Ich weiß nicht weiter *verzweifel*

[Dominik920]

Hallo Leute.

Am 8. Mai hatte ich schonmal eure Hilfe aufgesucht. Da ging es um eine Startseite die sich nicht ändern lies.

Das war dieser Thread hier:
http://forum.computerbetrug.de/viewtopic.php?p=53987#53987

Dieses problem ist immer wieder aufgetreten.
Wenn ich das System mit Hijack This scanne kommt das dabei heraus:

Logfile of HijackThis v1.97.7
Scan saved at 15:31:13, on 20.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Norton AntiVirus\navapsvc.exe
D:\NORTON~1\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Xfire.exe
D:\Motherboard Monitor 5\MBM5.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe
C:\Programme\jalcds\jalcds.exe
D:\CloneCD\CloneCDTray.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\windows\winlogon.exe
C:\Programme\ClockSync\Sync.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\GetRight\getright.exe
C:\Program Files\Internet Optimizer\actalert.exe
D:\ICQ 2002a\ICQ.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Avant Browser\iexplore.exe
D:\CinergyTV\TerraTV App.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ohgofha.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ohgofha.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ohgofha.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ohgofha.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ohgofha.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ohgofha.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {E4FAC0BA-39CB-4E3E-AF13-43D0CD7CA3DC} - C:\WINDOWS\System32\ohgofha.dll
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem216.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Xfire] Xfire.exe /minimize
O4 - HKLM\..\Run: [MBM 5] "D:\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe
O4 - HKLM\..\Run: [jaLCDs] C:\Programme\jalcds\jalcds.exe wait
O4 - HKLM\..\Run: [CloneCDTray] "d:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
O4 - HKCU\..\Run: [ClockSync] C:\Programme\ClockSync\Sync.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: GetRight - Tray Icon.lnk = D:\GetRight\getright.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Download with GetRight - D:\GetRight\GRdownload.htm
O8 - Extra context menu item: Hervorheben - D:\Avant Browser\Highlight.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\GetRight\GRbrowse.htm
O8 - Extra context menu item: Suchen - D:\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\Avant Browser\OpenAllLinks.htm
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_42.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D3B3E99-5C12-4032-918A-39AC35767AA0}: NameServer = 192.168.0.1

Ist auch alles kein Thema.. ich lösche die sachen auch immer wie ihr mir das in dem anderen Thread erklärt habt.

Aber wieso kommt der mist immer wieder? Das könnt ich jeden Tag machen. Und wieso sind das immer Dateien mit anderen Namen?

Manchmal öffnet sich auch ein Popup indem steht das ich Spyware aufm Rechenr hab und das ich sonne anti spyware software ziehen kann wenn ich auf den Link im Popup drücke. (Was ich nicht getan habe)
Selbst Windows hat das ding schon "infiltriert".

Heute habe ich was bei den Benutzerkonten geändert. Da diese sachen alle son büschl mitm IE zusammenhängen kam da erstmal nicht das was ich sehen wollte, sondern da kam diese komsiche startseite.
Das ist total merkwürdig, das "ding" treibt mich in den wahnsinn.

Ich kann tun was ich will. Es geht nicht weg.
Ich kann das System mit Norton AV scannen, mit AdAware 6, Anti Trojan etc. Die Progs finden entweder garnichts oder wennse was finden bringts nichts die sachen zu löschen.

Im Hintergrund läuft auch irgendwie son "Internet Optimizier" und sonne "ISTBar" und son "ClockSync" oder so welches mir per Popup sagt das meine Windows Uhr falsch geht^^ Obwohl das nciht der fall ist. Ich weiß nicht wo der scheiß herkommt. Und löschen bringt nichts.. Die sind nach nem ReBoot wieder da.

Bitte Helft mir... ich dreh sonst durch

Womit habe ich es hier zutun?

*verzweifel*

please help...

 

[virenscanner]

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ohgofha.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ohgofha.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ohgofha.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ohgofha.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ohgofha.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ohgofha.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {E4FAC0BA-39CB-4E3E-AF13-43D0CD7CA3DC} - C:\WINDOWS\System32\ohgofha.dll
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem216.dll
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe

Obige Einträge alle fixen...

zu

und son "ClockSync" oder so welches mir per Popup sagt das meine Windows Uhr falsch geht

Dieses

O4 - HKCU\..\Run: [ClockSync] C:\Programme\ClockSync\Sync.exe

fixen, falls Du es entfernen willst.

Edit: Schick mal die "c:\windows\winlogon.exe" an [email protected]

 

[Dominik920]

Jau.. werde ich gleich fixen...

Die Datei hab ich an die Adresse geschickt.

Da fällt mir noch was zu winlogon ein...

Da wurde mir manchmal nen C++ Runtime Fehler in winlogon.exe angezeigt...

 

[virenscanner]

Handelte es sich bei der mir zugemailten Datei um die Winlogon.exe aus dem Verzeichnis C:\WINDOWS oder aus dem Verzeichnis C:\WINDOWS\SYSTEM32?

 

[Dominik920]

Is die aus C:\Windows

 

[Dominik920]

So.
ich hab den ganzen shice jez Manuell im Abgesicherten Modus gelöscht.

Auch die Winlogon.exe aus C:\Windows da diese nachweisbar nicht von Microsoft ist.

Jetzt sieht das Log so aus:

Logfile of HijackThis v1.97.7
Scan saved at 17:23:52, on 20.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Xfire.exe
D:\Motherboard Monitor 5\MBM5.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe
C:\Programme\jalcds\jalcds.exe
D:\CloneCD\CloneCDTray.exe
D:\GetRight\getright.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Common\Bin\WinCinemaMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Norton AntiVirus\navapsvc.exe
D:\NORTON~1\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {496209BD-C9E6-460A-9192-6D6F213004BC} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Xfire] Xfire.exe /minimize
O4 - HKLM\..\Run: [MBM 5] "D:\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe
O4 - HKLM\..\Run: [jaLCDs] C:\Programme\jalcds\jalcds.exe wait
O4 - HKLM\..\Run: [CloneCDTray] "d:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: GetRight - Tray Icon.lnk = D:\GetRight\getright.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Download with GetRight - D:\GetRight\GRdownload.htm
O8 - Extra context menu item: Hervorheben - D:\Avant Browser\Highlight.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\GetRight\GRbrowse.htm
O8 - Extra context menu item: Suchen - D:\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\Avant Browser\OpenAllLinks.htm
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_42.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D3B3E99-5C12-4032-918A-39AC35767AA0}: NameServer = 192.168.0.1

 

[virenscanner]

O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll

Würde ich auch noch fixen...

 

[Dominik920]

Jo danke... is schon passiert

Ihr seid echt spitze !