HiJack Logfile analyse

12.08.2006, 16:00

Hallo.

Brauchte evt. mal ne Hilfe + Analyse von einen Spezialisten

Bei uns kamen auch immer alle paar Minuten so ein Werbefenster. Außerdem war der PC ziemlihc langsam geworden und hing einige male fest.

Bin nun schon mit Ad-Aware drüber gegangen und der hat auch einiges gefunden. Allerdings kommen die Werbefenster immer noch.

Mit HiJackthis hab ich nun folgende Infos bekommen. Kann sich das mal bitte jemand anschauen ob ich mir was eingefangen hab? danke schonmal im vorraus

ogfile of HijackThis v1.99.1
Scan saved at 15:50:30, on 12.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Canon\MULTIP~1\MPTBox.exe
C:\WINDOWS\sload.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Paul\qttask.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\thiselt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Canon\MultiPASS4\MPDBMgr.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.endless-fantasy.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = fritz.box;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7D5C843C-BEB6-1817-F887-0ADDE268968D} - C:\WINDOWS\System32\zvkttrlp.dll (file missing)
O2 - BHO: (no name) - {A52431D4-1382-0D19-8130-85DE08588D27} - C:\WINDOWS\System32\rvsrgngk.dll (file missing)
O2 - BHO: (no name) - {D6057E20-793B-BF76-512B-E5FBC291C93C} - C:\WINDOWS\System32\fnwvntjv.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MPTBox] C:\PROGRA~1\Canon\MULTIP~1\MPTBox.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Videos\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Comedy-Planet] C:\Programme\Comedy-Planet\comedy-planet.exe
O4 - HKLM\..\Run: [hygpzjiv] C:\WINDOWS\System32\hygpzjiv.exe
O4 - HKLM\..\Run: [sload] "C:\WINDOWS\sload.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Paul\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [pop06apelt] C:\WINDOWS\thiselt.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\System32\mstask.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.ex e
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - https://-Web.Washer-/ie_add
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O15 - Trusted Zone: *.elitemediagroup.net
O15 - Trusted Zone: *.sxload.com
O16 - DPF: Yahoo! Literati - https://download.games.yahoo.com/games/c ... /tt3_x.cab
O16 - DPF: Yahoo! MahJong Solitaire - https://download.games.yahoo.com/games/c ... jst4_x.cab
O16 - DPF: Yahoo! Pool 2 - https://download.games.yahoo.com/games/c ... pote_x.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nesuned.mht!https://adgate.info/zscript/dial.chm::/d2.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - https://go.microsoft.com/fwlink/?linkid= ... lcid=0x409
O16 - DPF: {505098FD-5D61-4BC2-9B82-F969D0E932A2} (EGEGAUTH Class) - https://akamai.downloadv3.com/binaries/P ... _EN_XP.cab
O16 - DPF: {5526B4C6-63D6-41A1-9783-0FABF529859A} (mm06ocx.mm06ocxf) - https://cabs.elitemediagroup.net/cabs/mediaview.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - https://207.188.7.150/2918cbc65a73b4c454 ... xIE601.cab
O16 - DPF: {8A0DCBDB-6E20-489C-9041-C1E8A0352E75} - https://awbeta.net-nucleus.com/FIX/WinATS.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - https://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {C20EB175-0DD0-4979-A994-1F0DBA69F627} (EGEGAUTH Class) - https://akamai.downloadv3.com/binaries/P ... _EN_XP.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - https://f009.mail.lycos.de/app/uploader/FileUploader.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - https://data.flatcast.com/NpFv415.dll
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - https://www2.incredimail.com/contents/se ... loader.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - mk:@MSITStore:C:\DOKUME~1\Besitzer\LOKALE~1\Temp\w infix.chm::/SystemDoctor2006FreeInstall.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: nemjcnzayrtt (MsUpdate5) - Unknown owner - C:\WINDOWS\System32\msupd5.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

12.08.2006, 18:02

Hallöchen,

also folgende Einträge soltlest du unbedingt fixen ( beheben ):

Code:

