System-HiJack: Registry hängt

Diskutiere System-HiJack: Registry hängt im Security / Firewall / Virenabwehr Forum im Bereich Software Forum; Ich kämpfe jetzt seit ein paar Tagen mit folgendem Problem: Ich habe mir etwas Unangenehmes im Netz eingefangen. Spybot S&D TeaTimer läuft immer...
M

Mister_X

Threadstarter
Mitglied seit
25.04.2006
Beiträge
13
Alter
49
Ich kämpfe jetzt seit ein paar Tagen mit folgendem Problem:
Ich habe mir etwas Unangenehmes im Netz eingefangen.
Spybot S&D TeaTimer läuft immer mit und hat auch angeschlagen. Mein Antivirenprogramm (Symantec AntiVirus) hat folgendes rausgefischt:

UnSpyPC.exe unter dem neuerstellten C:\Programme\UnSpyPC\
amprg.dll unter C:\WINNT\system32\

Dann traten merkwürdige Erscheinungen auf:
Ich benutze den "Security Task Manager". Der zeigte immer wieder neue Dateien des Formats "dmjhg.exe" oder so ähnlich (dm***.exe) an. Bei jedem Neuanmelden veränderte sich der Name. Mit desem Security Task Manager habe ich diese Problem beseitigt, obwohl ich nicht genau die Quelle dessen kannte.

Internet ging gar nicht. Im abgesicherten Modus ging nur OB1. Das ist ein Browser, der nicht installiert wird, sondern so läuft. Die Lösung war: Die DNS-Einträge waren auf sehr russische Seiten eingestellt. Das habe ich repariert.
IE funktionierte dann zwar wieder, aber mit folgenden Effekten: Beim Aufrufen von Suchergebnissen aus Google wurde ich nicht mit dem Suchergebniss verbunden sondern mit anderen uminösen Suchseiten. Dieses Problem konnte ich auch beseitigen. (Es kann sein, dass es diese dm***.exe verursacht hat)

Das alles hat mich veranlasst, mein System komplett zu checken:
Als erstes habe ich versucht S&D und Ad-Aware drüber laufen zu lassen. Jedoch S&D wurde nach 5 Sekunden unendlich langsam! Das war noch nie! Ad-Aware hängt sich komplett auf, wenn es denn "deep-registry scan" macht! Beim Zugriff auf HKLM ist Schluss.
Habe mit HijachThis mein System geprüft: Alle seltsamen Sachen habe ich beseitigt. Doch das Problem von S&D und Ad-Aware besteht immer noch! SpHjfix ergab keine Infizierung. CWShredder hat nix gefunden. Voller Panik habe ich a2 runtergeladen -
nix! Mit TuneUp habe ich noch Ordnung in der Registry und so weiter geschafft - nix!
Selbst wenn man manuell die Registry (regedit.exe) nach irgendwas durchsucht, hängt sich die Suchroutine auf!
RegAlyzer, Trojancheck, XoftSpy kriegen das Problem nicht in den Griff!

Das Problem ist, dass seit dem "Unfall" meine Registry-Abfragen streiken.
Kann mir jemand helfen? Habt Ihr ein ähnliches Problem gehabt?
 
M

Mister_X

Threadstarter
Mitglied seit
25.04.2006
Beiträge
13
Alter
49
Als Ergänzung noch:

Ich benutze Windows 2000 SP4, IE v.6 SP1
Rechner: x86 mit Prozessor AMD Athlon 1,7GHz, Netzwerk
Speicher: 512MB
Bei Bedarf poste ich HiJackThis-Log-File.


