Spyware Activity Detected On Your Computer

Hallo,
ich weiss das dieses thema schon weiter unten einmal behandelt wurde aber se hat mir nicht geholfen den die beschriebenen zeilen fand ich nicht bei mir.
Also es fing so an, ich ging an meinen rechner und öffnete meinen Internet Explorer, als dann eine seite geöffnet wurde kamm irgend eine suchmaschinen seite die ich nicht als startseite eingerichtet habe, als Adresse stand oben about:blank
Dann kahm aber so ein gelbes Pop up fenster wo dann ALERT!!!!!
SPYWARE ACTIVITY DETECTED ON YOUR COMPUTER drinnen stand!!
Und jetzt passiert es immer wieder wenn ich meinen Internet Explorer öffne das selbe!!!
Die datei winlogon.exe finde ich überhaupt nicht.
Ich hoffe mir kann jemand helfen, ich würde mich auf antworten sehr freuen, den das nervt ganz schön
Bitte genaue beschreibung da ich mich mit den tool nicht so auskenne und in Englisch auch nicht fit bin.


Logfile of HijackThis v1.97.7
Scan saved at 22:50:41, on 06.05.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SCARDS32.EXE
C:\PROGRAMME\TELEDAT\WCOM\SYSTEM\RVSINST.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SOFTWIN\BITDEFENDER SCAN SERVER\BDSS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SOFTWIN\BITDEFENDER COMMUNICATOR\XCOMMSVR.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MHOTKEY.EXE
D:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\FREEPDF\FREEPDFA.EXE
C:\PROGRAMME\SOFTWIN\BITDEFENDER FREE EDITION\BDMCON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
D:\PROGRAMME\LEXMARK\LEXMARK PHOTO CENTER\MEMORYCARDMANAGER.EXE
C:\WINDOWS\RunDLL.exe
D:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\PROGRAMME\MESSENGER\MSMSGS.EXE
C:\PROGRAMME\EUMEX 604PC HOMENET\CAPICTRL.EXE
C:\PROGRAMME\EUMEX 604PC HOMENET\HNETCTRL.EXE
D:\PROGRAMME\SYNCHREDIBLE\SYNCHREDIBLE.EXE
D:\PROGRAMME\OFFICE\OSA.EXE
E:\PROGRAMME\EPROMPTER\EPROMPTER.EXE
D:\PROGRAMME\FINEPIXVIEWER\QUICKDCF.EXE
E:\PROGRAMME\ROUTERCONTROL\ROUTERCONTROL.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
E:\TMP\TESTTEST\TESTNEU\AA-HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\AJK.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\AJK.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\AJK.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\AJK.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\AJK.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://realsearch.ws/122/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://realsearch.ws/122/?sp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\AJK.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {07459A20-EA0B-4EA7-A1E0-434010CEAAC1} - C:\WINDOWS\SYSTEM\AJK.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] D:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [FreePDFAssistent] C:\PROGRA~1\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\SOFTWIN\BITDEF~1\BDMCON.EXE
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRAMME\SOFTWIN\BITDEFENDER FREE EDITION\bdnagent.exe
O4 - HKLM\..\Run: [MemoryCardManager] D:\Programme\Lexmark\Lexmark Photo Center\MemoryCardManager.exe -startup
O4 - HKLM\..\Run: [RouterControl] E:\PROGRA~2\ROUTER~1\ROUTERCONTROL.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [TwkSCardSrv] C:\WINDOWS\SCARDS32.exe search
O4 - HKLM\..\RunServices: [RVS Installer] C:\PROGRA~1\TELEDAT\WCOM\SYSTEM\RVSINST.EXE
O4 - HKLM\..\RunServices: [BitDefender Scan Server] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\\bdss.exe
O4 - HKLM\..\RunServices: [BitDefender Communicator] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\\xcommsvr.exe
O4 - HKLM\..\RunServices: [BitDefender Live! Init] C:\Programme\Softwin\BitDefender Free Edition\\bdinit.exe
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [MSMSGS] C:\PROGRA~1\MESSEN~1\msmsgs.exe /background
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 604PC HomeNet\Capictrl.exe
O4 - Startup: HomeNet Control.lnk = C:\Programme\Eumex 604PC HomeNet\HNetCtrl.exe
O4 - Startup: Synchredible.lnk = D:\programme\Synchredible\Synchredible.exe
O4 - Startup: Office-Start.lnk = D:\programme\Office\OSA.EXE
O4 - Startup: ePrompter.lnk = E:\Programme\ePrompter\ePrompter.exe
O4 - Startup: Exif Launcher.lnk = D:\Programme\FinePixViewer\QuickDCF.exe
O4 - Startup: Hardcopy.LNK.disabled
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: PicGrab (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten (HKCU)
O9 - Extra button: Add bid (HKCU)
O9 - Extra 'Tools' menuitem: Add bid (HKCU)
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



