Logfile...

[neolein]

Hi, ich habe WIN98se mit HijackThis v1.99.1 gescannt.
Vorangegangen (und noch immer leider) ist folgendes Problem: Es lässt sich von einer Seite aus keine andere zusätzlich mehr öffnen, nur wenn die eite komplett gewechselt wird. Es geht dann zwar ein Fenster auf, doch dieses bleibt leer (durchsichtig). Dann taucht manchmal die about:blank Seite auf.
Ich weiß nicht, ob Beides miteinander zu tun hat, darum habe ich das Tool laufen lassen. Hier ist das Log File (das mit dem CODE\ habe ich leider nicht gefunden):

Code:

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\KXMIXER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\DELUX\PS2 KEYBOARD ENGLISH EDITION 2.0\KB_98.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\UNZIPPED\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O2 - BHO: WHttpHelper Class - {9896231A-C487-43A5-8369-6EC9B0A96CC0} - C:\WINDOWS\SYSTEM\WSTART.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [kX Mixer] C:\WINDOWS\SYSTEM\kxmixer.exe --startup
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: PS2 Keyboard English Edition 2.0.lnk = C:\Programme\Delux\PS2 Keyboard English Edition 2.0\kb_98.exe
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.boxsearch.net
O15 - Trusted Zone: *.brdatahost.com
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O15 - Trusted IP range: 67.19.178.84 (HKLM)

vielleicht fällt jemandem Etwas auf. Danke schonmal. Chris

[Speedy]

hi, hätte gerne ein komplettes logfile gesehen, auch wenn du schreibst win98 und hijackthis 1.99.1 so ist es doch nicht komplett, welche version des ie wird verwendet?
also -> komplettes logfile von der ersten bis zur letzten zeile posten und das mit dem code is ganz einfach,
man schreibt das wort code in [] klammern, fügt das logfile mit copie/paste ein, schreibt wieder /code in [] klammern und fertig.
Logfile posten im Forum HijackThis.de HijackThis.de Support Board - vB Code Liste

[Unregistriert]

OK.

Code:

Logfile of HijackThis v1.99.1
Scan saved at 17:11:40, on 17.06.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\KXMIXER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\DELUX\PS2 KEYBOARD ENGLISH EDITION 2.0\KB_98.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\UNZIPPED\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://best-search.cc/search.php?v=6&aff=0
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://best-search.cc/index.php?v=6&aff=0
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O2 - BHO: WHttpHelper Class - {9896231A-C487-43A5-8369-6EC9B0A96CC0} - C:\WINDOWS\SYSTEM\WSTART.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [kX Mixer] C:\WINDOWS\SYSTEM\kxmixer.exe --startup
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: PS2 Keyboard English Edition 2.0.lnk = C:\Programme\Delux\PS2 Keyboard English Edition 2.0\kb_98.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\SYSTEM\SHDOCVW.DLL
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.boxsearch.net
O15 - Trusted Zone: *.brdatahost.com
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O15 - Trusted IP range: 67.19.178.84 (HKLM)

[Ruby]

Kannst du bitte ein ganzes Logfile posten?

[neolein]

daswar der ganze Text, der im Logfile steht, ehrlich. Oder habe ich wieder was falsch gemacht?

[Ruby]

Warum hört dein Logfile hier auf:

O15 - Trusted IP range: 67.19.178.84
O15 - Trusted IP range: 67.19.178.84 (HKLM)

normalerweise hat man doch noch solche Einträge:

016 - blablabla
017 - blablabla
018 - blablabla
019 - blablabla
020 - blablabla
021 - blablabla
023 - blablabla

[neolein]

Also es hört da wirklich auf, ich gehe auf "Do a system scan and save a logfile".
Nach dem Scan geht der Texteditor mit dem enthaltenen text auf und da gehts nur bis

O15 - Trusted IP range: 67.19.178.84 (HKLM)

[Ruby]

"Oder habe ich wieder was falsch gemacht?"

das weiss ich nicht @ Neolein.
Aber ich hab jetzt mal das ausgearbeitet, was hier zu sehen ist....


Wichtiger Hinweis:

HijackThis muss in einem eigenen Ordner laufen, um BackUps erstellen zu können.
Es muss so aussehen: C:\HJT\HijackThis.exe
Bitte ändern: C:\UNZIPPED\HIJACKTHIS.EXE

Drucke diese Anweisung entweder aus oder speichere sie als *.txt-file,
da du gleich im abgesicherten Modus/VGA Modus arbeiten wirst.

Folge den Nummern in der Reihenfolge:

-> Anweisung bitte sehr sorgfältig lesen!

