Fixe doch einfach mal im abgesicherten Modus.
Eventuell findest du einen Treiber im Gerätemanager ("ausgeblendete Geräte anzeigen" aktivieren) und dann unter nichtPnP-Treiber gucken.
---------------------------------------------

Brauchst du den ganzen Kram von Adobe und Nero im Autostart?
Dazu noch BHO´s und Toolsbars, obwohl du den IE anscheinend nicht nutzt.

Das wären dann:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe (eventuell im Benutzerkonto mit eingeschr. Rechten nötig!)

unnötig sind auch:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll

Weitere Sachen zum Fixen, wären dann Sachen, wenn du sie gar nicht selbst nutzt:

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ Lite_5\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ Lite_5\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com

Dann solltest du mal genau überlegen, ob

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

dich vor Gefahren eher bewahrt oder sogar verunsichert hat und damit neue heraufbeschwört, z.B. durch Fehlbedienung.
Ich hatte die Sygate über ein Jahr am laufen und ich war lange Zeit aufgrund der zahlreichen und wenig durchschaubaren Meldungen verunsichert und es konnten auch keine echten Angriffe abgewehrt werden, weil das BS und die Programme (relativ) sicher konfiguriert sind und stets aktuell gehalten werden. Gegen Gefahren aus dem Inneren des PC kann Sicherheitssoftware nicht wirklich schützen, wenn blindlings Software installiert oder das unkontrollierte Installieren zugelassen wird (z.B. empfohlene Einstellungen anstelle Benutzerdefiniert oder das Übersehen von Adware/Spywarekomponenten, die in der EULA auch noch angekündigt werden) und dann hinterher Anwendungen, die als Wirt dienen, der Zugriff doch erlaubt ist.
Ich habe die Sygate trotzdem bis zum Neuaufsetzen des BS weiterlaufen lassen, um mich mit ihren Abwehrmöglichkeiten auseinanderzusetzen. Sie hat zwar auch gute Ansätze, wie eine umfangreiche Protokollierung des Traffics, geringen Ressourcenbedarf und hohe Kompatibilität. Das hat aber relativ wenig mit Gefahrenabwehr zu tun und ist mit diversen OpenSource- oder Freewaresystemtools auch zu regeln und das mit minimalen Eingriffen in das System.
Dazu war mir die Konfiguration der Filter mit Regeln einfach zu stressig.
Ohne eine korrekte und sinnvolle Konfiguration ist jede Sicherheitssoftware selbst ein Sicherheitsrisiko! Und dazu muss man auch diese noch zusätzlich pflegen und überwachen.

>WINDOWS XP Home SP1 (find ich besser)

Aber nur bis zum 30.06.2006. Danach gibt es nämlich keine Updates/Patches von MS dafür.

Du kannst dich aber schon mal bis dahin auf das Neuaufsetzen vorbereiten, indem du das SP2 oder falls es vorher noch rauskommt, SP3 in die XP-Installations-CD integrierst.
Einfach Updaten kann ja jeder.
Ist keine XP Installations-CD vorhanden (Recovery-CD) solltest du dein frisch aufgesetztes und konfiguriertes XP als Abbild (Image) sichern. Ansonsten wiederholst du die Prozedur immer wieder.

Hallo,

also erstmal ein fettes Danke für die recht präzisen und genauen Antworten!!!!!! G

Nun unter dem Geräte-Manger unter nichtPnP Treiber (p.s SSDP Dienst ist bereits deaktiviert!?) kann ich nichts finden was ich noch rausschmeißen könnte, zumindest weis ich auch nicht was ich da entfernen bzw deaktivieren kann!???

Mit der Sygate bin ich seid Jahren zufrieden, mich hat auf jeden Fall noch keiner verhaftet!!!
muahhh

Das mit den System Recourcen find ich auch geil bei dem Teil + updaten!!!

Also habe Sachen wie:

• NDIS User Mode I/O driver
• Application Layer Gateway
• LSA Shell (Export Version)
• NT Kernel & System - brauche ich nur für Outlook2003 & Kaspersky update

Deaktiviert!
Aber nun gut man lernt Nie aus. Was könntet Ihr empfehlen??!
Und unter Optionen alles angeschaltet!

