[Balder]

Hallo.
Nachdem mir ein Bekannter von seinen Problemen mit einen angeblichen Virenprogramm erzählte habe ich ihm geraten doch einmal Spybot Search and Destroy durchlaufen zu lassen und ebendfalls noch Hijackthis mal eine Log erstellen zu lassen.
Nachdem er nun spybot durchlaufen ließ waren die meisten Viren weg bzw. die Probleme ( unter anderem wurde Antivir Guard nicht geladen bzw. nur deaktiviert )
nun hat er noch einen Hijackthis scan durchlaufen lassen und bekam dies

Logfile of HijackThis v1.99.1
Scan saved at 12:31:24, on 12.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\netdde.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\WINDOWS\System32\dmadmin.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Toshiba\Tvs\TvsTray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe
C:\Programme\RF Wireless Mouse\cm20.exe
C:\Programme\Lexmark 2300 Series\lxcgmon.exe
C:\Programme\Lexmark 2300 Series\ezprint.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Sitecom\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\RAMASST.exe
C:\WINDOWS\system32\lxcgcoms.exe
C:\PROGRA~1\Sitecom\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
E:\hijackthis_199\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {93AE1E3B-B1BA-4925-9F29-D18EC6E2B5A8} - C:\WINDOWS\system32\wpetrace.dll (file missing)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: (no name) - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [Tvs] C:\Programme\Toshiba\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programme\RF Wireless Mouse\cm20.exe
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Programme\Lexmark 2300 Series\lxcgmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {E419F90C-9E2E-40C4-B970-B297298E45A7} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O10 - Unknown file in Winsock LSP: c:\programme\hide my ip 2007\proxyfilter.dll
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: lxcg_device - Unknown owner - C:\WINDOWS\system32\lxcgcoms.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

wie ihr seht wird mehrfach ein Problem von einer proxyfilter.dll gesprochen.
Nun nachdem diese sich nicht normal löschen gelassen hat ( er kannte sie nicht ) habe ich ihm gesagt er soll sie halt mal umnennen und gucken was passiert, was er nun auch tat.
So nachdem der PC ohne Probleme startete und auch Internet ging usw. ( alles halt bis auf Antivir das wollte immernoch nicht starten ^^ ) hat er die Datei gelöscht und den Papierkorb entleert.
Allerdings kam nun nach nem PC Restart das böse erwachen auf einmal kam ein CFSServ.exe Problem von wegen Socket Error ( Infos zur CFSServ ) und das das Internet nun einfach nicht mehr geht

Nun wollte ich einmal fragen ob ihr eine Idee habt was er nun noch tun kann?
Hat sich diese proxyfilter.dll irgdendwo noch reingeschrieben? :/ hoffe einer hat ne Idee und kann helfen.

[burning-joe]

Hat dein "Bekannter" (*SCNR*) denn mal dieses hide my IP installiert? Was für Malware wurde denn schon entfernt bzw. wieso wurde nicht gleich Windows neu installiert, wenn das System eh schon am Untergehen ist?

[Balder]

Wieso du Bekannter in "" gesetzt hast ist wohl dein Geheimnis ( da ich ja im Netz bin )
Wieso er nicht gleich neu installiert hat?Das darfst du mich nicht fragen vielleicht hat er angst seine wichtigen Daten zu verlieren`?
Er hatte es wohl mal installiert und wie das so ist wohl nicht mehr gebraucht oder tat nicht das was er erhoffte und hat es wieder deinstalliert.
Wieso nun allerdings die Dll über blieb darfste mich nicht fragen.
Er hatte wohl 2 Trojaner drauf die sich für ne Antivirussoftware ausgaben welche dies nun genau waren weiß ich nicht.
Ich habe mal wegen dem obrigen ( Winsock LSP ) gegoogelt und kam auf diese Seite
http://cexx.org/lspfix.htm

Ob ich ihm das Programm mal geben sollte?

[clyde²]

Dann würde ich mal vorschlagen schnellstens zu Formatieren, denn selbst wenn die Trojaner entfernt wurden, kann man nie sicher sein, dass sie keine deutlichen Schäden hinterlassen haben.

Benutzt den Kumpel zufällig MSN?Virus?

Es wird über zahlreiche Fälle berichtet, in dem das der Fall ist.

Und irgendwie ham alle das Problem mit dem hide my ip 2007 und antivirenprogramme.....

greetz

[Balder]

Ja er benutzt MSN und hatte halt ausversehen wohl auf nen Link dort gedrückt worauf sich dann halt dieses so genannte Antivirenprogramm installiert hat.
Gut werde es ihm mal weiter reichen dank euch