[buffyatweb]

Hilfe!!!!

Der Hijack Editor ergab folgendes:
(kann mir irgendjemand helfen und mir verraten, welche Datei für den Schwampf verantwortlich ist, damit ich diese eliminieren kann?)
Ich möchte endlich meinen Desktop Hintergrund zurück!!! ;
Vielen Dank und frohe Weihnachten Euch allen!




Logfile of HijackThis v1.99.0
Scan saved at 10:12:47, on 21.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
E:\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
E:\AVGNT.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Tini.TINAKATHOME\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2A5BC527-8B35-4D2E-B1B4-A30F129D8554} - C:\WINDOWS\System32\kbjhbaa.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [RemoteControl] e:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Mountit.lnk = E:\Programme\Roxio\WinOnCD 6 PE\MountIt.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O15 - Trusted IP range: (HKLM)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O18 - Filter: text/html - {4832F564-ADEB-4EC2-AA15-69F88543C7B0} - C:\WINDOWS\System32\kbjhbaa.dll
O18 - Filter: text/plain - {4832F564-ADEB-4EC2-AA15-69F88543C7B0} - C:\WINDOWS\System32\kbjhbaa.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - E:\AVGUARD.EXE
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - E:\AVWUPSRV.EXE
O23 - Service: ZESOFT - Unknown - C:\WINDOWS\zeta.exe (file missing)

[contaque]

http://www.hijackthis.de/logfiles/41f625c8...d4e14ca86d.html

EDIT:
www.hijackthis.de wertet logfiles automatisch aus. ist immer ein guter anfang. wenn etwas unklar ist kannst du es dann immer noch hier posten. eine formatierung ist aber nicht nötig. versuche die einträge zu fixen wenn nötig auch mit anderer software.

das SP1 habe ich überlesen. Service Pack2 solte natürlich auch installiert werden

Dieser Beitrag wurde von contaque bearbeitet: 22. Dezember 2004 - 12:02

[Major König]

und dann bitte auch das Service Pack 2 installieren sonst sieht es bald wieder so aus.

[DK2000]

Naja, SP2 hilft da auch nicht sehr viel, da das meiste davon selber installiert oder von einer anderen Anwendung mitinstalliert wurde (z.B. Gator, kommt gerne mit Anwendungen, die in der Freewareversion Werbung einblenden). Da hilft nur Finger weg von solchen Anwendungen. Und wenn man dann noch als Administrator rumsurft, dann kommt der Rest auch sehr schnell, trotz SP2.

Aber was nun zu dem blinkenden Desktop führt, kann ich nicht sagen.

[contaque]

Zitat (isah: 22.12.2004, 13:06)

Tatsächlich? Du glaubst es ist möglich den rechner wieder 100% clean zu kriegen?
Du brauchst den rechner bloß nicht formatieren, wenn du damit leben kannst das dein rechner teilweise verseucht ist, ist ist nämlich definitiv NICHT möglich alles restlos zu entfernen.

martin
<{POST_SNAPBACK}>

das 100% nicht möglich sind weis ich. aber nicht jeder (der vielleicht auch kein backup hat) muss sein system nach einem anfall sofort formatieren. natürlich ist eine formatierung bzw ein eingespieltes sauberes backup die einzige sichere lösung aber diese beiden schießen manchmal über das ziel hinaus.
zum einem ist zumindest eine neuinstallation mit viel aufwand verbunden bzw auch das backup sofern es nicht die neusten änderungen (was auch nicht möglich ist) beinhaltet.

es kommt immer auf die verhältnismäßigkeit an und darauf wie der pc genutzt wird. wenn es jemanden nicht stört das einige reste (die natürlich nicht mehr ausführbar sein dürfen bzw keinen schaden verursachen können) zurückbleiben ist das vielleicht die bessere lösung als jemanden zu empfehlen sein system zu löschen.

[Major König]

@ DK2000

Was ist mit Blaster und co die ohne gepatchtes System sofort nach wenigen Minuten das System infizieren? Was ist denn so schlimm daran, dass man das SP2 installiert? Ausser natürlich für P2P Leute die dann erst wieder die Verbindungen patchen müssen.

[DK2000]

@Major König:

Zitat

Was ist mit Blaster und co die ohne gepatchtes System sofort nach wenigen Minuten das System infizieren?

Ja, da gebe ich Dir auf jeden Fall recht. Meine Aussage bezog sich aber nur auf das Log von buffyatweb. Sein Kram ist höchstwahrscheinlich selbstinstalliert.

[Major König]

Ja gut, klar, dagegen hilft auch kein Service Pack. Nur sollte man das SP2 schon installieren ist nicht unwichtig.

Jeder hat Recht einigen wir uns darauf.