O2 - BHO: (no name) - {7D5C843C-BEB6-1817-F887-0ADDE268968D} - C:\WINDOWS\System32\zvkttrlp.dll (file missing) 
O2 - BHO: (no name) - {A52431D4-1382-0D19-8130-85DE08588D27} - C:\WINDOWS\System32\rvsrgngk.dll (file missing) 
O2 - BHO: (no name) - {D6057E20-793B-BF76-512B-E5FBC291C93C} - C:\WINDOWS\System32\fnwvntjv.dll (file missing) 
O4 - HKLM\..\Run: [Comedy-Planet] C:\Programme\Comedy-Planet\comedy-planet.exe 
O4 - HKLM\..\Run: [hygpzjiv] C:\WINDOWS\System32\hygpzjiv.exe 
O4 - HKLM\..\Run: [sload] "C:\WINDOWS\sload.exe" 
O4 - HKLM\..\Run: [pop06apelt] C:\WINDOWS\thiselt.exe 
O15 - Trusted Zone: *.elitemediagroup.net 
O15 - Trusted Zone: *.sxload.com 
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nesuned.mht!https://adgate.info/zscript/dial.chm::/d2.exe  
O16 - DPF: {505098FD-5D61-4BC2-9B82-F969D0E932A2} (EGEGAUTH Class) - https://akamai.downloadv3.com/binarie...1036_EN_XP.cab
O16 - DPF: {5526B4C6-63D6-41A1-9783-0FABF529859A} (mm06ocx.mm06ocxf) - https://cabs.elitemediagroup.net/cabs/mediaview.cab
O16 - DPF: {8A0DCBDB-6E20-489C-9041-C1E8A0352E75} - https://awbeta.net-nucleus.com/FIX/WinATS.cab 
O16 - DPF: {C20EB175-0DD0-4979-A994-1F0DBA69F627} (EGEGAUTH Class) - https://akamai.downloadv3.com/binarie...1032_EN_XP.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - mk:@MSITStore:C:\DOKUME~1\Besitzer\LOKALE~1\Temp\winfix.chm::/SystemDoctor2006Fr eeInstall.cab 
O23 - Service: nemjcnzayrtt (MsUpdate5) - Unknown owner - C:\WINDOWS\System32\msupd5.exe (file missing)

Anschließend den Rechner neu starten und die gefixten .exe Dateien suchen und löschen.

12.08.2006, 19:14

Danke schön.

Bin zwar erst Montag wieder an dem Rechner aber werds mal versuchen.

Was meinst du mit den gefixten Dateien suchen und löschen? Soll ich mir die jetzt am besten aufschreiben und später dann mit suche finden und löschen oder wie meinst das?

vielen dank schonmal

13.08.2006, 07:00

moin,
die von Dirk ausgewählten Bösewichter zeigen ja den Pfad an, wo sie im Explorer sitzen.
Entweder du verfolgst den und löscht oder du benutzt die Suchfunktion. Da musst du allerdings eintippen.
Beispiel:
Nach dem Fixen von >
O23 - Service: nemjcnzayrtt (MsUpdate5) - Unknown owner - C:\WINDOWS\System32\msupd5.exe (file missing)
Im Explorer zu >C, zu >Windows, zu >System32, zu> msupd5.exe gehen und löschen..
oder:
in die Suchfunktion : msupd5.exe eintippen. Dann wird dir der Speicherort am Ende des Pfades auch angezeigt.
Beachte: Manche lassen sich nur im "abgesicherten Modus" entfernen.
Diesen erreichst du wiederum beim Hochfahren nach dem Drücken der F8-Taste.

13.08.2006, 08:40

Hallöchen,

also wenn da hinter dem Eintrag der Zusatz ( file missing ) steht, dann brauchst du die Datei nicht mehr suchen, denn sie ist bereits entfernt wurden und nur der Eintrag in der Registrierung war noch vorhanden.

13.08.2006, 08:44

moin,
sorry, dann habe ich ein falsches Beispiel ausgewählt. Hoffe, es verwirrt nicht zu sehr.

Aber im Prinzip liege ich doch richtig, Dirk?

13.08.2006, 18:19

Hallöchen,

ja das ist schon richtig so...

HiJack Logfile analyse

HiJack Logfile analyse

Ähnliche Themen

HiJack This Logfile

HiJack This Logfile

Hijack Logfile 2

hijack this logfile

hijack this logfile