Werbeseiten-Spam

24.11.2005, 19:20

Hallöchen Leutz

Ich hab scho seit woche ein problem und weiß ned was ich machen soll:

Egal welchen broweser ich nutze (Firefox, Mozilla, IE, Opera) ich bekomme zu hauf und alle paar mins irgendwelche verdammten werbeseiten, die öffenn sich als neues fenster selbstständig, oder die akutelle seite wechselt unaufgefordert zu deren werbesites... (das geht echt alle zwei drei mins so - unmöglich so vernünftig zu surfen, oder pc zu spieln oder oder oder.... )

Hab dann von HijackThis und Silent runners gelesen, und sich damit wohl ganz gute erfolge erzieln lassen.... in der hoffnugn, dass ihr mir weiterhelfen könnt, poste ich das ergebnis von HijackThis und Silent Runners:

HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 19:15:36, on 24.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
G:\Tools\AntiVir\AVSched32.EXE
G:\Tools\MSN Plus\MsgPlus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\ntvdm.exe
G:\Tools\AntiVir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
G:\T-ONLINE\BSW4\ToDuCAlC.EXE
G:\Tools\ICQLite\ICQLite.exe
C:\WINDOWS\System32\wuauclt.exe
G:\Tools\Winamp\winamp.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\aralegal\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.schandmaul.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.schandmaul.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.schandmaul.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsecure/ ... rf?lc=1031
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - G:\Tools\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVSCHED32] G:\Tools\AntiVir\AVSched32.EXE /min
O4 - HKLM\..\Run: [MessengerPlus3] "G:\Tools\MSN Plus\MsgPlus.exe"
O4 - HKLM\..\Run: [Zone Labs Client] G:\Tools\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] G:\Tools\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://G:\Tools\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Tools\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Tools\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - G:\Tools\Yahoo\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - G:\Tools\Yahoo\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - https://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - https://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - https://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - https://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - https://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - https://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - https://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - https://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - https://messenger.zone.msn.com/binary/So ... b31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{55F02199-AD82-40A2-AB0C-400470C16C89}: NameServer = 217.237.149.161 217.237.150.97
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\h64mlgh1164.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\TOOLS\ANTIVIR\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Tools\AntiVir\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - Unknown owner - C:\Programme\HHVcdV7Sys\VC7SecS.exe (file missing)
O23 - Service: VCDDriveSet - Unknown owner - g:\tools\virtual cd\VCDDriveset.EXE (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Und Silent Runners:

"Silent Runners.vbs", revision 41, https://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once\ {++}
"ICQ Lite" = "G:\Tools\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"AVSCHED32" = "G:\Tools\AntiVir\AVSched32.EXE /min" ["H+BEDV Datentechnik GmbH"]
"MessengerPlus3" = ""G:\Tools\MSN Plus\MsgPlus.exe"" ["Patchou"]
"Zone Labs Client" = "G:\Tools\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"]

