Hijackthis Logfile

LurchiDerLurch · 28.06.2008, 15:28

Hallo!

Hab höchstwahrscheinlich nen Virus oder ähnliches!
Es kommt immer "Explorer.exe hat ein problem festgestellt und muss beendet werden"
oder die drwtsn32.exe hat ein problem festgestellt. Diese Meldungen kommen bei jedem Systemstart, folglich muss ich den explorer über den Taskmanager starten. ach meine Internetverbindung wurde in Mitleidenschaft gezogen, so ist es zeitweise nicht mehr möglich Seiten zu öffnen. Stattdessen öffnen sich werbeseiten von Anti Virenprogrammen und Online Poker Seiten. Ich hörte bereits, dass es sich um einen Trojan Vundo handeln könnte, daraufhin habe ich VundoFix installiert, welcher dann auch 8 Viren gefunden hat und diese beseitigt hat. Problem besteht aber immernoch. Formatieren nicht möglich, da selbst im abgesicherten Modus Systemabsturz.

hier das Log File:

Code:

 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:19:42, on 28.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dwwin.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.daemonsearch.com/intl/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: (no name) - {487C9905-26A8-42C8-8033-C58AD3D2AEC3} - C:\WINDOWS\system32\qoMdEXRL.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {9F5FD5B7-AD6D-4388-A262-E0F06260F5F6} - C:\WINDOWS\system32\byXOhIaA.dll
O2 - BHO: (no name) - {A28F7227-3837-48AD-9A26-FDFE5E6BF9A9} - C:\WINDOWS\system32\byXRkIAp.dll (file missing)
O2 - BHO: {f395c996-bdf0-b9b9-d5f4-4821a1dbb05a} - {a50bbd1a-1284-4f5d-9b9b-0fdb699c593f} - C:\WINDOWS\system32\ojifzw.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [90dc5f3c] rundll32.exe "C:\WINDOWS\system32\nqkyjdyl.dll",b
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1195305503960
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FE259B2-EF50-45F3-94E9-6331D1613356}: NameServer = 192.168.10.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B403116B-068B-4A7B-AEB1-37BB7BC570DC}: NameServer = 192.168.10.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{2FE259B2-EF50-45F3-94E9-6331D1613356}: NameServer = 192.168.10.1
O20 - AppInit_DLLs: hjwbhxjk.dll
O20 - Winlogon Notify: qoMdEXRL - C:\WINDOWS\SYSTEM32\qoMdEXRL.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6825 bytes

Bitte um Hilfe! ^^

Avira · 28.06.2008, 15:50

O2 - BHO: (no name) - {487C9905-26A8-42C8-8033-C58AD3D2AEC3} - C:\WINDOWS\system32\qoMdEXRL.dll

O2 - BHO: (no name) - {9F5FD5B7-AD6D-4388-A262-E0F06260F5F6} - C:\WINDOWS\system32\byXOhIaA.dll

O2 - BHO: (no name) - {A28F7227-3837-48AD-9A26-FDFE5E6BF9A9} - C:\WINDOWS\system32\byXRkIAp.dll (file missing)

O2 - BHO: {f395c996-bdf0-b9b9-d5f4-4821a1dbb05a} - {a50bbd1a-1284-4f5d-9b9b-0fdb699c593f} - C:\WINDOWS\system32\ojifzw.dll

O4 - HKLM\..\Run: [90dc5f3c] rundll32.exe "C:\WINDOWS\system32\nqkyjdyl.dll",b

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

O20 - AppInit_DLLs: hjwbhxjk.dll

O20 - Winlogon Notify: qoMdEXRL - C:\WINDOWS\SYSTEM32\qoMdEXRL.dll

Die Die mit 04 anfangen den Pfad bei Virus total Hochladen zb.

C:\WINDOWS\system32\nqkyjdyl.dll

Virus total : Virus Total KLICK

Und du hasst kein AntiVir wie ich es sehe lade dir Avira Free und mache ein vollständigen system scan.Alle Funde löschen.

Danach lädst du dir bei Windows Update Service Pack 3.

LurchiDerLurch · 28.06.2008, 16:11

Über dich liest man hier ja wenig gutes....

naja. Also eigentlich ist Norton installiert!

Und wieso sollte ich das da hochladen? Ich will die ja entfernen...

**julchri** · 28.06.2008, 17:45

Hallo,

das hier scheint schädlich zu sein, solltest Du fixen.

O2 - BHO: (no name) - {487C9905-26A8-42C8-8033-C58AD3D2AEC3} - C:\WINDOWS\system32\qoMdEXRL.dll

Die anderen Sachen sind unnötig. Du kannst es aber hier auf dieser Seite selbst überprüfen und auch fixen.

LurchiDerLurch · 28.06.2008, 18:17

Okay! Danke julchri! Die Seite kannte ich noch nicht...

Wie entfern ich das jetzt eigentlich? weis nicht ob ich mich doof anstell grad aber... ^^

**julchri** · 28.06.2008, 18:24

Natürlich stellst Du Dich nicht doof an.
Also, Du machst nochmal ein Logfile mit HijackThis, da erscheint dann unten links der Button Fix checked.
Du markierst die Sachen, die Du entfernen willst und dann da drauf klicken.
Aber aufpassen, dass Du nichts verkehrtes markierst.

Außerdem würde ich einen kompletten Virenscan machen, Ccleaner, Spybot drüber laufen lassen.
Danach noch mal ein Logfile machen und überprüfen.

Sie betrachten gerade: Hijackthis Logfile