ylikegsa.exe = malware?

17.02.2005, 20:03
Member

Beiträge: 28
#1 Hi Leute, ich glaube ich bekomme mein Problem langsam in den Griff.

Kann mir jemand mal sagen wie ich die ylikegsa.exe loswerde. Im Ordner Windows/system32/.. bekomme ich die datei nicht angezeigt. Auch eine Suche mit dem Explorer blieb ergebnislos. Ich weiss das ich im Dezember das selbe Problem hatte. Die Löschung hatte ich nach Anleitung einer Userin durchgeführt. War recht umfangreich. Bekomme ich jedenfalls alleine nicht hin.

Hilft mir jemand????

Hier noch einmal das Log

running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe
C:\Programme\T-Eumex KommunikationsCenter\sndml.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\WINDOWS\System32\ylikegsa.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\T-Online\ISDN SpeedManager\tomcat.exe
C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe
C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe
C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Opera7\Opera.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Downloads\HiJackThis\HijackThis.ex e

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.roggensäcke.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [strtfx] "C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe"
O4 - HKLM\..\Run: [sndml] "C:\Programme\T-Eumex KommunikationsCenter\sndml.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe
O4 - HKLM\..\Run: [FLMBROWSERMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [cvlnavm] C:\WINDOWS\System32\ylikegsa.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\tomcat.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [LauncherStart] "C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe"
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F679C9CA-077C-4D27-9006-4563EA15CE8A}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Kodak Camera Connection Software - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: VeriSign Updater - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PsShutdown - Unknown - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: CHIPDRIVE SCARD Service - SCM Microsystems - C:\WINDOWS\SCARDS32.EXE

Und ein weiterer Scan

Service load:
0% 100%
File: PSSDNSVC.EXE
Status:
OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
None

AntiVir
No viruses found (0.83 seconds taken)
Avast
No viruses found (3.01 seconds taken)
AVG Antivirus
No viruses found (1.43 seconds taken)
BitDefender
No viruses found (0.97 seconds taken)
ClamAV
No viruses found (1.21 seconds taken)
Dr.Web
No viruses found (1.30 seconds taken)
F-Prot Antivirus
No viruses found (0.09 seconds taken)
Fortinet
No viruses found (0.41 seconds taken)
Kaspersky Anti-Virus
No viruses found (1.00 seconds taken)
mks_vir
No viruses found (0.25 seconds taken)
NOD32
No viruses found (0.48 seconds taken)
Norman Virus Control
No viruses found (0.71 seconds taken)
Seitenanfang Seitenende
17.02.2005, 20:34
Member
Avatar Malkesh

Beiträge: 669
#2 Lade folgende Programme herunter und update sie:

AdAware
http://www.lavasoft.de/support/download/
Spybot S&D
http://www.safer-networking.org/de/download/index.html
eScan
http://www.mwti.net/antivirus/free_utilities.asp


Erster Schritt:

Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren!


Diagnose und Vorbereinigung:

Deaktiviere den Virenwächter, falls vorhanden, und führe mit AdAware und Spybot S&D im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten) einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken)
(DSO Exploit im Spybot S&D kannst Du vernachlässigen, ist ein Bug im Programm. Wenn Du willst, kannst Du ihn mit dem Fix von hier beseitigen, ist für die Funktion von Spybot aber nicht notwendig).

Lese dir aufmerksam die Informationen auf folgender Seite zu eScan durch:
http://www.trojaner-info.de/hijacker/escan.shtml
Update und scanne mit eScan entsprechend der Beschreibung für die Version 4.5.1 oder jünger von trojaner-info.

Setze im eScan alle Häkchen, außer bei "Folder" und wähle bei "Drives" "All Local Drives" aus und ein paar Zeilen darunter "Scan All Files" anstelle von "Program Files". Drücke dann den Scan-Button um den Vorgang zu starten (das kann je nach Größe deiner Festplatten ziemlich lange dauern, aber unbedingt zu Ende scannen lassen und nicht abbrechen!).