HKLM\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "G:\Tools\WinRar\rarext.dll" [null data]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "G:\Tools\ICQLite\ICQLiteShell.dll" [empty string]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "G:\Tools\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{e8150f00-10cd-11d2-b2f6-0020af75a4a7}" = "Virtual CD-ROM Drive Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\vcdshext.dll" ["H+H Zentrum für Rechnerkommunikation - GmbH"]
"{319D11A1-22E8-11d2-8041-00A0C9608949}" = "Virtual CD-ROM File Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\vcdshext.dll" ["H+H Zentrum für Rechnerkommunikation - GmbH"]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {CLSID}\InProcServer32\(Default) = "G:\Tools\ALKOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{C779093D-CEDA-43B4-8023-84D34C1D6B8E}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\ckmdlg32.dll" [file not found]
"{D9260A5D-E8BC-49EF-96DC-5174532AED5D}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\pjintui.dll" [null data]
"{3243B8AE-D9A4-45BD-A722-97DD14300DFD}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\ktdusl.dll" [null data]
"{FCE89EE3-B4CB-4C76-BDF4-B7016D2944E1}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\mkrddm.dll" [null data]
"{D0654BA3-864A-4B73-95E0-73F3914941BF}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nfwrseng.dll" [null data]
"{95A09640-ADF2-4863-8A59-679E30EAFA90}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\ukrsdpia.dll" [null data]
"{4E1D16C5-E463-41F5-818F-D750915AA10E}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\kddit142.dll" [null data]
"{48613FAC-2684-4801-9E60-C99378C67747}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\EmnClass.Dll" [null data]
"{48BA5A10-E8C4-4CA7-A38E-CEC6D1A83B89}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\mjtscax.dll" [null data]
"{98ECA70D-5001-4A96-A4D8-C20E03524D31}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\rDsser.dll" [null data]
"{6F062501-85C3-405C-9CBE-96843531CD30}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\iGssam.dll" [null data]
"{9A8DCB18-E067-4B47-A6BF-2ED4BFC39FAE}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\guard.tmp" [null data]
"{10C5114B-4A98-45E5-9FBC-7F8A7689C0E9}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\rqcrt4.dll" [null data]
"{0E299BAB-4BAC-42DB-9992-95AC8B9D580F}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\iBssdo.dll" [null data]
"{503517FE-32E7-4BE3-AB01-BFC187B88AA0}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\wzhcon.dll" [null data]
"{0DAC4256-4053-4262-B755-83048D1C9571}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\mcorc32r.dll" [null data]
"{B7D1CE38-80C4-4DBC-9195-2AEAC1DA9B45}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\mncpx32r.dLL" [null data]
"{120B6F75-C634-4CAF-9432-6B6AC816416C}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\dCvclnt.dll" [null data]
"{2E5F02CA-F3BA-4E8B-98EC-78D6C07C1528}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\wjv9vcm.dll" [null data]
"{EBE50D0E-66A4-4EB5-8A08-060E0A0D2635}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\ircvid.dll" [null data]
"{EB841760-E438-4B0B-B204-953C95A3828E}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\njtapi.dll" [null data]
"{4BBA52F4-CD74-4C25-B8F3-8F6B4426FF6F}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\ugpnpmgr.dll" [null data]
"{710528BE-0AE0-4AD5-886D-7C7556814F56}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\dwnhupnp.dll" [null data]
"{3FA002FF-DCA6-4235-A1FC-AC1C7AD0350E}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\mrisip.dll" [null data]
"{35D8EB8F-42C1-4860-8952-84A285EB121B}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hP23msp.dll" [null data]
"{7E0FCAF2-201C-44C7-9E32-7166241703D1}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\mwnetobj.dll" [null data]
"{B6D1B74F-2194-42B1-9C03-E1ACDD2E5265}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\mycpx32r.dLL" [null data]
"{3A3B0A96-D6D6-4BEC-9292-32C8C2C5FA80}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\ntrsel.dll" [null data]
"{2344D921-5EBE-4575-BA26-A93F4529B419}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\vja256.dll" [null data]
"{CD7F82F5-23E9-4066-A9CB-C8C1891B1567}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\dvintf.dll" [null data]
"{63ED7B3C-E7E0-4EFE-9DB5-C352EC69F78B}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\kldcz2.dll" [null data]
"{553761F2-5760-44C1-B73C-8F77CA3D2097}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\jwt500.dll" [null data]
"{621A0705-6CF4-4AB2-A700-63377E1B4E3C}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nqtevent.dll" [null data]
"{D0E47ADF-A76F-4FD4-80BF-859EADA78B3E}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\iucvid.dll" [null data]
"{AB7C926F-91C2-4DDE-A79C-A465FB9229B3}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\iQshlpr.dll" [null data]
"{0D40039F-FE42-44DA-9A30-442C6C57CB6F}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\ieircl.dll" [null data]
"{9B35EA10-943D-4EC7-9257-D20E39FD6176}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\mddxmlc.dll" [null data]
"{79DB83B2-9EE3-478A-A690-AD17877F3BF6}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\murating.dll" [null data]
"{CD38C5EE-787D-48F6-9D91-378A28E78954}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\mjw3prt.dll" [null data]
"{AE0B743C-E2C6-4D0C-A92B-92046596A9A4}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\wU2time.dll" [null data]
"{C1643F16-8496-47EA-89F2-E2B0EE6A9C8D}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\whhip6.dll" [null data]
"{831F289D-AB89-4626-980D-9BFB8CF031B7}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\ngwddi.dll" [null data]
"{1883AE70-9ECE-4DC1-974A-E201B54E963E}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\EdnClass.Dll" [null data]
"{BAA9CE69-3A40-45D8-889E-C7781EE0B7A1}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\ccrtmgr.dll" [null data]
"{D3C96BD5-4531-4DCE-BCE4-789A469B6075}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\guard.tmp" [null data]
"{F80A7A08-843D-4E31-B1AD-84343E513290}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\wzntrust.dll" [null data]
"{EC9B2929-0152-44F5-A44D-306723E4F1B6}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\WWDMPS.dll" [null data]
"{E2EED236-FFB2-49AB-A02A-9A0311E41F74}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\ofepro32.dll" [null data]
"{30710DB3-26D1-414D-B2A7-E5362DB43A75}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\guard.tmp" [null data]
"{00FB63A2-026A-4BB5-AB0A-5737D901E498}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\wrnotify.dll" [null data]
"{BC49C836-A7CB-41FD-905F-31E5F499EC9B}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\kgdtuq.dll" [null data]
"{AA1C7D4A-63D5-4946-B5BB-640CD14A6A5E}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\ppspl.dll" [null data]
"{0D850B35-3FEC-4435-9CD4-4E6EF94321F6}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\NITAudioInformation2.dll" [null data]
"{350E8D16-43F0-4CD9-BA71-552EBAA81D11}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\srssetup.dll" [null data]
"{7C1B4D64-EB01-438B-AAAF-E6D0B2CF4CF7}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\sxell32.dll" [null data]
"{B4886096-91FE-4C92-A303-6988350E6AA1}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\ielogmsg.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! WindowsUpdate\DLLName = "C:\WINDOWS\system32\h64mlgh1164.dll" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandler s\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "G:\Tools\AntiVir\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "G:\Tools\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "G:\Tools\WinRar\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMen uHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "G:\Tools\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "G:\Tools\WinRar\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHa ndlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "G:\Tools\AntiVir\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "G:\Tools\WinRar\rarext.dll" [null data]

Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\aralegal\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1 .bmp"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssstars.scr" [MS]

Startup items in "aralegal" & "All Users" startup folders:
----------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]

Enabled Scheduled Tasks:
------------------------

"AA6433DE9187A862" -> launches: "c:\dokume~1\aralegal\anwend~1\phonel~1\BINBLAHDRA W.exe" [file not found]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Pa rameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Pa rameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{5345A7A9-805A-4923-B505-86B2FEBA3FE0}" = "iMeshBar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\iMeshBar\bar\3.bin\IMESHBAR.DLL" ["iMesh"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "G:\Tools\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "G:\Tools\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96}\
"ButtonText" = "Yahoo! Messenger"
"MenuText" = "Yahoo! Messenger"
"Exec" = "G:\Tools\Yahoo\YPager.exe" ["Yahoo! Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\MSMSGS.EXE" [file not found]

Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\

Missing lines (compared with English-language version):
"{855F3B16-6D32-4fe6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "G:\Tools\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Update, AVWUpSrv, ""G:\Tools\AntiVir\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monito rs\
EPSON V3 2KMonitor302\Driver = "E_SL2302.DLL" ["SEIKO EPSON CORPORATION"]

----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 43 seconds, including 4 seconds for message boxes)

Ich hoffe, dass ihr damit scho was anfangen könnt...