Nachtrag:
Bei der Gelegenheit ist mir folgendes aufgefallen:
Man öffnet bspw. den Arbeitsplatz und das Verzeichnis WINNT. Dann tut man nix, außer dass sich der Mauszeiger innerhalb des Fensters befindet.
Aller 10-12s zeigt der Mauszeiger für eine Zehntel Sekunde etwa volle Auslastung an. Das passiert nur in diesem Verzeichnis oder auch in system32. Im Taskmanager ist das nicht zu sehen als Auslastung.
Ist das normal? Läuft da was ab, was mir andere Prozesse (Suchanfragen, Scanvorgänge) stört? Wenn man eine Datei dort markiert und das Popup (rechte Maustaste) öffnet, dann geht das wieder weg, wenn dieser "Auslastungsfall" eintritt. Das ist ziemlich merkwürdig, oder?
 
Y

Yanou

Mitglied seit
07.12.2005
Beiträge
567
Alter
35
Standort
Berlin
check dein autostart: start->ausführern -> msconfig -6

schau da nach ob irgend ein eintrag verdächtig ist ...

hatte mal nen fall wo sich ne update.js ausm windows verzeichnis ins autostart eingetragen hat ... jedes mal wenn der rechner beendet wurde nannte sich die datei um ... nachm booten wieder ... somit war die richtige datei schwer zu finden ... aber ne suche nach textteilen in dateien half dann ... nur so am rande :p

ambesten du machst nochmal hijackthis und postest hier dein log ...
ansonsten versuchs mit nem systemwiederherstellungspunkt von windows von vor der virus attacke ...

das mit dem windows maus zeiger ist im übrigen normal ... passiert eben hin und wieder :deal
das kam zu win98 zeiten noch häufiger vor :p ...

Gruß Yanou
 
M

Mister_X

Threadstarter
Mitglied seit
25.04.2006
Beiträge
13
Alter
49
Vielen Dank erstmal für die Infos!

Werde mich gleich mal dranmachen. Inzwischen ist hier mal mein HiJackThis-Log-File.
Das ist das letzte das ich gemacht habe, nachdem ich von HJT ein upgrade auf 1.99 gemacht habe.
Im übrigen läuft grade noch ein Windows Live Safety Scan. Bis jetzt hat er auch noch 2 Sachen gefunden. Mir ist klar, dass das nix heißen muss, aber vielleicht löst es doch mein Problem.

Logfile of HijackThis v1.99.1
Scan saved at 14:22:55, on 25.04.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Symantec AntiVirus\SavRoam.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Multimedia\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\xxxxx\xxxxx\xxxxx.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\xxxxx\xxxxx\xxxxxTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
C:\Programme\a-squared\a2guard.exe
C:\Programme\ClockWise\ClockWise.exe
C:\Programme\Mousometer\mousometer.exe
C:\Programme\Microsoft Encarta\Encarta Enzyklopädie Professional 2005\EDICT.EXE
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\system32\NOTEPAD.EXE
D:\user\kahnert\Daten\Programme\Sicherheit\HijackThis\HJT199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tu-clausthal.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tu-clausthal.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://home.tu-clausthal.de/~uk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\Multimedia\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [xxxxx] C:\Programme\xxxxx\xxxxx\xxxxx.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [xxxxxTray] "C:\Programme\xxxxx\xxxxx\xxxxxTray.exe" /s
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\nbj.exe"
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a-squared\a2guard.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: ClockWise.lnk = C:\Programme\ClockWise\ClockWise.exe
O4 - Startup: Mousometer.lnk = C:\Programme\Mousometer\mousometer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Save Flash - res://C:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1137072832984
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pe.tu-clausthal.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{93463D70-5734-493A-884E-8075C59A0876}: NameServer = 139.174.155.53,139.174.155.51,139.174.2.5,139.174.2.6
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pe.tu-clausthal.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pe.tu-clausthal.de
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe

Die Auswertung bei
http://www.hijackthis.de/
ergab, dass alles ok sei.

Gerade sehe ich noch die letzten Reste des HiJack-Attempts: Meine Favoriten wurden zugemüllt mit Pharmaie-, Sexdating- und Spyware-Uninstall-Links. Dass da Spyware uninstaller verlinkt werden, ist schon fast komisch.