Lass dir danach das eScan-Log anzeigen und speichere es ab. Öffne es mit dem Editor und suche per Suchfunktion nach "infected". Kopiere alle betroffenen Zeilen vollständig und poste sie hier im Forum (komlpetter Pfad + Datei, sowie Art der Infektion!)
Virenwächter danach wieder aktivieren!


HijackThis-Einträge:

Weiterhin im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten):
scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken)

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.roggensäcke.de/ wenn unbekannt, fixen
O4 - HKLM\..\Run: [cvlnavm] C:\WINDOWS\System32\ylikegsa.exe fixen
O4 - Global Startup: CAPIControl.lnk = ? fixen
O4 - Global Startup: HomeNet Control.lnk = ? fixen
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) fixen
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) fixen
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab fixen
O23 - Service: PsShutdown - Unknown - C:\WINDOWS\System32\PSSDNSVC.EXE fixen
Kennst du folgende Programme mit zugehörigen Einträgen? Bitte gib dazu eine Rückmeldung.

Zitat

O4 - HKLM\..\Run: [strtfx] "C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe"
O4 - HKLM\..\Run: [sndml] "C:\Programme\T-Eumex KommunikationsCenter\sndml.exe"
O4 - HKLM\..\Run: [FLMBROWSERMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKCU\..\Run: [LauncherStart] "C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe"
Versteckte und geschützte Systemdateien im Explorer anzeigen

Öffne den Windows Explorer.
Gehe auf Extras -> Ordneroptionen... -> Ansicht

Haken entfernen:
"Geschützte Systemdateien ausblenden (empfohlen)"
sowie auswählen:
"Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen"

Nun solltest du im Explorer alle Dateien finden können.
Scanne daraufhin am besten einmal die ylikegsa.exe hier: http://virusscan.jotti.org/

Erstelle danach ein neues HijackThis-Log und poste es zusammen mit den anderen angeforderten Informationen (eScan-Ergebnisse, HijackThis-einträge, jotti-Scan ...).
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Dieser Beitrag wurde am 17.02.2005 um 20:34 Uhr von Malkesh editiert.
Seitenanfang Seitenende
18.02.2005, 14:30
Member

Themenstarter

Beiträge: 28
#3 Habe alle Schritte von Malkesh durchgeführt

HijackThis-Einträge:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.roggensäcke.de/ wenn unbekannt, fixen
Dabei handelt es sich um meine eigen Homepage

O4 - HKLM\..\Run: [cvlnavm] C:\WINDOWS\System32\ylikegsa.exe fixen
War im LogFile nicht mehr vorhanden

O4 - Global Startup: CAPIControl.lnk = ? fixen
O4 - Global Startup: HomeNet Control.lnk = ? fixen
Habe die gefixt, war aber keine gute Idee, sind für mein INet-Zugang notwendig, habe ich aber wieder hinbekommen

09 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) fixen
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) fixen
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab fixen
erledigt

O23 - Service: PsShutdown - Unknown - C:\WINDOWS\System32\PSSDNSVC.EXE fixen
gefixt, ist aber wieder da. siehe LogFile

O4 - HKLM\..\Run: [strtfx] "C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe"
O4 - HKLM\..\Run: [sndml] "C:\Programme\T-Eumex KommunikationsCenter\sndml.exe"
O4 - HKLM\..\Run: [FLMBROWSERMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKCU\..\Run: [LauncherStart] "C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe"

ausser mouse32a.exe werden diese für meine Telefonanlage benötigt.
Die mouse... wird wahrscheinlich für meine Medion Mouse sein.