PS: die Warning meldungen von Silent Runners hab ich natürlich bemerkt, aber mit Killbox lassen die sich ned entfernen (ich bekomme ide meldung dass ich die dateien nicht löschen kann). Ad-aware, CW-Shredder Progkill etc. hab ich alles scho laufen lassen - ohne erfolg

bin für jede hilfe dankbar

24.11.2005, 22:42

Hallöchen,

also folgende Einträge solltest du mal kontrollieren, denn meiner Meinung nach sind sie unnötig, und ggf. entfernen:

Code:

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe (file missing)
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - Unknown owner - C:\Programme\HHVcdV7Sys\VC7SecS.exe (file missing)
O23 - Service: VCDDriveSet - Unknown owner - g:\tools\virtual cd\VCDDriveset.EXE (file missing)

Folgender Eintrag ist kritisch:

Code:

O20 - Winlogon Notify: WindowsUpdate - C:\WINDOWS\system32\h64mlgh1164.dll

Ansosnten kann ich nichts problematisches entdecken, ausser natürlich das dein Windows und dein Internet Explorer nicht auf dem aktuellsten Stand sind und damit sicher jede Menge Sicherheitslöcher bestehen...

25.11.2005, 16:03

Du meinst dieser letztere Eintrag sei kritisch, dass hat mir Silent Runners auch scho gesagt (bzw. soviel konnte ich dann doch daraus erkennen) das problem dabei is nur, dass ich z.B. mit Killbox diesen eintrag nich wegbekomme..... ich bekomme die meldung, dass ich die datei nicht löschen kann, da kann ich machen was ich will... : /

wenn du da vll. noch ne möglichkeit siehst?

(das mein IE nicht aufn neusten stand liegt daran, dass ich Firefox nutze (nur gerade bei den Logfiles, den IE nutzte)

25.11.2005, 22:44

Hallöchen,

dein Windows ist auch noch ohne jedes Service Pack... Das ist nicht gerade gut.

Hast du mal diesen Eintrag in HijackThis gefixt, dann im abgesicherten Modus gestartet und die .dll Datei gelöscht?

25.11.2005, 23:22

Ja hab ich... aber beim fixen und beim versuch die datei zu löschen (ob abgesicherter modus oder ned) bekomme ich immer die meldung, die datei ließe sich nich löschen - ich vermut mal, dass es daran liegt, dass die datei in verwendung is? irgendwie genutzt wird und deshalb der löschvorgang nicht möglich ist?

Selbst wenn, ich weiß nicht welcher Vorgang die Datei verwendet...

26.11.2005, 07:51

Hallöchen,

du könntest natürlich auch mal in der Registry direkt schauen wo diese Datei aufgerufen wird und den Aufruf dort löschen...

26.11.2005, 14:03

Alles was ich über die registry weiß, is wie ich sie öffnen kann

Keine Ahnung wie ich damit umzugehen haben, geschweige denn Einträge überprüfe oder bearbeiten kann...

Wie wahrscheinlich isses denn überhaupt, dass dieser Werbespam an dieser einen .dll datei (war glaub ich eine, wenn ich mich nicht irre) liegt?

Und als logische Konsequenz daraus, wie bekomm ich das Problem behoben, bzw. diese Datei gelöscht

Bin dankbar für jede Antwort

27.11.2005, 09:23

Hallöchen,

wie schon erwähnt, dein Windows ist offen wie ein Scheunentor. Du hast kein Service Pack installiert, dein Internet Explorer ist nicht aktuell. Also sind auf deinem System jede Menge Sicherheitslücken offen...

Solche Werbung kann auch über den Nachrichtendienst kommen, falls dieser noch aktiviert ist.

28.11.2005, 14:19

Ja das sagtest du bereits... aber so ein Problem hat ich ja bisher auch noch nich, trotz der Veralterten Software... Und wenn ein Problem kommt, dann kann man doch bestimmt auch machen, dass es wieder geht ^-^ ...um nochmal auf diesen einen kritischen Eintrag zurückzukommen...

Ich nehm jetzt einfach mal an, dass es daran liegt... Bleibt die Frage wie ich den Eintrag bzw. die Datei vernichten (muharhar) kann... <.<

Werbeseiten-Spam

Werbeseiten-Spam

Ähnliche Themen

Hilfe Virus und Internet Explorer mit Werbeseiten :/

Werbeseiten

Antivirus-Spam

Was für ein Spam

Verbraucher gegen Spam: Spam-Beschwerdestelle beim Verbrauch

Benutzer, die dieses Thema gelesen haben: 0