Laufender Prozess Wird Nicht In Auswertung Gezeigt

[dr.onestone]

ich habe heute, 24.9.04 etwa 19:00, mein aktuelle Listing mit HIJACKTHIS V1.98.2 erstellt und auswerten lassen.
Die Auswertung lautet:
http://www.hijackthis.de/logfiles/8c207826...2c6cc4efa7.html

Drei Fragen:
Dabei ist mir aufgefallen, das der Process
c:\winnt\winnt256.bmp:lyofg
nicht in der Auswertungsliste erscheint.
1.) Was bedeutet das?

Ich bin ein blutjunger Newbie und habe das Problem, dass sich laufend die Google Startseite ändert. Habe schon AD-Aware, NORTON Antivirus, CWShredder und Spybot (jeweils aktuelle Version) ausprobiert.
2.) Kann mir einer einen Tipp geben?

3.) Irgendwo habe ich gelesen, dass man nur im ABGESICHERTER MODUS fixen darf. In dem tollen Handbuch ist da jedoch nichts drin beschrieben.

Da ich heute nacht unbedingt mein Problem fixen muss, freue ich mich über jede Teilantwort.

Danke im voraus für die Hilfestellungen.

[Matze]

Zur Frage 1:
Das wird vom Script weggeschmissen, weil das kein 'gültiger' Prozess ist. (Keine *.exe-Date)

Das Logfile ist leer!
http://www.hijackthis.de/logfiles/8c207826...2c6cc4efa7.html

[dr.onestone]

Hallo,
danke für die schnelle Antwort.
Ich kann aber die Auswertungsdatei *.html lesen. Die kann nicht leer sein.

Damit ich doch noch schnell Hilfe bekommen kann, schicke ich hier abschliessend einfach die letzte Scan file. Ich habe schon Änderungen gemacht. Hoffentlich habe ich alles richtig gemacht.

Logfile of HijackThis v1.98.2
Scan saved at 21:17:34, on 24.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\UPS\WorldShip\Wshipservicecom.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\PowerQuest\Drive Image 2002\DiRun32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_05\bin\ jusched.exe
C:\WINNT\system32\internat.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\winnt256.bmp:lyofg
C:\Programme\HiJackThis\HijackThis.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe
C:\Programme\Opera\opera.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {572C939A-DAA3-83C5-9A5C-ED789C2FD487} - C:\WINNT\system32\apinw.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EasyLog V3.1 Registry Cleanup] C:\PROGRA~1\PAKETV~1\EASYLO~1.1\unreg.ex e
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\ jusched.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EP...l_v1-0-3-12.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

[dr.onestone]

Hallo,
noch eine Frage?
Kann mir passieren, dass ich bei einem BOOT nicht mehr hoch komme?
Viele Dank im voraus für die Beantwortung meiner Frage.

[dr.onestone]

Hallo,
weitere Information zu meiner Angelegenheit. Ich habe nun die von HijackThis erkannten Fehler alle gelöscht, danach Ad-aware und Spybot laufen lassen, und dann den IE wieder gestartet.
Ergebnis: Nichts hat sich verändert. IE geht wieder auf eine andere WWW Seite und zusätzliche Fenster gehen auf, unter anderem:
Your computer is infected with Spyware and Adaware.
Die Auswertedatei lautet:
http://www.hijackthis.de/logfiles/8467567e...9321a78880.html

Weil Du sie zuerst nicht lesen konntest, hier die scan file:

Logfile of HijackThis v1.98.2
Scan saved at 21:39:27, on 24.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\UPS\WorldShip\Wshipservicecom.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\PowerQuest\Drive Image 2002\DiRun32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_05\bin\ jusched.exe
C:\WINNT\system32\internat.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINNT\winnt256.bmp:lyofg
C:\Programme\HiJackThis\HijackThis.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\Programme\Opera\opera.exe
C:\WINNT\winnk.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\mvrpp.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\mvrpp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\mvrpp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\mvrpp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\mvrpp.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\mvrpp.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\mvrpp.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {572C939A-DAA3-83C5-9A5C-ED789C2FD487} - C:\WINNT\system32\apinw.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EasyLog V3.1 Registry Cleanup] C:\PROGRA~1\PAKETV~1\EASYLO~1.1\unreg.ex e
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\ jusched.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [winnk.exe] C:\WINNT\winnk.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EP...l_v1-0-3-12.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab


Noch ein letzter Hinweis. Ich habe mein WIN Version erst dann auf den allerneuesten Stand bei Microsoft gebracht, nachdem ich den Trojaner, oder was immer es ist, mir schon eingefangen hatte.

[Matze]

Folgende Dateien löschen:
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\WINNT\system32\mvrpp.dll
C:\WINNT\system32\apinw.dll
C:\WINNT\winnk.exe

Folgenden Ordner löschen:
C:\Program Files\Windows SyncroAd\

Folgende Dateien fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\mvrpp.dll/s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\mvrpp.dll/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\mvr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\mvrpp.dll/s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\mvrpp.dll
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\mvrp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\mvrp
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {572C939A-DAA3-83C5-9A5C-ED789C2FD487} - C:\WINNT\system32\apinw.dll
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [winnk.exe] C:\WINNT\winnk.exe

[dr.onestone]

Hallo,
danke für den Hinweis.
2 Fragen noch ganz schnell:
1.) Kann ich die Dateien einfach vom Explorer weglöschen?
2.) Habe nun mit Datum/Uhrzeit gesucht, von dem ich annehme, den Trojaner eingefangen zu haben. Dabei habe ich die Dateien gefunden:
- conscorr.ini
- lovalNrd.cab
- netk32.dll
- msxmidi.exe
Wenigstens conscorr und msxmidi werden in Internet Foren als Trojaner gesehen.
Soll ich die auch löschen und wenn wie?

Danke für die Antworten - ist ja eine Superhilfe von Dir heute so spät abends.

[Speedy]

hi !

wenn sich die startseite weiterhin ändert, versuche einmal folgendes tool

http://www.pjwalczak.com/spguard/index.php

[Matze]

Die Dateien kannst du einfach vom Explorer löschen. Wenn es nicht geht musst du das im Abgesicherten Modus machen.

[dr.onestone]

Hallo,
danke für die Hilfe.
Nach Deiner ersten Hilfestellung bin ich nun mehr mit HijackThis vertraut geworden!
Ich habe nun mindestens 20 mal IE gestartet und immer wieder sind BÖSE EINTRÄGE aufgetreten. Nun bin ich endlich soweit, dass ich einen vollkommen sauberen HijackThis Scan bekomme.
Es scheint also so, dass ich die Trojaner alle weg habe.
Nun habe ich allerdings etwas Angst vor einem Boot, dass da das System nicht mehr hochkommen könnte.
2 Fragen:
Welche Vorkehrungen kann ich treffen, dass ich in diesem Fall nicht hilflos bin?
Kann man sich eine Sicherungsdiskette anfertigen oder gibt es sonst irgendetwas?
Viele Dank für die Bearbeitung meiner beiden Fragen .......