Wer kann mir diesen Logfile auswerten?

[McKnight]

HALLO!
Habe seit einigen Tagen Probleme mit immer wieder auftretenden Popup´s, XXX-Favoriten und einer seltsamen "Casino" Startseite! Kann mir da vielleicht jemand weiterhelfen? Was soll ich Fixen? Vielen Dank im Voraus!!!!

Code:

Logfile of HijackThis v1.99.1
Scan saved at 18:31:58, on 23.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\LckFldService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\CompuServe 4.6\CompuServe StarterKit 4.6\CSODialer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\connmie.exe
C:\WINDOWS\System32\dxconf.exe
C:\Programme\FlashGet\flashget.exe
C:\Dokumente und Einstellungen\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.compuserve.de/redirect/cso/sc4_portal.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Name - {63FFAC21-B494-423C-B5CB-ED9AB8CC1A3D} - C:\WINDOWS\System32\mshow.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecustom32.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: CompuServe - {e81574a9-bd71-46d7-a379-07ba054d1c03} - c:\Programme\CompuServe 4.6\CompuServe StarterKit 4.6\NavCSO.exe
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://69.50.166.213/users/alex/web/...m::/update.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4035DDAE-4AF8-4271-8857-0DCFFD4B5BA6}: NameServer = 69.50.176.196,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{484F3C3C-5BB4-4766-B92F-4CCB17D5D161}: NameServer = 69.50.176.196,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{733077DF-613E-4EC6-9C45-AA66B744D3FF}: NameServer = 69.50.176.196,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{D57E5821-6AB6-49EF-B616-29469BDD3EDC}: NameServer = 69.50.176.196,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8E6DA03-8502-445F-BFCB-A9FF886D102D}: NameServer = 205.188.146.145
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\System32\LckFldService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

[Speedy]

hi, bevor du etwas fixt, zuerst dein logfile so posten, wie es alle tun "sollen", das heist, das oben gepostet logfile ändern.

dann solltes du dein windows auf den aktuellen stand bringen,
dann fangen wir an, etwas zu fixen und zu löschen.

[McKnight]

Kann leider momentan mein Windows nicht updaten, da mein Internet nimmer gescheit funzt. Könnt ihr mir nicht auch ohne das aktuelle Windows-update helfen! Bitte bitte!!!
Wäre euch echt dankbar!

[Speedy]

hi,

ok, dir wird geholfen, aber solltest du wieder probleme bekommen, vergiss es, dich ohne sp2 hier einzuloggen

start->systemsteuerung->software->programme ändern oder entfernen-> nachsehen, ob hier ein,oder mehrere programme installiert sind, die nicht absichtlich von dir installiert wurden, deinstallieren -> name der programme hier posten! kann ein programm nicht deinstalliert werden, ein grund, es ist in verwendung, mit dem taskmanager beenden und dann deinstallieren.

start->systemsteuerung->internetoptionen->karteikarte allgemein->cookies und dateien löschen, verlauf leeren und einstellungen nie aktivieren

explorer starten C:\ markieren, rechte maustaste ->eigenschaften wählen->bereinigen->hier folgendes aktivieren übertragene programmdateien, temporary internet files, offlinewebseiten, papierkorb,temporäre dateien

diese dateien in einen neuen ordner böse kopieren und hier hochladen
HijackThis Dateiupload

C:\WINDOWS\System32\connmie.exe
C:\WINDOWS\System32\dxconf.exe
C:\WINDOWS\System32\mshow.dll
C:\WINDOWS\System32\iecustom32.dll

führe einen scan mit escan (meine beschreibung) durch
im abgesicherten modus wird zuerst mit hijackthis gefixt und gelöscht!
die rot markierten dateien sagen mir pers. zuwenig, wenn du darüber mehr weisst, bitte um rückmeldung und eventuell nicht fixen/löschen

1) lege diesen ordner c:\bases an
2) download von escan in diesen ordner
3) entpacke das *zip file mwav.zip hier in diesem ordner
wenn der pfad nicht genau so angegeben wird, funktioniert der scanner/updater nicht!
4) doppelklick auf die datei kavupd.exe, das update wird gestartet und der ordner C:\downloads installiert.
5) wechsle in den abgesicherten modus von windows


starte hijackthis und fixe folgende einträge
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.compuserve.de/redirect/cso/sc4_portal.html
O2 - BHO: Name - {63FFAC21-B494-423C-B5CB-ED9AB8CC1A3D} - C:\WINDOWS\System32\mshow.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecustom32.dll
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O9 - Extra button: CompuServe - {e81574a9-bd71-46d7-a379-07ba054d1c03} - c:\Programme\CompuServe 4.6\CompuServe StarterKit 4.6\NavCSO.exe
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU)
O16 - DPF: {11212111-2121-1311-1141-115611111222} - ms-its:mhtml:file://d: oo.mht!http://69.50.166.213/users/alex/web...hm::/update.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4035DDAE-4AF8-4271-8857-0DCFFD4B5BA6}: NameServer = 69.50.176.196,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{484F3C3C-5BB4-4766-B92F-4CCB17D5D161}: NameServer = 69.50.176.196,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{733077DF-613E-4EC6-9C45-AA66B744D3FF}: NameServer = 69.50.176.196,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{D57E5821-6AB6-49EF-B616-29469BDD3EDC}: NameServer = 69.50.176.196,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8E6DA03-8502-445F-BFCB-A9FF886D102D}: NameServer = 205.188.146.145

HijackThis-> config -> misc tools --> delete a file on reboot, wähle die zu löschende datei, die frage zum neustart mit nein beantworten, wieder delete a file on reboot wählen, nächste datei auswählen usw., bis du die letzte dateie ausgewählt hast, nun antwortest du auf die frage zum neustart mit JA, aber sofort wieder in den abgesicherten modus, dann geht es mit 6 weiter

C:\Programme\CompuServe 4.6\CompuServe StarterKit 4.6\CSODialer.exe
C:\WINDOWS\System32\connmie.exe
C:\WINDOWS\System32\dxconf.exe
C:\WINDOWS\System32\mshow.dll
C:\WINDOWS\System32\iecustom32.dll
C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
c:\Programme\CompuServe 4.6\CompuServe StarterKit 4.6\NavCSO.exe


6) öffne nun den explorer, gehe zum ordner c:\bases und starte die datei mwavscan.exe, schließe den explorer.
7) überprüfe die einstellungen, unter scan option-->memory, startup folders, registry, system folders und services sowie drive (auswahl) und scan all files sollte aktiviert sein, dann den button *SCAN/CLEAN* drücken.
8) wenn der scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen modus.
9) nun öffnest du mit dem editor, die mwav.txt oder mwav.log und wählst unter bearbeiten -> suchen, hier gibst du infected ein



jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten

Wed Oct 06 03:19:24 2004 => Total Number of Files Scanned: 54651
Wed Oct 06 03:19:24 2004 => Total Number of Virus(es) Found: 0
Wed Oct 06 03:19:24 2004 => Total Number of Disinfected Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Files Renamed: 0
Wed Oct 06 03:19:24 2004 => Total Number of Deleted Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Errors: 0
Wed Oct 06 03:19:24 2004 => Time Elapsed: 01:13:32
Wed Oct 06 03:19:24 2004 => Virus Database Date: 2004/10/05
Wed Oct 06 03:19:24 2004 => Virus Database Count: 105164

Wed Oct 06 03:19:24 2004 => Scan Completed.

nun ein neues logfile von hijackthis und die infected dateien von escan hier posten