Vielen Dank für Eure Mühe.

Mister_X
 
Y

Yanou

Mitglied seit
07.12.2005
Beiträge
567
Alter
35
Standort
Berlin
C:\WINNT\system32\drivers\CDAC11BA.EXE <- ??

C:\Programme\xxxxx\xxxxx\xxxxx.exe <- sehr verdächtig
C:\Programme\xxxxx\xxxxx\xxxxxTray.exe <- sehr verdächtig


C:\Programme\a-squared\a2guard.exe
C:\Programme\ClockWise\ClockWise.exe
C:\Programme\Mousometer\mousometer.exe <- sagen mir nichts :hehe


das zu deinen Prozessen
zu den reg einträgen ... aufm ersten blick sind natürlich diese ...Programme\xxxxx\xxxxx\... sehr verdächtig ... was auch immer das für ein programm sein mag ... ansonsten sollte sich wer anders zu den reg einträgen äußern ... da bin ich nicht so fit :deal

ich empfehle ... fals es sich um kein bekanntes programm handelt diese ...Programme\xxxxx\xxxxx\... sachen zu killn

Gruß Yanou
 
M

Mister_X

Threadstarter
Mitglied seit
25.04.2006
Beiträge
13
Alter
49
Hallo nochmal,
msconfig gibts bei mir nicht. Als ich es eigegeben hatte, fiel mir ein, dass ich das auch schon mal versucht hatte ohne Erfolg.
Oder sind irgendwelche Bibliotheken weg?

MfG

Mister_X
 
Y

Yanou

Mitglied seit
07.12.2005
Beiträge
567
Alter
35
Standort
Berlin
nein ... msconfig ist bestandteil von windows ... hm ... ok du hast ja 2k ... aber eigentlich müsste es da auch drin sein ... dann musste wohl oder übels selbst nach schaun :deal

start->programme->autostart

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Gruß Yanou
 
M

Mister_X

Threadstarter
Mitglied seit
25.04.2006
Beiträge
13
Alter
49
Die Einträge wurden automatisch ge-x-t, als ich es hier gepostet habe.
Das habe ich erst gar nicht gemerkt.

Aber die Programme gehen in Ordnung:
Das erste ist ein Füchslein, wenn Du verstehst.
Das andere ist das Tray-Icon vom Antivirenprogramm.

Die unbekannten sind
1. a2. Ein Guard-Programm: http://www.emsisoft.de/de/
2. Das ist eine Stoppuhr.
3. Mousometer -> So eine Art Spaßprogramm. Misst die zurückgelegte Strecke und Geschwindigkeit der Maus.

Als alles schon monatelang in Betrieb. Problemlos.

Mister_X
 
M

Mister_X

Threadstarter
Mitglied seit
25.04.2006
Beiträge
13
Alter
49
Die Registry-Einträge habe gecheckt.
Da ist alles so wie es sein soll. Das ist ja das Dumme.

HKLM\...\Run:
ccApp
ICQ Lite
InCD
NeroFilterCheck
QuickTime Task
SunJavaUpdateSched
Synchronization Manager mobsync.exe /logon
vptray (=Antivirus)

HKLM\...\Run***
in den anderen Run-Einträgen steht nix drin.

HKCU\...\Run:
Ashampoo PopUpBlocker
a-squared
cftmon.exe
Google Desktop Search
NBJ "C:\Programme\Ahead\Nero BackItUp\nbj.exe"
SpybotSD TeaTimer

HKCU\...\Run\not active:
cftmon.exe

HKCU\...\RunOnce
ICQLite

HKCU\...\Run***
da steht nix

Eigentlich alles ok, oder?


MfG

Mister_X
 
Fireblade

Fireblade

Grüßt die Winboarder
Mitglied seit
10.12.2004
Beiträge
19.623
Poste noch mal ein HJT Logfile.
 