escan
Wed Feb 16 20:24:34 2005 => File C:\WINDOWS\NDNuninstall6_10.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Tak
Wed Feb 16 20:24:34 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Take
Fri Feb 18 00:38:13 2005 => File C:\Dokumente und Einstellungen\All Users\Dokumente\Downloads\Winamp\Winamp 5.05Final + patch-ITA- + mIRC plugin + MDesktop v1.0.2 + streamripper v1.54 + keyg*hier nicht* ][by_neo.rar infected by "Trojan-Dropper.Win32.Delf.fl" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:50 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\023410EF infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:50 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\02685496 infected by "Trojan-Spy.Win32.Briss.e" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:50 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\07E12C1E infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0C044187 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0CB846C2 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0CCA2B22 infected by "Email-Worm.Win32.NetSky.q" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0E305155 infected by "not-a-virus:porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0E337B51 infected by "not-a-virus:porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0E545B92 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:52 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0EDD3EFB infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:52 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\15141155 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:52 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\194A5F3A infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:52 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\19A35575 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:52 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1A0D3663 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:53 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1CC4062B infected by "Trojan-Dropper.Win32.Delf.z" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:53 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1DDA0881 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:54 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\248C7C7E infected by "Trojan-Clicker.Win32.Delf.r" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:54 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\248F267B infected by "Trojan-Spy.Win32.Briss.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:54 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\24925077 infected by "Trojan-Downloader.Win32.IstBar.er" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:55 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\272F4DB4 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:55 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\309B5B92 infected by "not-a-virus:pornWare.Dialer.Star" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:55 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\34F725AE infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:55 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\35D876B6 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:56 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\39CD329F infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:56 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\409B75FE infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:56 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\439B46F6 infected by "Trojan-Spy.Win32.Briss.j" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:57 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\448E33AB infected by "not-a-virus:porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:57 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\45AA1DD4 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:57 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\48303295 infected by "Trojan-Downloader.Win32.IstBar.er" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:57 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\484E4AB0 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:57 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\488E6087 infected by "not-a-virus:AdWare.BiSpy.n" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:57 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\49366FB1 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:58 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\53C16E94 infected by "Trojan-Spy.Win32.Briss.j" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:58 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\568B7189 infected by "not-a-virus:pornWare.Dialer.Star" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:58 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\582F069F infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:58 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\591157A7 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:59 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\5F83111D infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:59 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6A9722D3 infected by "Trojan-Downloader.JS.gen" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:59 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\73CE1D96 infected by "Trojan.Win32.StartPage.sv" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:59 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\77A463FC infected by "not-a-virus:pornWare.Dialer.Star" Virus. Action Taken: No Action Taken.
Fri Feb 18 02:55:09 2005 => Scanning Folder: F:\My Shared Folder\Goa\infected mushroom\*.*
Fri Feb 18 02:55:09 2005 => Scanning File F:\My Shared Folder\Goa\infected mushroom\GOA - Infected Mushroom - Crazy D.mp3
Fri Feb 18 02:55:09 2005 => Scanning File F:\My Shared Folder\Goa\infected mushroom\Infected Mushroom - BP Empire.mp3
Fri Feb 18 02:55:09 2005 => Scanning File F:\My Shared Folder\Goa\infected mushroom\infected mushroom - expose.mp3
Fri Feb 18 02:55:10 2005 => Scanning File F:\My Shared Folder\Goa\infected mushroom\Infected Mushroom - Gamma Goblins (remix).mp3
Fri Feb 18 02:55:10 2005 => Scanning File F:\My Shared Folder\Goa\infected mushroom\Infected Mushroom - None of This is Real.mp3
Fri Feb 18 02:55:10 2005 => Scanning File F:\My Shared Folder\Goa\infected mushroom\Infected Mushroom - Twisted.mp3
Fri Feb 18 02:55:10 2005 => Scanning File F:\My Shared Folder\Goa\infected mushroom\Infected Mushroom - Xerox Gravity Waves.mp3
Fri Feb 18 02:55:10 2005 => Scanning File F:\My Shared Folder\Goa\infected mushroom\Infected Mushroom Pussy Trance GOA.mp3
Fri Feb 18 02:55:10 2005 => Scanning File F:\My Shared Folder\Goa\infected mushroom\space cat & infected mushroom - cat on mushroom.mp3
Fri Feb 18 02:55:26 2005 => Scanning File F:\My Shared Folder\Goa\Yahel\Yahel.&.Infected.Mushroom.-.Live.@.Japan.Goa.mp3
Fri Feb 18 03:02:56 2005 => Scanning Folder: F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\*.*
Fri Feb 18 03:02:56 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 01 - Hell Song.mp3
Fri Feb 18 03:02:57 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 02 - Over My Head.mp3
Fri Feb 18 03:02:57 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 03 - My Direction.mp3
Fri Feb 18 03:02:57 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 04 - Still Waiting.mp3
Fri Feb 18 03:02:57 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 05 - Asshole.mp3
Fri Feb 18 03:02:57 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 06 - Yesterday.Com.mp3
Fri Feb 18 03:02:57 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 07 - All Messed Up.mp3
Fri Feb 18 03:02:57 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 08 - Mr. Amsterdam.mp3
Fri Feb 18 03:02:57 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 09 - Thanks For Nothing.mp3
Fri Feb 18 03:02:57 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 10 - Hyper-Insomnia.mp3
Fri Feb 18 03:02:57 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 11 - Billy Spleen.mp3
Fri Feb 18 03:02:57 2005 => Scanning File F:\My Shared Folder\Rock\Sum41\Sum 41 - Does This Look Infected\Sum 41 - Does This Look Infected - 12 - Hooch.mp3