„Ist keine XP Installations-CD vorhanden (Recovery-CD) solltest du dein frisch aufgesetztes und konfiguriertes XP als Abbild (Image) sichern. Ansonsten wiederholst du die Prozedur immer wieder.“

Ja ist klar, Danke noch mal für den Tipp, werde mir dann mal soo langsam eine XP SP2 cd besorgen!!! Habe vorher auch immer den PC komplett platt gemacht und neu aufgesetzt. Nur jetzt wo er wieder kam hatte ich kein Bock,….

(hier sollte eigentlich eine Grafik hin, weiß aber nicht mehr wie des geht)

So nun in den abgesicherten Modus:
HiJackThis.log:

Logfile of HijackThis v1.99.1
Scan saved at 15:12:39, on 27.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HijackThis v1.99.1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Programme\FileZilla Server beta 0.9.10\FileZilla Server Interface.exe"
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ Lite_5\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ Lite_5\ICQLite.exe
O9 - Extra button: MedionShop - {A4E622F2-E8B8-4D8A-85BF-BEF80767C7C4} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{47D564DF-C60B-451D-9BD4-0922260AE2FC}: NameServer = 10.128.128.1
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\FileZilla Server beta 0.9.10\FileZilla Server.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe


Nach dem fixen:

Logfile of HijackThis v1.99.1
Scan saved at 15:21:19, on 27.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HijackThis v1.99.1\HijackThis.exe

O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Programme\FileZilla Server beta 0.9.10\FileZilla Server Interface.exe"
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{47D564DF-C60B-451D-9BD4-0922260AE2FC}: NameServer = (IP) geändert madball
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\FileZilla Server beta 0.9.10\FileZilla Server.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

So ich hoffe das ich euren Rat richtig befolgt habe und alles richtig gemacht habe!!!!?
Dieser Wert ist immer noch gesetzt: Ist aber auf der Platte nirgends mehr zu finden, da habe ich schon aufgeräumt. Dürfte eigentlich nichts mehr anhaben…..
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)

Mit freundlichen Grüßen
Madball MR

ahhhh

muss das im abgesicherten Modus durchgeführt werden??
Muss man eigentlich mit HiJackThis immer im abdesicherten Modus arbeiten???

yes of course thank you dedie!!!

Aber des weiteren bräuchte ich mal euer Wissen ob mein HiJackThis.log jetzt in Ordnung ist!!!???

Danke im Voraus

Einen Dienst kann man auch unter services.msc abschalten und deaktivieren.
Dann ist er zwar noch installiert, aber stillgelegt.

Manche besonders hartnäckige Einträge habe ich meist mit Regcool wegbekommen. Das ist ein erweiterter Registryeditor mit einer erstklassigen Suchfunktion, die alle Einträge eines bestimmten oder mehrerer Suchwörter auflistet und in einem Rutsch die gefundenen Einträge löschen kann.

Nach einem Neustart sollte dann auch wirklich alles davon weg sein.
Aber vorsicht: Vor dem Einsatz die gesamte Registry sichern.
Das kann man zwar mit dem Tool auch (glaube ich) aber sicherer ist das mit ERUNT, weil man damit die Registry auch wiederherstellen kann, wenn Windows nicht mehr startet, und dann nutzt einem eine Sicherung nichts, die nur unter Windows wiederhergestellt werden kann.
Man kann auch einen Systemwiederherstellungspunkt in XP setzten, aber darauf würde ich mich nicht unbedingt verlassen.

Zitat:

Original von deoroller Einen Dienst kann man auch unter services.msc abschalten und deaktivieren. Dann ist er zwar noch installiert, aber stillgelegt...

Kurzer Halb-OffTopic-Einwurf:
Das ist dann aber genau das Ergebnis, welches sich mittels 'fixen' in HiJackThis auch erzielen lässt. Deswegen mein Hinweis von gestern...