Suche Hilfe zu TR/PSW.Agent.HZ

30.11.2007, 17:41

Hallo zusammen ,
bin " Computerfastnixkönner " und suche dringend Hilfe zu
mehreren Computerproblemen . Ich stand schon mit meinem
Rechner auf dem Balkon , bis ich diese Seite fand .
Fange einfach mal mit dem 1. Problem an :

Habe AV Personal Edition Classic drauf und bekomme alle 60
Sekunden die Warnmeldung über einen Virusfund :

auf C:\WINDOWS\Media\smartwarxyu.dll ist das
Trojanische Pferd : TR/PSW.Agent.HZ
Was soll mit der betroffenen Datei geschehen ?

Ich habe schon alles angeklickt und OK gesagt ,
Löschen , Zugriff verweigern........
Habe unter C:\WINDOWS\Media\ gesehen daß das Ding
bei löschen verschwindet , doch nach einer Minute
ist es wieder da !
Was soll ich tun ???
Bitte helft mir , ich dreh bald durch .

Dies war das 1. Problem , weitere folgen
Vielen Dank im Vorraus - Gruß Dieter

30.11.2007, 18:09

Hallöchen,

also du könntest versuchen den Schädling im abgesicherten Modus entfernen zu lassen. Da hat Antivir größere Chancen den Trojaner komplett weg zu bekommen.

Also einfach den Rechner mit F8 im abgesicherten modus starten und dann scannen.

Oder du erstellst ein Logfile mit HijackThis und wir schauen uns das mal an:

Anleitung und Download HijackThis

30.11.2007, 18:32

Hallöli , ich schon wieder ,
habe es tatsächlich geschafft ( mit Problemen !! ) diesen
Logfile zu erstellen . Wie kann ein Mensch mit so etwas
was anfangen ??? Egal , das muß ich nicht wissen .
Herzliche Grüße - Dieter

Logfile of HijackThis v1.99.1
Scan saved at 19:27:03, on 30.11.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Didi\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: H - {30EDD4CB-8BC1-4f9f-99A6-A6938E9AACE0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Flash Module - {775B738B-4540-4b16-A1DA-932C402FD8F7} - ktasr.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Flash Console v.4.1 - {BCC8A4AB-C055-461E-B4B5-1B0EA8647897} - C:\WINDOWS\system32\flcon.dll
O2 - BHO: Sertificate Infj - {C777CF73-124F-3562-44AC-E685D962C63C} - C:\WINDOWS\Media\CertMgr.dll
O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - C:\WINDOWS\System32\IEBHO59.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe "
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\explore.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\RunServices: [Windows Config System] config.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - https://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E6A4640-7CC1-4411-8C00-AA3D4787EC78}: NameServer = 85.255.116.20,85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\..\{832CFF3B-4B40-4216-976E-F3AB04727660}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.20 85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E6A4640-7CC1-4411-8C00-AA3D4787EC78}: NameServer = 85.255.116.20,85.255.112.215
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.20 85.255.112.215
O17 - HKLM\System\CS2\Services\Tcpip\..\{0E6A4640-7CC1-4411-8C00-AA3D4787EC78}: NameServer = 85.255.116.20,85.255.112.215
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.20 85.255.112.215
O17 - HKLM\System\CS3\Services\Tcpip\..\{0E6A4640-7CC1-4411-8C00-AA3D4787EC78}: NameServer = 85.255.116.20,85.255.112.215
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.116.20 85.255.112.215
O17 - HKLM\System\CS4\Services\Tcpip\..\{0E6A4640-7CC1-4411-8C00-AA3D4787EC78}: NameServer = 85.255.116.20,85.255.112.215
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.116.20 85.255.112.215
O17 - HKLM\System\CS5\Services\Tcpip\..\{0E6A4640-7CC1-4411-8C00-AA3D4787EC78}: NameServer = 85.255.116.20,85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.20 85.255.112.215
O20 - Winlogon Notify: csfdll - C:\WINDOWS\Media\smartwarxyu.dll (file missing)
O21 - SSODL: OleExport - {C777CF73-124F-3562-44AC-E685D962C63C} - C:\WINDOWS\Media\CertMgr.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

