Perfmon / router

Hallo
Habe seit gestern ein Problem mit Internet. Sowohl beim Firefox als auch im IExpl werden Seiten geöffnet ( meistens Spieleseiten )
Kann sich jemand bitte mal mein Logfile ansehen ?

Mein System : Windows Vista Premium Home mit SP1

Besten Dank

 

Hast du in den Internetoptionen einen Proxy eingerichtet?

Code:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

Über einen Proxy kann man auf beliebige Seiten umgeleitet werden.
Der FF übernimmt in der Regel die Netzwerkeinstellungen des IEs.

Was hat es mit der Software auf sich? Die ist möglicherweise der Auslöser für den Schlamassel. (Gratis-Software mit Nebelfolgen )

Code:

C:\Users\MaPa\AppData\Local\BeautifulEarth\Beautiful-Earth.exe

Im Taskmanager beenden, deinstallieren.

Schädlich, im abgesicherten Modus fixen:

Code:

O4 - HKUS\S-1-5-21-3040947464-3972819727-1479745801-1002\..\Run: [MSServer] rundll32.exe C:\Users\MaPa\AppData\Local\Temp\wvUlmjHa.dll,#1 (User 'MaPa')
O4 - HKUS\S-1-5-21-3040947464-3972819727-1479745801-1002\..\Run: [cmds] rundll32.exe C:\Users\MaPa\AppData\Local\Temp\vtUlJdAS.dll,c (User 'MaPa')
O4 - HKUS\S-1-5-21-3040947464-3972819727-1479745801-1002\..\Run: [MS Juan] rundll32 "C:\Users\MaPa\AppData\Local\Temp\thmflvba.dll",run (User 'MaPa')
O4 - HKUS\S-1-5-21-3040947464-3972819727-1479745801-1002\..\Run: [BM9b4d0476] Rundll32.exe "C:\Users\MaPa\AppData\Local\Temp\aboejdpu.dll",s (User 'MaPa')
O4 - HKUS\S-1-5-21-3040947464-3972819727-1479745801-1002\..\Run: [987e37ea] rundll32.exe "C:\Users\MaPa\AppData\Local\Temp\megaatcw.dll",b (User 'MaPa')
O23 - Service: perfmons Service (perfmons) - Unknown owner - C:\Windows\system32\perfs.exe
O23 - Service: Routing Service (Routing) - Unknown owner - C:\Windows\system32\routing.exe

Was bedeutet Fixen ?
http://members.linzag.net/680262/HJT/HijackThis.html#Was_bedeutet_FIXEN

 

Danke für FeedBack ( du hast mir ja schon ein paar mal geholfen ;-))
Dann mal los :
Ein Proxy ist weder im Iexpl noch im Firefox eingerichtet
Beautifull Earth habe ich deinstalliert obwohl ich eigentlich nicht glaube dass das der Verursacher ist. Aber .. sicher ist sicher
Die Dateien die du unter o4 erwähnt hast sind nicht mehr da ????? also nix zum fixen
aber : meine eigentlichen Sorgenkinder Prefmons und Router ( o23 ) verschwinden nicht auch nach Hijack und Fixen im abgesicherten Modus .
Habe das neue Log noch einmal angehängt
Gruss Braisha

 

O23-Einträge kann man mit Hijackthis fixen `delete NT-Services´ über `Misc Tools´
Alternativ geht das auch mit Windows Bordmitteln `zu Fuß´:
1. Diensteverwaltung aufrufen (Start-Ausführen) services.msc
2. betreffende Dienste anhalten, Starttyp deaktiviert einstellen
3. Registrierungszweig unter

Code:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]

löschen
4. Dateien löschen

 

Ich danke Dir
"Perfs" und "routing" sind weg. Dafür sind aber wieder die Dateien unter o4 erschienen
Ist das erledigt wenn ich einfach den Temp-Ordner lösche ?
Oder warum kommen die wieder

Gruss Braisha

 

Mit ATF-Cleaner im abgesicherten Modus mal säubern.
http://forum.hijackthis.de/showthread.php?t=22182

 

Danke
alles sauber
Gruss Braisha