Hallo,
ich bitte um Hilfe. Weiß nicht, ob hier noch schädliche Dateien vorhanden sind. Habe jetzt die erste Hilfe voll durch und alle möglichen Scans durchlaufen lassen.
Vielen Dank,
Franka
Logfile of HijackThis v1.97.7
Scan saved at 21:53:27, on 27.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\BCMSMMSG.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\WPROVAUN.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WhenUSearch\Search.exe
c:\dokumente und einstellungen\franka & sascha\lokale einstellungen\temp\fsg_tmp\ginst_001_1234_4201.exe
C:\Dokumente und Einstellungen\Franka & Sascha\Eigene Dateien\Franka\Netzwerk-Lohr\hjt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CheckMedi8or] C:\Programme\Mediator6\CheckNewUser.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [wmplayer] C:\Programme\Windows Media Player\wmplayer.exe -invisible
O4 - HKLM\..\Run: [stcinstaller] c:\installer\id53.exe
O4 - HKLM\..\Run: [WPROVAUN] C:\WINDOWS\System32\WPROVAUN.exe
O4 - HKLM\..\Run: [WhenUSearch] "C:\Programme\WhenUSearch\Search.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKLM\..\RunOnce: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" "+b1"
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6717349-5432-4949-8FFA-37E7351454C8}: NameServer = 62.104.191.241 62.104.196.134
Jo, so ganz sauber ist die Kiste noch nicht.
Diesen Prozess beenden
C:\WINDOWS\System32\WPROVAUN.exe
Folgendes ist Adware und kann lt. Google über die Systemsteuerung deinstalliert werden:
C:\Programme\WhenUSearch\Search.exe
Kenn ich auch nicht, kommt mir seltsam vor:
c:\dokumente und einstellungen\franka & sascha\lokale einstellungen\temp\fsg_tmp\ginst_001_1234_4201.exe (evtl. mal unter http://www.kaspersky.com/de/scanforvirus scannen)
Folgendes mit Hicjackthis fixen (Haken davor und dann "Fix checked"):
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll
O4 - HKLM\..\Run: [WPROVAUN] C:\WINDOWS\System32\WPROVAUN.exe
O4 - HKLM\..\Run: [WhenUSearch] "C:\Programme\WhenUSearch\Search.exe"
O4 - HKLM\..\Run: [stcinstaller] c:\installer\id53.exe
Anschließend mit einem aktuellen Virenscanner (Antivir-PE?) scannen.
Wenn alles sauber ist:
<gebetsmühle>
Um in Zukunft so einen Ärger zu vermeiden solltest Du den Browser wechseln. der IE ist auch mit allen Patches noch unsicher und eigentlich nur für http://www.windowsupdate.com zu benutzen.
Die sicheren und besseren Alternativen sind Mozilla, Firefox und Opera.
</gebetsmühle>
Vielen lieben Dank für die schnelle Hilfe! Habe sie eben erst entdeckt und werde es gleich ausprobieren.
Grüße
Franka
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)