" Hijacker Problem " - Bitte um Hilfe !!!!!

Hallo, lade dir bitte die neueste Version von HijackThis herunter:

http://www.wintotal.de/Tipps/Eintrag.php?TID=873

Dann mach das Log nach Anleitung und kopier es auf der automatischen Auswertungsseite in das Auswertungsfeld.
Darnach auf 'Analyze' klicken und alle roten Einträge nach einem erneuten Scan mit HijackThis fixen.
(die gelben mit Überlegung)

Automatische Auswertung: http://www.hijackthis.de/

Hallo,

werds gleich mal versuchen.
Danke einstweilen,melde mich dann wieder.
Bis dann
TMAN  

Hallo ,
war gerade auf der Seite und hab das so gemacht.Es wurde auch ein " Böser " Eintrag gefunden .Bin mal gespannt ob das Problem damit erledigt ist.Danke dir für den Tipp,ist echt ne super Seite .
Tschau TMAN

Hallo Leut,

es funzt immer noch nicht .
Hab mir den aktuellsten Hijackthis gezogen.Hab die Hijackthis.log online auswerten lassen.Hat auch einen " Bösen " Eintrag gefunden,den ich auch gleich brav gefixt habe.Aber......das Prob besteht immer noch.What can i do ??????
Habe auch danach im abgesicherten alles wie CWShredder usw.usw.gemacht,die finden einfach nichts.Aber mein Firewall meldet Hijack Attacke beim starten von meinen Emailprogramm.
Bitte um Hilfe.
Danke schon mal im Voraus.

Hallo, mach nochmal ein Hijackthis-Log und poste es hier.
CW-Shredder ist speziel für Startseitenentführer, es kann aber andere Malware sein.
Hole dir mal Adaware:

http://www.winsoftware.de/index.php3?menu=95&product=8087

Hallo rolwei,

habe ich ja auch schon.Hab den Aktuellsten Adaware,mache regelmäßige updates.Habe auch Spybot,Stinger 2.4.6,Spykiller usw.usw.Es ist wie verhext !!!!! Die finden alle nichts.Aber wie gesagt,sobald ich mein IncrediMail (Emailprog) lade meldet sich mein Sygate Personal Firewall muß mindestens 8 oder 10 mal auf bestättigen klicken (normal wäre nur 1 x),ansonsten geht keine Mail rein oder raus.Am unteren Fenster bei den Firewall wo steht " Running Applications " (dort wo man die Progs sieht die online oder aktiv sind)dort darunter ist noch einmal ein " Fenster " (Hide Message Console) dort steht dann nachdem ich Incredimail gestartet habe und x mal den Onlinezugriff bestättigen mußte dann " 01/05/2005 11:55:41   Application Hijacking has been detected ".Aber wie gesagt.....es wird nichts von den genannten Progs gefunden ???.
Ich poste mal die neuste Hijackthis.log.Vielleicht findet ihr ja das Problem den die Onlineauswertung findet auch nichts ???.
Danke schon mal für Hilfe.

Mfg TMAN

Logfile of HijackThis v1.99.0
Scan saved at 14:03:03, on 05.01.05
Platform: Windows 98 SE (Win9x 4.10.2222B)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\SYGATE\SPF\SMC.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\SSK\SSK.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\PROGRAMME\IOMEGA\DRIVEICONS\IMGICON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\FRITZ!DSL\AWATCH.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TASKMON.EXE
E:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAMME\FRITZ!DSL\FWEBPROT.EXE
C:\PROGRAMME\FRITZ!DSL\FRITZDSL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\OPERA\OPERA.EXE
C:\PROGRAMME\SPYWAREBLASTER\SPYWAREBLASTER.EXE
E:\HIJACKERS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\MESSENGER\YCOMP.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\MESSENGER\YCOMP.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [SuperSpamKiller] C:\PROGRA~1\SSK\SSK.EXE
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Geburtstage] G:\PRIVAT\GEBUTRSTAGE\GEBURT.EXE /NOTIFY
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Watchdog.lnk = C:\WINDOWS\TWAIN\A4s2\Watchdog.exe
O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: TextBridge Instant Access OCR.lnk = C:\Program Files\TextBridge Classic\Bin\TBMENU.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: ImTranslator - C:\PROGRA~1\SMARTL~1\IMTRAN~1\startup.html
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Mit &Google suchen - C:\WINDOWS\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gsearch.htm
O8 - Extra context menu item: Seite mit Google übersetzen - C:\WINDOWS\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gtranslate.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra button: ImTranslator - {AE436396-55E7-4ec4-AD6D-45E88A530A4C} - C:\PROGRA~1\SMARTL~1\IMTRAN~1\startup.html (HKCU)
O9 - Extra 'Tools' menuitem: ImTranslator - {AE436396-55E7-4ec4-AD6D-45E88A530A4C} - C:\PROGRA~1\SMARTL~1\IMTRAN~1\startup.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/12119/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15008/CTPID.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.122.252,192.168.122.253