Vielen dank an euch alle
snak

 

Wenn's denn funktionierten sollte
In den Eigenschaften von System unter Leistungsmerkmale > Erweitert.
Außerdem im Autostart PcHealth und *StateMgr deaktivieren. Manchmal funktioniert es.

 

@ Nevok

Auch bei ME findet man die Deaktivierungsmöglichkeit nicht an der von dir beschriebenen Stelle

 

Suuuuuuper,

CwShredder war erfolgreich. Vielen Dank für die schnelle und kompetente Hilfe.

riffifi

 

Stimmt, hatte ich übersehen unter Win 2k gibt es keine Systemwiederherstellung.

Probier mal folgendes:

Melde dich im abgesicherten Modus -> erstelle nochmal eine Log-Datei -> fixe die von mir genannten Einträge -> Neustart

Sollte dies wieder nicht den gewünschten Erfolg bringen, dann installiere diese Tools
Spybot
CwShredder
und update sie bevor du sie einsetzt.

 

Nevok meinte:

Rechtsklick auf Arbeitsplatz->Eigenschaften -> auf den Reiter Systemwiederherstellung klicken und den Haken bei Systemwiederherstellung auf allen Laufwerken deaktivieren setzen.

@ riffifi

das ist richtig, die Einträge sind alle resistent. Erst wenn du die Systemwiederherstelllung deaktiviert hast, funktionierst

 

Hallo riffifi,

diese Einträge fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\mrhop.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\mrhop.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\mrhop.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\mrhop.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\mrhop.dll/sp.html (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\mrhop.dll/sp.html (obfuscated)

O4 - HKCU\..\Run: [internat.exe] internat.exe

 