30.11.2007, 18:41

Hallöchen,

als erstes solltest, falls aktiviert, die Systemwiederherstellung deaktivieren, bis der Rechner wieder sauber ist. Dann folgende Einträge mit HijackThis fixen (beheben):

Code:

O2 - BHO: H - {30EDD4CB-8BC1-4f9f-99A6-A6938E9AACE0} - (no file)
O2 - BHO: Flash Module - {775B738B-4540-4b16-A1DA-932C402FD8F7} - ktasr.dll (file missing)
O2 - BHO: Flash Console v.4.1 - {BCC8A4AB-C055-461E-B4B5-1B0EA8647897} - C:\WINDOWS\system32\flcon.dll
O2 - BHO: Sertificate Infj - {C777CF73-124F-3562-44AC-E685D962C63C} - C:\WINDOWS\Media\CertMgr.dll
O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - C:\WINDOWS\System32\IEBHO59.dll (file missing)
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\explore.exe
O4 - HKLM\..\RunServices: [Windows Config System] config.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E6A4640-7CC1-4411-8C00-AA3D4787EC78}: NameServer = 85.255.116.20,85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.20 85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E6A4640-7CC1-4411-8C00-AA3D4787EC78}: NameServer = 85.255.116.20,85.255.112.215
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.20 85.255.112.215
O17 - HKLM\System\CS2\Services\Tcpip\..\{0E6A4640-7CC1-4411-8C00-AA3D4787EC78}: NameServer = 85.255.116.20,85.255.112.215
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.20 85.255.112.215
O17 - HKLM\System\CS3\Services\Tcpip\..\{0E6A4640-7CC1-4411-8C00-AA3D4787EC78}: NameServer = 85.255.116.20,85.255.112.215
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.116.20 85.255.112.215
O17 - HKLM\System\CS4\Services\Tcpip\..\{0E6A4640-7CC1-4411-8C00-AA3D4787EC78}: NameServer = 85.255.116.20,85.255.112.215
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.116.20 85.255.112.215
O17 - HKLM\System\CS5\Services\Tcpip\..\{0E6A4640-7CC1-4411-8C00-AA3D4787EC78}: NameServer = 85.255.116.20,85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.20 85.255.112.215
O21 - SSODL: OleExport - {C777CF73-124F-3562-44AC-E685D962C63C} - C:\WINDOWS\Media\CertMgr.dll

Bei den Einträgen die mit O17 beginnen schaust du dir bitte die IP-Adressen an. Hast du diese IP-Adressen eingegeben oder kommen sie dir bekannt vor? Wenn ja, dann diese Einträge nicht fixen. Wenn nicht, dann weg damit.

Dann einen Neustart machen und nochmal kontrollieren ob wir alles erwischt haben.

Dann solltest du auch mal das aktuelle Service Pack für Windows XP installieren, denn das schließt einige Sicherheitslücken...

30.11.2007, 19:30

Was soll ich sagen , veranstalte gerade einen Indianertanz um
meinen Schreibtisch rum . Mit dieser Aktion wurden auch zwei
andere Probleme von mir gelöst !! :
Der Internet - Explorer ist viel schneller geworden .

Wenn ich bei Google was gesucht habe , und ich dann auf
einen Link gegangen bin , bekam ich beim ersten anklicken
eine Werbeseite . Beim zweitenmal kam immer die Seite :
themicrosoft Top 10 Search - diese Seite ging mit meinem
Zurück - Button gar nicht weg ! Ich mußte immer den Link
markieren - Rechtsklick Verknüpfung kopieren - und auf einer
extra neuen IE - Seite eingeben , dann gings .

Auch Dein Link :Hijacker about:blank - se.dll\sp.html
Anleitung und Tool zum Entfernen: <http>
hat nur so funktioniert .

Jetzt ist das Problem weg .

