Virus oder Spyware Prob - WinBoard

nobby99 · 16.11.2006, 23:20

Ich brauche eire Hilfe

Ich hab mir irgend ein Virus oder Spyware eingefangen.
Immer wenn ich den IExplorer starte erscheint folgende Seite, obwohl
ich about:blank eingestellt habe. "http://eprotectpage.com/"
Vieleicht kann mir jemand helfen, hier mal die HIJACK.LOG

Logfile of HijackThis v1.99.1
Scan saved at 23:07:02, on 16.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\Programme\Perfect Codec\isamonitor.exe
C:\Programme\Perfect Codec\pmsngr.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe
C:\Programme\STAMPIT\BINARY\STRAY.EXE
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\PROGRA~1\ROUTER~1\ROUTERCONTROL.EXE
C:\Programme\Perfect Codec\pmmon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Steganos Security Suite 2006\SSS2006.exe
C:\PROGRA~1\MICROS~3\wcescomm.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Perfect Codec\isamini.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\Steganos Security Suite 2006\SSS2006.exe
C:\Programme\Steganos Security Suite 2006\PasswordManagerIEAutoFill.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908. 5008\GoogleToolbarNotifier.exe
C:\WINDOWS\explorer.exe
D:\Download\hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {192c5b4a-3efd-40c7-9f99-c472deb8efc0} - C:\Programme\Perfect Codec\isaddon.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: RepliGoIEHelperCtl Class - {91DE4477-9CDC-4806-9BCB-28A963988E94} - C:\Programme\Cerience\RepliGo\RepliGoIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &RepliGo - {81F4066B-F330-4872-8094-3E9FBCCEC8C1} - C:\Programme\Cerience\RepliGo\RepliGoIEBar.dll
O3 - Toolbar: Protection Bar - {bf1ced2c-4b3f-4079-a330-864eda5a4cff} - C:\Programme\Perfect Codec\iesplugin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\AntiVirenKit 2006\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [STAMPIT-Tray] C:\Programme\STAMPIT\BINARY\STRAY.EXE
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [RouterControl] C:\PROGRA~1\ROUTER~1\ROUTERCONTROL.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [SSS2006] "C:\Programme\Steganos Security Suite 2006\SSS2006.exe" -boot
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C545FBC-6C7F-48F4-873F-AE89924ECBA7}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADB4CAD9-2075-4283-9937-3E12B0A7B45A}: NameServer = 192.168.178.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: featherweed - {ab340860-fd81-4a65-b345-82eb77a66b5e} - C:\WINDOWS\system32\jbtazy.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
O23 - Service: Client32 - NetSupport Ltd - C:\PROGRA~1\NETSUP~1\client32.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Steganos AntiTheft - Unknown owner - C:\WINDOWS\system32\\SatSrv.exe
O23 - Service: GoodTech Telnet Server for Windows NT V4.0 (TELNETD) - Unknown owner - C:\WINDOWS\system32\telnetd.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe

Wenn jemand Helfen kann wäre super.

Tie Mo Beil · 16.11.2006, 23:30

Hallo nobby

Guck mal hier http://www.trojaner-board.de/search.php?searchid=887408
(Alles was bei dir irgendwie mit Perfect Codec in Zusammenhang steht)
Ich würde aber wahrscheinlich den Rechner platt machen und alle Passwörter ändern)

m.f.G. Tie

Fireblade · 16.11.2006, 23:51

C:\Programme\Analog Devices\Core\smax4pnp.exe Mit einem Antivirenscanner prüfen

Fixen!!Unbedingt.

Wenn du ein Hijack This auswerten willst,kannst du das auch selbst tun,und zwar auf der seite www.hijackthis de

Weitere Info
http://www.file.net/prozess/smax4pnp.exe.html

nobby99 · 16.11.2006, 23:54

C:\Programme\Analog Devices\Core\smax4pnp.exe ist sauber.
danke für die Hilfe, Problem ist beseitigt.

Gruß nobby99

Fireblade · 16.11.2006, 23:57

Zitat:

Danke für die Hilfe, Problem ist beseitigt.

Prima

Und wie biste vorgegangen?

nobby99 · 17.11.2006, 00:14

Zitat:

Zitat von Tie Mo Beil

Hallo nobby

Guck mal hier http://www.trojaner-board.de/search.php?searchid=887408
(Alles was bei dir irgendwie mit Perfect Codec in Zusammenhang steht)
Ich würde aber wahrscheinlich den Rechner platt machen und alle Passwörter ändern)

m.f.G. Tie

In dem zitierten beitrag wies er mich auf "Perfect Codec" hin. Nach dem ich im
Programme Ordner diesen Ordner fand, habe ich meinen Rechner im Abgesicherten Modus gestartet und Perfect Codec unter Systemsteuerung/Software Deinstalliert. Zusätzlich habe ich den Ordner Perfect Codec samt inhalt von der Platte gelöscht. Im Explorer ist mir ein
AdOnn namens 192csb4a-3efd-40c7-9f99-c472deb8efc0 aufgefallen. Darauf hin habe ich in der registry nach diesem schlüssel gesucht und ihn insgesammt
5 mal gefunden und gelöscht. Danach habe ich meinen Rechner normal gestartet, und bis jetzt ist ruhe. Die seite "http://eprotectpage.com" kommt
nun auch nicht mehr.

Gruß nobby99

Tie Mo Beil · 17.11.2006, 00:20

Hallo nobby

Sei dir nicht zu sicher. Was hat es mit dem Telnet-Server auf sich,der bei dir läuft ( Mut dat so sein)?

O23 - Service: GoodTech Telnet Server for Windows NT V4.0 (TELNETD) - Unknown owner - C:\WINDOWS\system32\telnetd.exe

Fireblade · 17.11.2006, 00:25

@nobby99
Lass es doch noch einmal automatsch auswerten.

nobby99 · 17.11.2006, 00:26

Dat mut so sein...
Benutze ich um den Rechner von meiner Tochter fernzusteuern.
Wird aber in den nächsten tagen geändert.

Gruß nobby99

nobby99 · 17.11.2006, 00:27

gute idee, werde ich mal machen.