M

Mister_X

Threadstarter
Mitglied seit
25.04.2006
Beiträge
13
Alter
49
Hallo, hier noch mal das Neueste:

Logfile of HijackThis v1.99.1
Scan saved at 02:58:22, on 26.04.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Symantec AntiVirus\SavRoam.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Multimedia\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\xxxxx\xxxxx\xxxxx.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\xxxxx\xxxxx\xxxxxTray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\a-squared\a2guard.exe
C:\Programme\ClockWise\ClockWise.exe
C:\Programme\Mousometer\mousometer.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Encarta\Encarta Enzyklopädie Professional 2005\EDICT.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
d:\user\kahnert\Daten\Programme\Sicherheit\HijackThis\HJT199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tu-clausthal.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tu-clausthal.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://home.tu-clausthal.de/~uk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\Multimedia\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [xxxxx] C:\Programme\xxxxx\xxxxx\xxxxx.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [xxxxxTray] "C:\Programme\xxxxx\xxxxx\xxxxxTray.exe" /s
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\nbj.exe"
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a-squared\a2guard.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: ClockWise.lnk = C:\Programme\ClockWise\ClockWise.exe
O4 - Startup: Mousometer.lnk = C:\Programme\Mousometer\mousometer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Save Flash - res://C:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://scan.safety.live.com/resource/downl...lscbase7617.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1137072832984
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pe.tu-clausthal.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{93463D70-5734-493A-884E-8075C59A0876}: NameServer = 139.174.155.53,139.174.155.51,139.174.2.5,139.174.2.6
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pe.tu-clausthal.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pe.tu-clausthal.de
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe

........

Die online-Auwertung ergibt auch keine neuen Erkenntnisse.
Ich bin nach wie vor ratlos.
(Ich weiß zumindest schon, dass die Abstürze bei der Suche nach Werten passieren. Suche nach Schlüsseln oder Daten ist unproblematisch.)
Der live-scan, den ich wie oben erwähnt gemacht hatte, ergab nicht viel neues:
Angeblich eine Bedrohung: d3dei.dll aus system32. Konnte leider keine Informationen dazu finden und fixen ließ sich das Ding auch nicht. Ich denke aber fast, dass das zu directX gehört. Hat auch kein aktuelles Datum.
Weiterhin wurden hunderte Reg-Einträge aufgelistet. Da wurde aufgelistet: system registrys, programme usw. usw. Das kann man gar nicht alles durchsehen.
Also effektiv kein weiterkommen.
Ich bin schon fast soweit, alles neu aufzusetzen. Das aber ärgert mich, weil man die Ursache nicht findet.

Mister_X
 
M

Mister_X

Threadstarter
Mitglied seit
25.04.2006
Beiträge
13
Alter
49
@Tobias28:
Vielen Dank für die Tipps!
eScan habe ich auch schon laufen lassen. Das operiert ja nicht mit einem Skalpell sondern mit der Kettensäge. Das hatte auch rigeros einiges weggemacht.
Aber das beschriebene Problem von S&D und Ad-Aware besteht nach wie vor.


Mister_X
 
Y

Yanou

Mitglied seit
07.12.2005
Beiträge
567
Alter
35
Standort
Berlin
schonmal mit ner neuinstallation deiner besagten programme versucht ??

Gruß Yanou
 
M

Mister_X

Threadstarter
Mitglied seit
25.04.2006
Beiträge
13
Alter
49
Habe ich schon gemacht. Sauber deinstalliert und neu installiert. Verhält sich gleich.
Ich überlege, ob ich damit leben kann. Aber wahrscheinlich werde ich mein System verschrotten und neu aufspielen.
Vielleicht trifft auch nur der HiJack-Attempt zufällig mit einem anderen Fehler meines Rechners zusammen, den ich nicht herausfinde.
Schade, dass das so ein Ende nimmt. Wenn man zu Hause einen Wasserrohrbruch hat, dämmt man ihn ein, repariert und renoviert danach. Man zieht deswegen auch nicht gleich um oder sprengt das Haus weg. (Kleiner Scherz am Rande.)