Hallo rolwei,

noch etwas.
Wenn ich die Online Auswertung mache und folgende zeile fixe (nach Empfehlung von der O.Auswertung),taucht sie wieder auf.Also bei der nächsten Hijackthis.log ist sie dann wieder da,obwohl sie gefixt wurde,komisch oder?
Diese Zeile meine ich :

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)


TMAN

Hallo, du kannst die BHO's auch im Spybot unter Werkzeuge löschen.
Übrigens, ich verwende auch den Superspamkiller.
(den Mist gleich auf dem Server löschen)

Deinen Internet-Explorer solltest du mal updaten. (SP1)

Vorsorge: (Natürlich einen Virenscanner benutzen)

1. Einen anderen Browser benützen
(Den IE nur für Windows-Update und das auch gleich benützen)

http://firebird-browser.de/

2. Spybot und Spyware-Blaster laden und jede Woche updaten.

http://spybot.safer-networking.org/index.php?lang=de&page=download
SpywareBlaster: http://www.zdnet.de/downloads/prg/3/7/en10196637-wc.html
Bei Spybot den 'erweiterten Modus' aktivieren und die Werzeuge:
BHO's, Browser-Seiten, IE-Spielereien, und Host-Datei, sowie Prozess-Liste und System Innnereien aktivieren.  Innerhalb beider Programme Updates und Immunisierung durchführen.

3. Bei XPSp2 den Firewall benutzen (nicht abstellen)
oder einen anderen Firewall installieren.

http://download.zonelabs.com/bin/free/de/download/znalmZAAV.html

4. Bei Einwahlmodems antidialler Software installieren und sich vor einem Schadenfall informieren:

http://www.dialerschutz.de/home.php
http://www.dialerhilfe.de/start/start.php

Hallo rolwei,

ich weiss...hab ja Spybot schon zieeehmlich lange und Spyware Blaster auch.Auch kenne ich mich mit Spybot aus.Ich habe auch am anfang schon geschrieben,das ich nicht mit den IE surfe sondern mit Opera 7.23.Aber wie gesagt,all diese Progs (Spybot,mwav,Stinger (aktuellster)usw.usw)die ich jeden Tag entweder wenn ich offline geh oder bevor ich online geh über meine Platte putzen lasse finden alle nichts.Das Problem war aber vor ca.4 Wochen noch nicht.Mit den SSK (Spamkiller) lösche ich sowieso alle nicht bekannten und verseuchte Mails bevor ich sie ziehe.Bin auch per DSL mit Fritz!Web DSL unterwgs,nicht mit Modem,habe aber trotzdem einen 0190 Warner (ist zwar bei Fritz Web DSL nicht nötig da intern ein 0190 Schutz besteht) installiert,zur Vorsicht.Gestern war der Hijacker angriff wieder total extrem,bei jeder Mail die reinkam,mußte ich x mal (Firewall meldung siehe erster Eintrag) bestättigen ob ich den Zugriff zulassen möchte.Klick ich auf Nein also Blocken,geht natürlich keine Mail rein,das ist aber nicht normal,also klick ich auf ja,laß die Mails rein und klick danach auf Blocken und Clear(beim Firewall).Sobald ich mir die Mails dann ansehe muß ich bei jeder Mail die ich anklicke wieder x mal bestättigen,danach wieder Blocken und wieder Clear drücken.Ich dreh bald durch,echt...... Hijacker wo sitzt Du ???!!!!
HHHIIILLLFFFEEE !!!!!!!!!

