hijack this file. bitte schaut sich das mal einer an. thx

ben-frank
Gast

« am: 24.02.10, 18:06:42 »

hab keine ahnung von sowas, mein pc hängt sich nach gut 15min nach dem hochfahren auf, dann geht nix mehr auch strg alt entf. geht nicht. einfach garnix mehr. danke:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:54:51, on 24.02.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\AskBarDis\bar\bin\AskService.exe
C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\eBoostr\EBstrSvc.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Hotspot Shield\bin\openvpnas.exe
C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe
C:\Programme\Hotspot Shield\bin\hsswd.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Hotspot Shield\bin\openvpntray.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Dokumente und Einstellungen\Isabella\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Isabella\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search13.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search13.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search13.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search13.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://canehamo.thc-game.com/?page=kartell.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search13.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search13.net/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = plimus.com,www.plimus.com,regnow.com,www.regnow.com,
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Update it - {751BE56D-A6B1-4901-91BA-D62033450B13} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Programme\Hotspot Shield\hssie\HssIE.dll
O3 - Toolbar: (no name) - {F4D76F09-7896-458a-890F-E1F05C46069F} - (no file)
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG DWL-G122] C:\Programme\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Isabella\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: StylishProfile - {14CD42DD-ABCD-3586-DCAB-40E3693E3737} - C:\Programme\Stylish Profile\ct.htm (file missing)
O9 - Extra 'Tools' menuitem: StylishProfile - {14CD42DD-ABCD-3586-DCAB-40E3693E3737} - C:\Programme\Stylish Profile\ct.htm (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASKService - Unknown owner - C:\Programme\AskBarDis\bar\bin\AskService.exe
O23 - Service: ASKUpgrade - Unknown owner - C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CyberGhost VPN Client (CGVPNCliSrvc) - mobile concepts GmbH - C:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
O23 - Service: eBoostr Service (EBOOSTRSVC) - Unknown owner - C:\Programme\eBoostr\EBstrSvc.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Programme\Hotspot Shield\bin\openvpnas.exe
O23 - Service: Hotspot Shield Routing Service (HssSrv) - AnchorFree Inc. - C:\Programme\Hotspot Shield\HssWPR\hsssrv.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Programme\Hotspot Shield\bin\HssTrayService.EXE
O23 - Service: Hotspot Shield Monitoring Service (HssWd) - Unknown owner - C:\Programme\Hotspot Shield\bin\hsswd.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: S3 Graphics Co., Ltd. - Unknown owner - C:\WINDOWS\VTTrayp.exe (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 10703 bytes

Moderator informieren

A K (15.095)
Special-Member

1121x Beste Antwort

2921x "Danke"

Re: hijack this file. bitte schaut sich das mal einer an. thx

« Antwort #1 am: 24.02.10, 22:55:49 »

Hat dir diese Antwort geholfen?

Hallo,

dieses System ist total verseucht !

dieses sind erst mal Schädlinge:
C:\Programme\AskBarDis\bar\bin\AskService.exe
C:\Programme\AskBarDis\bar\bin\ASKUpgrade.exe
und noch weitere.
Dann diesen unnützen "ctfmon" und vieles mehr.
Ich kann nur raten, Dein System neu aufzusetzen !
Denn tune up utilities helfen nur wenig und dann funzt das nicht und das nicht usw.

Gruss A K

Moderator informieren

Carpenter
Gast

Re: hijack this file. bitte schaut sich das mal einer an. thx

« Antwort #2 am: 25.02.10, 08:40:08 »

Das übliche Bild eines planlos zugemüllten Rechners.

Dazu noch ungepflegt, da das System veraltet ist:

Platform: Windows XP SP2 (WinNT 5.01.2600) -> Servicepack 3, seit nunmehr fast 2 Jahren!!
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Die schädliche ASK-Toolbar wurde schon erwähnt.

Sehr interessant ist auch, wohin dich dein Browser entführt:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search13.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search13.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search13.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search13.net/

Zu Search13.net:

http://www.mywot.com/de/scorecard/search13.net

Weiter gehts hiermit:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = plimus.com www.plimus.com,regnow.com,www.regnow.com,

habe ich für dich mal etwas entschlüsselt:

http://home.plimus.com/ecommerce/

http://www.regnow.com/

Zu Plimus.com:

http://www.mywot.com/de/scorecard/home.plimus.com

Den Beweis dafür, dass Spybot Search & Destroy ein "Troll-Programm", mit anderen Worten "Fake-Antispyware" ist und bei dir auch kläglich versagt hat, lieferst du hiermit einmal mehr. Ähnliches gilt für die Avira-Free-Edition.

Die Tatsache, dass du Alcohol 120 auf deinem Rechner hast, um gesaugte ISOs zu simulieren, in Verbindung damit, dass du dich hinter einem (vermeintlich) anonymen Proxy-Server (CyberGhost) versteckst, rundet das Bild ab.

Das

Zitat

hab keine ahnung von sowas

glaube zumindest ich dir nicht, liebe Isabella.

Fazit:

Bitte den Rechner formatieren und System neu installieren, anschließend mit [url=http://brain.yubb.de/]brain.exe[/url] eng zusammenarbeiten.