An dieser Stelle noch mal herzlichen Dank an alle für die Tipps und die Hilfe.

Mister_X
 
M

Mister_X

Threadstarter
Mitglied seit
25.04.2006
Beiträge
13
Alter
49
Ich habe es gefunden!!!!!!!!!
Man soll es kaum glauben!
Der entscheidende Punkt war, dass Ewido AntMalware auch hängenblieb! (Danke an jerrymaus!) Nur diesmal konnte ich sehen wo, da der komplette Pfad angezeigt wurde:

HKLM\Software\Classes\Installer\Features\7D2F387510107040002000060BECB6AB

Den Schlüssel gibt es dort auch 2 mal. Einige andere Einträge sind allerdings auch mehrmals vorhanden. Wenn man es anklickt, hängt sich alles auf! Spätestens der 2. Eintrag verursacht dies. Da es nun so schwer ist darauf zu kommen, weiß ich auch nicht recht, was das macht.

.... Ich sehe gerade, die Namen der Einträge (Schlüsselnamen) sind nicht gleich im Sinne von identisch, nur sehr ähnlich.

Ich habe einen Screenshot gemacht, als der erste Eintrag doch irgendwie lesbar wurde. Da steht allerlei über dictionaries und so.

Jetzt also konkret: Weiß darüber jemand Bescheid? Und wie lösche ich den Eintrag im Zweifelsfalle, wenn ich nicht rankomme?

Mister_X
 

Anhänge

Fireblade

Fireblade

Grüßt die Winboarder
Mitglied seit
10.12.2004
Beiträge
19.623
Hallo grüß dich Mister_X
Ich habe mir nochmals alles genau angesehen,das beste ist echt wenn du den Pc neu machst.Da ist zuviel strubbelig.
das geht bestimmt schneller,als wenn du dich weiterhin damit stundenlang herumärgerst.

Gruß Fireblade
 
Thema:

System-HiJack: Registry hängt

System-HiJack: Registry hängt - Ähnliche Themen

  • Prozess System mit hoher CPU Auslastung und sehr hohen Stromverbrauch

    Prozess System mit hoher CPU Auslastung und sehr hohen Stromverbrauch: Hallo Community, mir ist seit heute aufgefallen, dass mein Lüfter am Laptop kontinuierlich am Laufen ist. Ursache ist der Prozess System laut...
  • Drucker ist korrekt angeschlossen, vom System erkannt, Ausführungsbestätigung "wird gedruckt" ist angezeigt, nur: er druckt nicht, Ursache?

    Drucker ist korrekt angeschlossen, vom System erkannt, Ausführungsbestätigung "wird gedruckt" ist angezeigt, nur: er druckt nicht, Ursache?: Drucker ist korrekt angeschlossen, vom System erkannt, Ausführungsbestätigung "wird gedruckt" ist angezeigt, nur: er druckt nicht, Ursache?
  • Error 1962: No operating system found. Press any key to repeat boot sequence

    Error 1962: No operating system found. Press any key to repeat boot sequence: Good evening, 2 days ago I installed Windows 10. When I turn on the computer, I always get this message with error 1962, as you see below. I...
  • Windows 7 System Recovery consumes 260GB

    Windows 7 System Recovery consumes 260GB: Hi guys, I ran out of disk space (512GB SSD drive) and couldn't believe it. Then I ran spacesniffer and it turned out that Windows 7 Syste...
  • Windows10 Abbruch mit Bluescreen und stopcode udfs File System

    Windows10 Abbruch mit Bluescreen und stopcode udfs File System: Hallo Mein Rechner stürzt ständig und sporadisch in einen bluescreen mit Smiley und als Stopcode steht udfs_file_system - ich komme einfach...
  • Ähnliche Themen

    Oben