LG TMAN

Moinsen !

Also erstmal würde ich Dir raten den abgesicherten
Modus mal anzuwerfen und Dein System mit
escan(mwav.exe) zu checken !

Das kann ein Weilchen dauern mit dem Scan und leider kann man bei der aktuellen Version nimmer löschen, also danach das Log anschauen und Dateien die als infected gekennzeichnet sind löschen (am besten mit Killbox) und ein neues HijackThis-Log erstellen und hier posten !

Greez
Geigi

Hallo Geigi,

das habe ich auch schon gemacht ,
leider ohne Erfolg.Bei den letzte Eintrag von mir ist die aktuellste Hijackthis.log datei dabei.Im Abgesicherten alles schon gemacht,hat alles nichts gebracht.Kein Prog findet etwas (Spybot,Adaware,mwav,usw.usw.).Aber wie gesagt,mein Firewall meldet Hijack Attacke sobald ich mein Emailprog starte.Ich kann mir vorstellen das dort die Wurzel allen übels sitzt.Aber wenn auch dort nichts gefunden wird.Hab das Emailprog auch schon total deinstalliert,Regestrierung gesäubert von " Restschlüsseln " und einträgen usw.usw.Wieder neu installiert.......immer noch das gleiche.Hab echt schon alles versucht.Wahrscheinlich muß ich doch meine Platte neu Formatieren und neu Aufbauen (uff).Wäre nicht sooo toll.

Gruß
TMAN

Moinsen !

Probier mal ein anderes Mailproggie (aber nicht outlook..) und wenn das Problem immer noch auftaucht
solltest Du über eine Neuinstallation nachdenken..

Aber eins ist relativ sicher : laut Deiner Beschreibung kann man davon ausgehen, dass Du keinen
Hijacker hast. Der würde in Deinem Browser rumfummeln..

Ich tippe auf nen Fehler im Mailprogramm oder im schlimmeren Fall auf nen Trojaner ( Ruhe bewahren, der wäre auf jeden Fall vom escan erkannt worden!).

Poste aber mal zur Sicherheit noch die genaue Meldung Deiner Firewall..

In Deinem Hijack - Log hab ich ausser:

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)

nix was ich als verdächtig ansehen würde gesehen.
Und selbst der Eintrag scheint nicht wirklich was schlimmes zu sein. Probier den mal zu fixen.

Und noch wichtig schau mal bei www.windowsupdates.com
(geht nur mitm IE) vorbei und zieh Dir die Win und IE  Updates

Und noch ein kleiner Tipp zum Schluss:
Verballer nicht allzu viel Zeit beim Probs fixen, wenns überhaupt net geht, ist die Neuinstallation des Rechners zumeist die bequemere und sicherste Alternative, denn solltest Du wider Erwarten doch irgendeine Malware auf der Kiste haben kann man nie genau sagen was die schon mit Deinem Rechner angestellt hat !  

Viel Glück !

Greez
Geigi

Hallo Geigi ,

ich poste mal die genaue meldung von meinen Firewall.
Komisch ist aber auch wenn ich folgenden Eintrag fixe,der immer wieder auftaucht.
" O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file) ".Komisch oder?
Also mein Firewall sagt:" 01/07/2005 19:28:50   Application Hijacking has been detected ".Ich denk auch,bevor ich jetzt ewig rum teste werde ich mein System neu Aufbauen.Aber eine frage hätte ich noch.Ich weiß der IE ist nicht aktuell.Bin mit Opera 7.23 unterwegs.Warum soll ich dann ein IE update machen.Ich starte den IE eh nicht.
Danke dir schon mal für Deine mühe und Antworten.

By TMAN

06849E9F-C8D7-4D59-B87D-784B7D6BE0B3 kommt vom Acrobat-Reader(AcroIEHelper)

Und Aplication-Hijacking wird gemeldet wenn ein Programm ein anderes startet, muss also nix gefährliches sein.

Da kannste ja dann auch angeben ob ProgrammA, ProgrammB starten darf.

Wennste beide kennst is gut -> zulassen fertig.

Gruß