Moderator informieren

ben-frank
Gast

Re: hijack this file. bitte schaut sich das mal einer an. thx

« Antwort #3 am: 25.02.10, 21:05:43 »

Dankeschön Ak und Carpenter!!
werd mal versuchen das alles zu formatieren, und neu aufzusetzen.

Moderator informieren

Carpenter
Gast

Re: hijack this file. bitte schaut sich das mal einer an. thx

« Antwort #4 am: 25.02.10, 21:23:25 »

Und, auch wenn mein vorheriger Beitrag vielleicht etwas ironisch klingt:

Nimm bitte deinen Verstand im Anschluss an die Neu-Installation dazu

Also:

Keinerlei Toolbars (kommen oft als Beigabe zu irgendwelcher Software)-> immer benutzerdefiniert installieren, MITLESEN, Zusatzprogramme abhaken!!

Kein Filesharing!!

Die Messenger und Chatprogramme aus den Systemstart halten!!

Ein wirklich starkes Antivirenprogramm verwenden, z.B Kaspersky aus der Computerbild oder als Kauf-Software.

Und stets brain benutzen :
http://brain.yubb.de

Moderator informieren

ersguterjunge (7.378)

35x Beste Antwort

50x "Danke"

Re: hijack this file. bitte schaut sich das mal einer an. thx

« Antwort #5 am: 25.02.10, 21:55:30 »

Hat dir diese Antwort geholfen?

Mhh wozu hier formatieren, billige Adware sehe ich im Logfile mehr nicht.

Malwarebytes würde mehr infos bringen.

Zitat

Den Beweis dafür, dass Spybot Search & Destroy ein "Troll-Programm", mit anderen Worten "Fake-Antispyware" ist und bei dir auch kläglich versagt hat, lieferst du hiermit einmal mehr. Ähnliches gilt für die Avira-Free-Edition. [/qoute]

Spybot S&D, ist sicher nicht das gelbe vom Ei, jedoch auch kein "Fake Programm" !! Avira free ist auch nicht zu bemengeln, ist genauso gut wie die anderen auch!!

Also ich würde bevor ich formatiere erstmal Malwarebytes Anti Malware laufen lassen!!

Moderator informieren

Carpenter
Gast

Re: hijack this file. bitte schaut sich das mal einer an. thx

« Antwort #6 am: 25.02.10, 22:11:05 »

Zitat aus deinem "Zitat" (von wo eigentlich zitiert??)

Zitat

Spybot S&D..... jedoch auch kein "Fake Programm"

Sehe ich anders, zumal ich das Programm vor etwa 7 oder 8 Jahren auch schon einmal selbst auf einem meiner Rechner "bewundern" durfte.

Hier ein paar Kommentare zu Spybot, die ich zu 100% aus eigener Erfahrung unterstütze:

http://www.supportnet.de/t/2229620

http://www.computerbild.de/artikel/cb-Test-Sicherheit-Safer-Networking-Spybot-Search-and-Destroy-1.6.2-4169079.html

http://www.pcwelt.de/start/sicherheit/antivirus/tests/184247/7_spyware_jaeger/index2.html

Moderator informieren

q1 (11.876)

741x Beste Antwort

1952x "Danke"

Re: hijack this file. bitte schaut sich das mal einer an. thx

« Antwort #7 am: 25.02.10, 23:43:59 »

Hat dir diese Antwort geholfen?

wieder mal wird versucht,voodoo zauber zu rechtfertigen.Muß das wirklich sein?

Moderator informieren

HCK
Gast

Re: hijack this file. bitte schaut sich das mal einer an. thx

« Antwort #8 am: 26.02.10, 11:09:42 »

Spybot ....
fand ich ganz nützlich zum "Immunisieren" , als die Browser noch keine eigene Prüfung hatten .
Und den Teatimer zum Warnen vor ungewollten REG-Änderungen .

Aber heute ist das Legende ......

Moderator informieren

ersguterjunge (7.378)

35x Beste Antwort

50x "Danke"

Re: hijack this file. bitte schaut sich das mal einer an. thx

« Antwort #9 am: 27.02.10, 13:57:27 »

Hat dir diese Antwort geholfen?

Zitat von: q1 am 25.02.10, 23:43:59

wieder mal wird versucht,voodoo zauber zu rechtfertigen.Muß das wirklich sein?

Laber nicht dazwischen, haste eh kein plan von, Danke.

Moderator informieren

AndreeFischer
Gast

Re: hijack this file. bitte schaut sich das mal einer an. thx

« Antwort #10 am: 01.03.10, 16:20:25 »

folgendes bite auch löschen:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Update it - {751BE56D-A6B1-4901-91BA-D62033450B13} - (no file)
O3 - Toolbar: (no name) - {F4D76F09-7896-458a-890F-E1F05C46069F} - (no file)
O9 - Extra button: StylishProfile - {14CD42DD-ABCD-3586-DCAB-40E3693E3737} - C:\Programme\Stylish Profile\ct.htm (file missing)

Moderator informieren

hijack this file. bitte schaut sich das mal einer an. thx

Antworten zu hijack this file. bitte schaut sich das mal einer an. thx:

Re: hijack this file. bitte schaut sich das mal einer an. thx

Mehr zu hijack this file. bitte schaut sich das mal einer an. thx

« Hijack log file bitte prüfen		kostenlose PC Schutzprogramm-Empfehlung »