mein Hijackthis Log, bitte um Hilfe Einstellungen

[sonja282]

Hi!

auch ich habe mich durch diese Seite gestöbert... und bin nun beim Punkt:wenns immer noch Probleme gibt poste deinen Log angelangt...
vielen Dank im Vorraus!!!
sonja

Logfile of HijackThis v1.98.2
Scan saved at 21:08:32, on 13.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\unzipped\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gmx.at/
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

[Voyager]

ich hab zwar dein problem nicht verstanden aber dies musst du fixen im hijackthis
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE

[sonja282]

aja das hab ich nicht dazu geschrieben...ich hab folgendes trojanisches Pferd
TR/Hijchacker.PopCaploa und keinen Ahnung wie ich das los werden soll.ich habe jetzt die Hilfe die hier angegebn wird Schritt für Schritt durchgeführt, aber das Ding ist natürlich immer noch da. ich kann nicht auf die Datei zugreifen in der es sein sollte. (dies liegt wahrscheinlich daran daß ich keine Ahnung von alldem hab)

kannst du mir helfen?
sonja

[Voyager]

das hatte ich in dein laufenden prozessen übersehen
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
geh mal in den abgesicherten modus und fixe mal alles im hijackthis was im obigen programmpfad steht....nachdem du das gemacht hast lösche das komplette verzeichnis C:\Programme\MyWebSearch\*.* und das folder noch dazu...dann starte wieder normal und checke nochmal ob das zeug weg ist.

[Remover]

Unbedingt den abgesicherten Modus (F8 beim booten) benutzen!


Hast du schon Ad-Aware ausprobiert? Das sollte zumindest einen Teil
davon entfernen koennen.

Das Mywebsearch kommt meistens mit anderen Programmen drauf,
z.b. Messenger Plus, oft laesst es sich mit diesen Programmen
wieder deinstallieren und wird dort oft als "Sponsor" bezeichnet.

[sonja282]

habe Ad-Aware runtergeladen und durchlaufen lassen, habe im gesicherten Modus besagte Dateien gefixt bzw.gelöscht.
aber es ist immer noch da!!!!
habt ihr noch einen Tip für mich?
lg sonja

C:\Dokumente und Einstellungen\sonja.SONJA-XJUU64Y4G\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6XFC1OZ2
popcaploader_v5[1].cab
ArchiveType: CAB (Microsoft)
--> PopCapLoader.dll
[FUND!] Ist das Trojanische Pferd TR/Hijack.PopCapLoa

[Voyager]

kompletten browsercache löschen (nach möglichkeit auch im abgesicherten modus) und schon ist das DING weg.
C:\Dokumente und Einstellungen\sonja.SONJA-XJUU64Y4G\Lokale Einstellungen\Temporary Internet Files\*.*
es wird eine index.dat übrig bleiben aber die ist unwesentlich.

[sonja282]

und das ganze bitte nochmal für deppen wie mich...was soll ich löschen?und wie?

[Voyager]

gehe in den abgesicherten modus des PC (dort bin ich sicher das dort kein webbrowser mehr geöffnet ist)
öffne mit deinem datei-explorer den pfad :
C:\Dokumente und Einstellungen\sonja.SONJA-XJUU64Y4G\Lokale Einstellungen\Temporary Internet Files\*.*
das *.* bedeutet das du in dem unterverzeichnis ALLES löschen sollst, das ist das temporäre web-browsercache-verzeichnis. den brauchst du nichtmehr nachdem du aus dem internet raus bist.
dann ist der trojaner und die warnung auch weg.

[sonja282]

das hätte ich schon gestern machen wollen aber genau da liegt mein Problem ich finde diesen Pfad nicht. auch wenn ich ihn suchen lasse taucht er nicht auf. ich komme bis zu Sonjaxxxxx aber lokale Einstellungen finde ich nicht.

[Remover]

Dann musst du noch im Explorer unter Extras Ordneroptionen (Ansicht) den haken bei
Erweiterungen bei bekannten Dateitypen ausblenden rausnehmen.
Sowie den Button bei ALLE Dateien und Ordner anzeigen setzen.
Dann solltest du die Ordner und Dateien sehen.

Ansonsten auch im Internet Explorer unter Extras, Internetoptionen, Dateien loeschen!
Haken bei alle offlineinhalte loeschen setzen und ok bestaetigen

Der Beitrag wurde von Remover bearbeitet: 14.09.2004, 14:49

[Voyager]

falls du die option nicht gleich finden solltest hier noch etwas genauer:
internet explorer -> oben bei Extras -> Internet optionen -> reiter Allgemein -> in der mitte Temporäre internetdateien -> dateien löschen -> alle offlineinhalte löschen.

[sonja282]

GESCHAFFT!!!!

vielen vielen vielen DANK!!!!!

lg sonja