Hallo, Leute,

habe ebenfalls das von snak beschriebene Problem. Hier mein

Logfile of HijackThis v1.97.7
Scan saved at 23:29:21, on 15.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\System32\cisvc.exe
C:\Programme\AMD\PowerNow!\GemServ.exe
C:\Programme\AMD\PowerNow!\gemback.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\ESM2\SAgentNT.exe
C:\ESM2\EBRR.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe
C:\WINNT\system32\pctspk.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Medion\mouse32a.exe
C:\programme\u-storage tools2.3\ustorage.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\1&1 Internet\VirtuDrive\VirtuDrv.Exe
C:\Programme\DriveScan Plus\DriveScan.exe
C:\Programme\Enigma Software Group\SpyHunter\MemScanner.exe
C:\Medion\KbdAp32A.exe
C:\WINNT\system32\internat.exe
C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
C:\Programme\Pegasus Technologies\PC Notes Taker\PCNotesTaker.exe
C:\PROGRA~1\SMSMAN~1\SMSMngr.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\ESM2\Stms.exe
C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
C:\Programme\ORiNOCO\Client Manager\CMLUC.EXE
C:\InterWise\Student\pull.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\WINNT\system32\PNTRoute.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINNT\System32\cidaemon.exe
C:\WINNT\System32\cidaemon.exe
C:\WINNT\System32\cidaemon.exe
C:\install\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\mrhop.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.75.100:8080
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {F4E5467A-06BE-4EEF-AD18-C3B89B1079D4} - C:\WINNT\mrhop.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtray.exe SetReg
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CheckMedi8or] C:\Programme\Mediator 7 Pro\CheckNewUser.exe
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Medion\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Medion\MMKEYBD.EXE
O4 - HKLM\..\Run: [UStorag] c:\programme\u-storage tools2.3\ustorage.exe sys_auto_run C:\Programme\U-Storage Tools2.3
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VirtuDrive] C:\Programme\1&1 Internet\VirtuDrive\VirtuDrv.Exe
O4 - HKLM\..\Run: [DriveScan Plus] C:\Programme\DriveScan Plus\DriveScan.exe /SmartStart
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [HBRemind] C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [PC Notes Taker] C:\Programme\Pegasus Technologies\PC Notes Taker\PCNotesTaker.exe -silent
O4 - HKCU\..\Run: [SMS-Manager] C:\PROGRA~1\SMSMAN~1\SMSMngr.exe
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtrdr.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe
O4 - Global Startup: OKI LPR Utility.lnk = C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
O4 - Global Startup: ORiNOCO Client Manager.lnk = C:\Programme\ORiNOCO\Client Manager\CMLUC.EXE
O4 - Global Startup: Push Client.LNK = C:\InterWise\Student\pull.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: BuyTimer (HKLM)
O9 - Extra 'Tools' menuitem: OxBuy BuyTimer (HKLM)
O9 - Extra button: OxBuy Homepage (HKLM)
O9 - Extra 'Tools' menuitem: OxBuy Homepage (HKLM)
O9 - Extra button: Add bid (HKCU)
O9 - Extra 'Tools' menuitem: Add bid (HKCU)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: Sametime Meeting Room Client ST25 - http://195.4.240.3:8088/sametime/stmeetingroomclient/STMeetingRoomClient.cab
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - http://lernplattform.t-online.de/ibt/content/bitmedia/ibt/bitecdl_1/it03bg/awlm/awswax.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {328DDF23-82BE-11D0-A799-00A02488BD89} (BscwUpload Control) - http://bscw.gmd.de/bscw_resources/BscwUpload.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37594.2590046296
O16 - DPF: {A4639D2F-774E-11D3-A490-00C04F6843FB} - http://download.microsoft.com/download/vizact2000/Install/10/WIN98Me/EN-US/msorun.cab
O16 - DPF: {B38B80E1-B697-11D2-BDF9-00A02454F633} (BSCW JBrowser Applet (Java classes)) - http://bscw.gmd.de/bscw_resources/JBrowser/jbrowser.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CA970A6F-2347-4622-AD7C-2B3CB8B659B1} (JNILoader Control) - http://195.4.240.3:8088/sametime/stmeetingroomclient/STJNILoader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab
O16 - DPF: {FA812081-C71E-11D2-BDFE-00A02454F633} (BSCW JBrowser Resources) - http://bscw.gmd.de/bscw_resources/JBrowser/resources.cab
O16 - DPF: {FD1A73A1-C038-11D2-BDFD-00A02454F633} (JBrowser XML classes) - http://bscw.gmd.de/bscw_resources/JBrowser/xml.cab
O16 - DPF: {FD1A73A3-C038-11D2-BDFD-00A02454F633} (Swing classes) - http://bscw.gmd.de/bscw_resources/JBrowser/swing.cab


Wie deaktiviert man die Systemwiederherstellung?

riffifi

 

Hm Cidre,
habs nochmal kontroliert alle Dateien im Explorer sichtbar , aber trotzdem finde ich die die winlogon.exe auf der gesamten Platte nicht .
Glaub sie ist nicht vorhanden .
Auf jeden fall hab ich keine Fehlermeldungen mehr und funktionieren tut bis jetzt auch alles.
Glaub sie ist wahrscheinlich nicht so wichtig ,oder täusch ich mich ?

wie bekomme,oder erstelle ich sie wieder ?