Teil 1
Lade folgende Programme runter:

1-1
Crap Cleaner

1-2
NEUE Version: Ad-Aware SE, installieren und updaten

1-3
NEUE Version: Spybot Search & Destroy, installieren und updaten

1-4
CWShredder 2.14, installieren und updaten

1-5
about:Buster,
entpacke es in C:\aboutbuster
Starte das Programm:
1. Klicke auf "Update".

(wenn derzeit keine Updates vorhanden sind, kannst du diesen Punkt überspringen.)
3. Klicke auf "Download Update", und warte bis der Download installiert ist.

1-6
--> !!! speichere den Text unter "alle Datei-Typen" als "DelDomains.inf" auf deinem Desktop!!! -->
DelDomains.inf
Schliesse den Internet Explorer!
Mach einen Doppel-Klick auf die neue Datei "DelDomains.inf" auf deinem Desktop.
(Das Programm zieht die Einträge aus der "Trusted Zone" und den "Ranges".)


Teil 2
Anleitung zur Entfernung

1
Boote deinen Rechner neu auf in den abgesicherten Modus.

2
Schliesse alle Programme einschliesslich Internet Explorer.
Lass Hijackthis laufen,

Config< Misc Tools < Open Hosts file Manager < Delete line <
lösche alles bis auf:

# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost

Alle Einträge, die mit 127.0.0.1 anfangen, sind ok und brauchen nicht gelöscht zu werden.
Wenn es bei dir keine weiteren Einträge gibt, ist es ok.

3
Lass Hijackthis laufen,
klick scan und setze ein Häkchen neben jeden dieser Einträge.
Drücke dann auf den Fix Button:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hzzp://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hzzp://best-search.cc/search.php?v=6&aff=0
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hzzp://best-search.cc/index.php?v=6&aff=0
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hzzp://de.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = hzzp://213.159.117.134/index.php
O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O2 - BHO: WHttpHelper Class - {9896231A-C487-43A5-8369-6EC9B0A96CC0} - C:\WINDOWS\SYSTEM\WSTART.DLL (file missing)
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.boxsearch.net
O15 - Trusted Zone: *.brdatahost.com
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O15 - Trusted IP range: 67.19.178.84 (HKLM)

Drücke auf den Fix Button.
Beende das Programm HijackThis.

12
Ad-Aware SE laufen lassen.
Alle roten X müssen grün gestellt werden.
Lass das Programm alles entfernen, was es findet.
Speichere das Logfile ab.
!!! Leere nach dem Scan alle Verzeichnisse von Ad-Aware SE und die Quarantäne-Box !!!

13
Spybot Search & Destroy laufen lassen.
Geh auf "Advanced", unter Tools kannst du u.a. AktiveX deaktivieren.
Lass das Programm alles entfernen, was es findet.
Immunisiere dein System.

14
Lass CWShredder laufen
Klicke auf den fix-Button und lass das Programm dein System scannen und reinigen.

15
Lass about:Buster laufen
4. Klicke auf "Begin Removal".
(Warte bis der Scan fertig ist.)
Abschliessend kannst du dein System absichern lassen durch den Spywareblaster
oder auf exit drücken. Speichere das Logfile.

16
Boote deinen Rechner wieder in den normalen Modus.

17
Lass den CCleaner laufen

setze Häkchen in alle Kästchen unter den Tabs Windows, Anwendungen und Probleme
und drücke die Taste "Starte Cleaner".
Wenn das Programm seine Aufgabe erfüllt hat, schliesse es.

18
Scanne deinen Rechner mit einem Full-System-Scan mit Panda ActiveScan.
Erlaube AktiveX. Der Scan kann ca 2-3 Stunden dauern. Speichere das Logfile.
Boote deinen Rechner danach neu auf.

19
Vergib eine neue Startseite für den Internet Explorer.
Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!

20
Lass HijackThis laufen
Speichere das Logfile.


-> Poste das About:Buster Logfile.
-> Poste das Ad-Aware SE Logfile.
-> Poste das Panda Online-Scan Logfile.
-> Poste das HJT Logfile.

[neolein]

Hi, ich habe nun versucht das Ergebnis hier zu posten. es kommt immer die Fehlermeldung "Server nicht gefunden...". Sind meine Logfiles zu lang? ich habe sie ja in die CODE Befehle eingebunden.

[Ruby]

Nien, deine Postings sind nicht zu lang @ neolein

Versuchs halt ohne Code, wir setzen es dann schon in Code.
Ich möchte gerne das Ergebnis sehen.