System Alert & Toolbar Bitte um Hilfe

14.11.2007, 12:31

Hallo. Habe wie so viele hier auch das Problem mit "System Alert" und der Toolbar im Explorer sowie 2 Symbole in der Startleiste sowie auf dem Desktop

Habe es gerade mal mit "Smithfraud" probiert, das Tool meldet aber ständig, dass es einen Pfad nicht findet und läuft ohne Problemlösung durch.
Nun habe ich mal "HijackThis" durchlaufen lassen und füge unten das Logfile an.
Ist es eigentlich ein Problem, dass ich Win2000 und XP mit jeweils 2 Usern drauf habe ? Es sind 2 Partitionen auf einer Festplatte . Ausserdem habe ich noch eine externe Platte. Wird diese auch gescannt?

Viele Dank vorab für Eure Hilfe.
__________________________________________________ _______

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:11:27, on 14.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\system32\srwyynkn.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\USRobotics\Wireless USB Manager\USR54G.exe
D:\Downloads\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.de/
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - D:\WINDOWS\system32\hmazdpvx.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Local Security Authority Service] D:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [Windows Logon Application] D:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [04f21767] rundll32.exe "D:\WINDOWS\system32\umfcljsq.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: USRobotics Wireless USB Adapter.lnk = D:\Programme\USRobotics\Wireless USB Manager\USR54G.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{82253ABF-CF55-451A-B5F2-485368FDB5C3}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8001F4A-EFDC-4B50-9B6E-4823D2C1B664}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE4322E7-7EE1-4A2E-BF64-044EA5478A21}: NameServer = 192.168.2.1
O20 - AppInit_DLLs: d:\windows\system32\vtstsrr.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DomainService - - D:\WINDOWS\system32\srwyynkn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

--
End of file - 3567 bytes

14.11.2007, 13:36

Hallöchen,

also als erstes die Systemwiederherstellung deaktivieren. Wie das geht steht unter folgendem Link:

Systemwiederherstellung aktivieren bzw. deaktivieren

Dann folgende Einträge in HijackThis beheben:

Code:

O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - D:\WINDOWS\system32\hmazdpvx.dll
O4 - HKLM\..\Run: [Local Security Authority Service] D:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [Windows Logon Application] D:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [04f21767] rundll32.exe "D:\WINDOWS\system32\umfcljsq.dll",b
O20 - AppInit_DLLs: d:\windows\system32\vtstsrr.dll
O23 - Service: DomainService - - D:\WINDOWS\system32\srwyynkn.exe

Dann den Rechner im abgesicherten Modus starten und die .exe Dateien einfach mal umbenennen, z.b. ein .bak anhängen.

Rechner normal starten und kontrollieren.

14.11.2007, 15:01

Hi "computerdirk".
Vielen Dank für Deine schnelle Antwort!
Nun startet mein XP nicht mehr - kann nur noch W2k starten und komme so zum Glück an meine Daten ran. Kann es sein, dass ich die "winlogon.exe" nicht umbennen durfte? Habe sie wieder in "exe" benannt, startet aber trotzdem nicht durch

14.11.2007, 17:10

Hallöchen,

upps... Ist auf D: dein Windows XP?

Code:

O4 - HKLM\..\Run: [Local Security Authority Service] D:\WINDOWS\System32\Isass.exe 
O4 - HKLM\..\Run: [Windows Logon Application] D:\WINDOWS\System32\winIogon.exe

Möglicherweise kommt HijackThis damit doch nicht so ganz klar das da zwei Betriebssysteme vorhanden sind...

Oder aber du hast da was verwechselt.

Isass.exe beginnt mit einem großen I wie in Indien. Es gibt eine Windows-Datei lsass.exe die mit einem kleinen L wie in Land beginnt.
Genauso ist es bei winIogon.exe, da ist in der Mitte wieder ein großes I wie in Indien und kein kleines L wie in Land.

Wenn du jetzt natürlich die Windows-Dateien umbenannt hast, dann startet Windows XP möglicherweise nicht richtig...

15.11.2007, 08:27

Moin Dirk,

also ich habe auch die Isass wieder mit der Endung "exe" benannt und mein XP startet wieder. Leider wieder mit Toolbar und System-Alert alle 20-30 sek.

Mein W2k ist installiert auf Partition C: und mein XP auf D:
Gibt es keine Parameter für HiJack um z.B. aus W2k das Laufwerk D: zu scannen ?

Anbei das aktuelle Logfile
__________________________________________________ ______

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:16:31, on 15.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\USRobotics\Wireless USB Manager\USR54G.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Downloads\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.de/
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - D:\WINDOWS\system32\hmazdpvx.dll
O4 - HKLM\..\Run: [Local Security Authority Service] D:\WINDOWS\System32\Isass.exe
O4 - HKLM\..\Run: [Windows Logon Application] D:\WINDOWS\System32\winIogon.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [04f21767] rundll32.exe "D:\WINDOWS\system32\umfcljsq.dll",b
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: USRobotics Wireless USB Adapter.lnk = D:\Programme\USRobotics\Wireless USB Manager\USR54G.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{82253ABF-CF55-451A-B5F2-485368FDB5C3}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8001F4A-EFDC-4B50-9B6E-4823D2C1B664}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE4322E7-7EE1-4A2E-BF64-044EA5478A21}: NameServer = 192.168.2.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

--
End of file - 3272 bytes

15.11.2007, 14:05

Hallöchen,

also ich bin imemr noch der Meinung das folgende Einträge für die Toolbar verantwortlich sind:

Code:

O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - D:\WINDOWS\system32\hmazdpvx.dll 
O4 - HKLM\..\Run: [Local Security Authority Service] D:\WINDOWS\System32\Isass.exe 
O4 - HKLM\..\Run: [Windows Logon Application] D:\WINDOWS\System32\winIogon.exe

Und die solltest du auch fixen aber dieses mal nicht umbenennen...

17.11.2007, 09:13

Moin,

nun habe ich die Nase voll und habe mich von beiden Betriebssystemen getrennt. Nach format C: /u gibt es halt nur noch XP.
Ich wollte die Neu-Aktivierung umgehen und habe deshalb mal die wpa.dbl sowie die wpa.bak gesichert was natürlich auch wieder in die Hose gegangen ist

Habe die falsche Version aufgespielt. Meinen Key vom Desktop-PC genommen (XP Prof. SP1) aber die CD vom Laptop (XP Prof.SP2), was natürlich nicht hinhaut. Nun kann ich heute das XP nochmal drauf machen

Stimmt es eigentlich, dass Microsoft nach erfolgreicher Aktivierung den Key für 2 Monate sperrt? Habe nämlich mein XP vor etwa 6 Wochen erst neu aufgespielt und wollte deshalb die Aktivierung umgehen - an der Hardware hat sich ja nichts geändert...

17.11.2007, 13:54

Hallöchen,

nein, soweit ich weiß wird da nicht gesperrt. Also sollte das problemlos funktionieren...

System Alert & Toolbar Bitte um Hilfe

System Alert & Toolbar Bitte um Hilfe

Ähnliche Themen

Hilfe bei Security Toolbar 7.1

HILFE!!! Habe diese Toolbar 7.1

Security Toolbar 7.1 BRAUCHE HILFE!!!!

System Alert

Problem mit System Alert: Malware threats