Tausend Dank nochmal - bis zum nächsten Problem .
Liebe Grüße - Dieter

30.11.2007, 20:29

Hallöchen,

freut mich das es geklappt hat und nun alles wieder funktioniert...

02.12.2007, 21:44

Hallo, hab diese Datei auch aufm Rechner, habe den AV schon im normalen und abgesicherten modus drüberlaufen lassen, aber beim normalen Scannen findet AV die Datei nicht, nur wenn ich ne I-Net Verbindung habe, hab ich jede Minute zweimal hintereinander das Fenster mit der Info, dass AV die Datei gefunden hat. Den Hijacker hab ich auch schon installiert, das Protokoll sieht so aus:

Logfile of HijackThis v1.99.1
Scan saved at 22:42:25, on 02.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\internat.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mmtask.exe
C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Date Manager\DateManager.exe
C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\DOKUME~1\Kunde\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://de.rd.yahoo.com/customize/ycomp/ ... ch/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://de.rd.yahoo.com/customize/ycomp/ ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://de.rd.yahoo.com/customize/ycomp/ ... .yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar Beta - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Sertificate Infj - {C777CF73-124F-3562-44AC-E685D962C63C} - C:\WINDOWS\Media\CertMgr.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar Beta - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [MMTray] "C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [aconti] C:\WINDOWS\aconti.exe -auto
O4 - HKLM\..\Run: [internat.] C:\WINDOWS\internat.exe x
O4 - HKLM\..\Run: [ICQ Net] C:\WINDOWS\winlogon.exe -stealth
O4 - HKLM\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe
O4 - HKLM\..\Run: [ErrorSafe] C:\Programme\ErrorSafe\ers.exe /scan
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [mmtask] "C:\Programme\MusicMatch\MusicMatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [EEventManager] C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe
O4 - HKCU\..\Run: [_WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = C:\MSOffice\Office\MSOFFICE.EXE
O4 - Global Startup: Microsoft Office-Indexerstellung.lnk = C:\MSOffice\Office\FINDFAST.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Sinus 1054 data WLAN Manager.lnk = C:\Programme\DT\Sinus 1054 data\Wifiusb.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - https://tools.ebayimg.com/eps/wl/activex ... 0-3-17.cab
O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - https://h30155.www3.hp.com/ediags/gs/ins ... utions.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - https://tools.ebayimg.com/eps/activex/EP ... _v1-32.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - https://h30043.www3.hp.com/hpdj/en/check/qdiagh.cab?326
O18 - Protocol: bw+0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {42DC084D-2409-4052-8986-8C497791163F} - C:\Programme\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O21 - SSODL: OleExport - {C777CF73-124F-3562-44AC-E685D962C63C} - C:\WINDOWS\Media\CertMgr.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - TOWITOKO - German Technology - C:\WINDOWS\SCARDS32.EXE

Habt ihr n Tipp für mich, wie ich diese Datei los werde?

03.12.2007, 08:37

Moin @ RickDiver,
deaktiviere deine Systemwiederherstellung für diese Vorgänge, geh in den 'abgesicherten Modus' und fixe in HjT diese Einträge >

O4 - HKLM\..\Run: [ICQ Net] C:\WINDOWS\winlogon.exe -stealth

O4 - HKLM\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe

O4 - HKLM\..\Run: [ErrorSafe] C:\Programme\ErrorSafe\ers.exe /scan

O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"

O4 - HKCU\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe

O4 - HKCU\..\Run: [_WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe

O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe

Scanne erneut und überprüfe, ob diese Einträge weg sind.
Scanne auch noch einmal mit einem Viren- und einem Spywarescanner.

Suche Hilfe zu TR/PSW.Agent.HZ

Suche Hilfe zu TR/PSW.Agent.HZ

Mein Logfile mit Hijack

D A N K E !!!!!!!!!!!!!!!!! ( Ich glaub es nicht )

Ähnliche Themen

brauche hilfe!! suche Programm.

Hilfe!!ich suche was...

Hilfe. Ich suche ein Programm.

Suche Hilfe für Dban

TROJANER TR/AGENT.CX Hilfe!