***YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!***
______________________________________________________________________________

......Scanning for file(s)...
*Note! The list(s) may include legitimate files!
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»

»»»»» (*1*) »»»»» .........
»»Read access error(s)...

»»»»» (*2*) »»»»»........

»»»»» (*3*) »»»»»........

No matches found.

unknown/hidden files...

No matches found.

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»»»(*5*)»»»»»

»»»»»(*6*)»»»»»

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...
*List of files and specs according to 'size' :
*Note: Not all files listed here are infected, but *may include* the
name and spces of the offending file...
___________________________________________________________________________
Path: C:\WINDOWS\SYSTEM32 Including: *.DLL

618. Msasn1 Dll 57,344 . . . . A 8-04-04 9:57 am
644. Mshtmler Dll 57,344 . . . . A 8-04-04 9:55 am
210. Dmloader Dll 35,840 . . . . A 8-04-04 9:57 am
359. Imgutil Dll 35,840 . . . . A 8-04-04 9:57 am
835. Nvwddi Dll 35,840 . . . . A 2-04-04 10:37 am
234. Dpvacm Dll 21,504 . . . . A 8-04-04 9:57 am
286. Feclient Dll 21,504 . . . . A 8-04-04 9:57 am

____________________________________________________________________________
*By size and date...

C:\WINDOWS\SYSTEM32\
msasn1.dll Wed 4 Aug 2004 9:57:24 A.... 57.344 56,00 K
mshtmler.dll Wed 4 Aug 2004 9:55:32 A.... 57.344 56,00 K

2 items found: 2 files, 0 directories.
Total of file sizes: 114.688 bytes 112,00 K

C:\WINDOWS\SYSTEM32\
dmloader.dll Wed 4 Aug 2004 9:57:18 A.... 35.840 35,00 K
imgutil.dll Wed 4 Aug 2004 9:57:22 A.... 35.840 35,00 K

2 items found: 2 files, 0 directories.
Total of file sizes: 71.680 bytes 70,00 K

C:\WINDOWS\SYSTEM32\
dpvacm.dll Wed 4 Aug 2004 9:57:18 A.... 21.504 21,00 K
feclient.dll Wed 4 Aug 2004 9:57:18 A.... 21.504 21,00 K

2 items found: 2 files, 0 directories.
Total of file sizes: 43.008 bytes 42,00 K

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\MSASN1.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\MSHTMLER.DLL
SNiF 1.34 statistics

Matching files : 2 Amount in bytes : 114688
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\DMLOADER.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\IMGUTIL.DLL
SNiF 1.34 statistics

Matching files : 2 Amount in bytes : 71680
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\DPVACM.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\FECLIENT.DLL
SNiF 1.34 statistics

Matching files : 2 Amount in bytes : 43008
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»

BHO search and other files...

No matches found.

"C:\WINDOWS\system32\"
rtipxmib.dll 4 Aug 2004 31744 "rtipxmib.dll"

1 item found: 1 file, 0 directories.
Total of file sizes: 31.744 bytes 31,00 K

--*sp.html in temp folder was NOT FOUND!--

*Filter keys search...
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2)

--(*text/html Subkey was NOT FOUND!)--

REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2)

--(*text/plain Subkey was NOT FOUND!)--

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450

»»Checking for AppInit_DLLs (empty) value...
________________________________
!"AppInit_DLLs"=""!

Value Matches
________________________________

»»Comparing *saved* key with *original*...

REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com)

Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows).

No differences found.

»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs =
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 90
USERProcessHandleQuota = REG_DWORD 0x00002710

»»Security settings for 'Windows' key:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI) ALLOW Read VORDEFINIERT\Benutzer
(IO) ALLOW Read VORDEFINIERT\Benutzer
(NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(NI) ALLOW Full access VORDEFINIERT\Administratoren
(IO) ALLOW Full access VORDEFINIERT\Administratoren
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(NI) ALLOW Full access VORDEFINIERT\Administratoren
(IO) ALLOW Full access ERSTELLER-BESITZER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read VORDEFINIERT\Benutzer
Read VORDEFINIERT\Hauptbenutzer
Full access VORDEFINIERT\Administratoren
Full access NT-AUTORITŽT\SYSTEM

»»Performing string scan....
00001150: ?
00001190: vk f AppInit_
000011D0:DLLs G vk UDeviceNotSelectedTimeout
00001210: 1 5 _ 9 0 x, vk ' zGDIProce
00001250:ssHandleQuota" vk Spooler2 y e s h
00001290: 0 ` vk =pswapdisk vk
000012D0: R TransmissionRetryTimeout 0 `
00001310: vk ' C USERProcessHandleQuotaY_
00001350:
00001390:
000013D0:
00001410:
00001450:
00001490:
000014D0:
00001510:
00001550:
00001590:
000015D0:

---------- WIN.TXT
fùAppInit_DLLsÖ

von **Nikita** am 16.09.2004, 12:46

Hallo @Shadow73

http://www.spychecker.com/program/lspfix.html
Versuche es mal, die sarah.dll zu loeschen...aber auf eigenes Risiko (!)
Beschwere dich dann nicht, wenn du nicht mehr ins Net kommst und die Netzwerkkarte +Driver neu installieren musst.

bringe die sarah.dll von der linken auf die rechte Seite und loesche sie.

Dann berichte.

mfg
Nikita

von **Shadow73** am 16.09.2004, 18:26

nach dem löschen der sarah.dll musste ich tatsächlich treiber und modem neu installieren. jetzt ist dies sarah.dll wieder da.

Logfile of HijackThis v1.98.2
Scan saved at 18:26:51, on 16.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Chris\iTunes\iTunesHelper.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Chris\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Andreas\LOKALE~1\Temp\Rar$EX00.646\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aomi.info
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aomi.info
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aomi.info
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\Chris\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.0\THGuard.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 4551084882
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E70C5A21-6526-45C4-A5BA-BF52590859AB}: NameServer = 192.168.122.252,192.168.122.253

von **Nikita** am 17.09.2004, 00:43

Wahrscheinlich ist es ein Bug vom HijackThis...

Wie laeuft edenn nun der PC ? Immer noch Probleme beim surfen ?
Gruss
Nikita

Log-File Hijackthis

Log-File Hijackthis

Ähnliche Themen

Wer ist online?