 

Die originale Winlogon.exe befindet sich nur unter Windows/System32/winlogon.exe

Wenn du winlogon.exe nur im Windows Verzeichnis hättest, wärst du infiziert mit Win32.NetSky.D

Öffne mal den Explorer->Extras->Ordneroptionen->Ansicht->Haken entfernen bei Geschützte Systemdaten ausblenden

Suche die Winlogon.exe erneut im Ordner Windows/System32/ und jetzt müßte sie sichtbar sein

 

Hi Cidre,

Fehlermeldungen bekomme ich nicht von der winlogon.exe ,
ich kann sie nur nicht finden ,weder im Windows Verzeichnis noch
im Windows/System32 Verzeichnis .
Glaube aber das ist nicht so schlimm weil jetzt eigentlich wieder alles funktioniert.
Habe noch einen Virus gefunden BDS/Agent AC ! , seit ich ihn gelöscht habe kommen auch keine Fehlermeldungen mehr,hat irgend eine datei im Windows/System verseucht gehabt.
Hab sie gelöscht ,nun scheint wieder alles in ordnung zu sein .




----------------------------------------

Super sache, wenn wieder alles funktioniert !

 

Hi snak,

winlogon - winlogon.exe - Process Information

Process File: winlogon or winlogon.exe
Process Name: Windows Logon Process
Description: Windows NT logon utility that manages user logons and logoffs. The utility prompts you for the password when you log on and allows you to log off or shut down.
Company: Microsoft Corp.
System Process: Yes
Security Risk ( Virus/Trojan/Worm/Adware/Spyware ): No
Common Errors: N/A

Kurz gesagt es ist der Anmeldedienst für Windows

Die originale Winlogon.exe befindet sich Windows/System32/winlogon.exe

Wenn du Fehlermeldung für die winlogon.exe erhälst solltest du diese mal hier rein posten

 

Hallo Cidre,
habs eben ausprobiert,habe zwar alles 3 mal machen müssen aber jetzt scheint es zu funktionieren ,super vielen dank Dank.
Hab die zeilen zwar in verdacht gehabt,aber getraut hab ich mich dann doch nicht sie zu löschen, nochmals vielen dank für deine schnelle Hilfe.

Vieleicht kontest du mir noch einen tip geben ?
Ich finde die Datei winlogon.exe bei mir nicht mehr ,ist die wichtig ? und kann es sein das ich dadurch manchmal ein paar fehlermeldungen bekomme .


grus
Snak





Echt ein Super Forum - Kompetente Leute

 

@SvenA
Das beste wäre du erstellt auch eine neue Log-Datei mit HiJackThis
und postet sie hier rein.

 

und schon alles ausprobiert, nichts hilft dauerhaft dagegen

Hier unter dem Link findet Ihr das Thema aus dem Forum, wo ich sonst noch unterwegs bin (Sven)

http://www.pagenstecher.de/showtopic.php?threadid=106097

Gruß,
Sven

 

Hallo snak,
zuerst Systemwiederherstellung deaktivieren und dann

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\AJK.DLL/sp.html (obfuscated)
fixen
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\AJK.DLL/sp.html (obfuscated)
fixen
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\AJK.DLL/sp.html (obfuscated)
fixen
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\AJK.DLL/sp.html (obfuscated)
fixen
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\AJK.DLL/sp.html (obfuscated)
fixen
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://realsearch.ws/122/
verdächtig
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://realsearch.ws/122/?sp
verdächtig
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\AJK.DLL/sp.html (obfuscated)
fixen
O2 - BHO: (no name) - {07459A20-EA0B-4EA7-A1E0-434010CEAAC1} - C:\WINDOWS\SYSTEM\AJK.DLL
fixen

Den Rest muß ich noch ergoogeln

 

ja, da gebe ich dir vollkommen recht. das wird auch bald geändert.
danke für die hilfe.

 

Mir fällt so nichts weiter auf, allerdings solltest du den Internet Explorer vor der Ausführung von HijackThis beenden.