so, habe alles befolgt. Hier kommt noch das LogFile. Die YLIKEGSA.EXE kann ich nicht mehr finden. Ist im Log auch nicht aufgeführt. Ist es die PSSDNSVC:EXE??
Habe hier etwas gefunden

http://www.meduniwien.ac.at/itsc/howtos/sicherheitstipps/rmworm/rmWorm.txt

LogFile

Logfile of HijackThis v1.99.1
Scan saved at 13:26:49, on 18.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe
C:\Programme\T-Eumex KommunikationsCenter\sndml.exe
C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\Programme\T-Online\ISDN SpeedManager\tomcat.exe
C:\Programme\Canon\MultiPASS4\MPTBox.exe
C:\WINDOWS\System32\RunDLL32.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe
C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Canon\MultiPASS4\MPDBMgr.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Downloads\HiJackThis\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.roggensäcke.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [strtfx] "C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe"
O4 - HKLM\..\Run: [sndml] "C:\Programme\T-Eumex KommunikationsCenter\sndml.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe
O4 - HKLM\..\Run: [FLMBROWSERMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\tomcat.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [MPTBox] C:\Programme\Canon\MultiPASS4\MPTBox.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKCU\..\Run: [LauncherStart] "C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Unknown owner - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - SCM Microsystems - C:\WINDOWS\SCARDS32.EXE

wie gesagt, ich habe die Datei gelöscht und nach dem hochfahren war die PSSDNSVC.EXE wieder da.

Gruß

Roggi
Seitenanfang Seitenende
18.02.2005, 17:23
Member
Avatar Malkesh

Beiträge: 669
#4

Zitat

Fri Feb 18 01:45:50 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\023410EF infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:50 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\02685496 infected by "Trojan-Spy.Win32.Briss.e" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:50 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\07E12C1E infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0C044187 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0CB846C2 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0CCA2B22 infected by "Email-Worm.Win32.NetSky.q" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0E305155 infected by "not-a-virusorn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0E337B51 infected by "not-a-virusorn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:51 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0E545B92 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:52 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0EDD3EFB infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:52 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\15141155 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:52 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\194A5F3A infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:52 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\19A35575 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:52 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1A0D3663 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:53 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1CC4062B infected by "Trojan-Dropper.Win32.Delf.z" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:53 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1DDA0881 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:54 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\248C7C7E infected by "Trojan-Clicker.Win32.Delf.r" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:54 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\248F267B infected by "Trojan-Spy.Win32.Briss.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:54 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\24925077 infected by "Trojan-Downloader.Win32.IstBar.er" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:55 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\272F4DB4 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:55 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\309B5B92 infected by "not-a-virusornWare.Dialer.Star" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:55 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\34F725AE infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:55 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\35D876B6 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:56 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\39CD329F infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:56 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\409B75FE infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:56 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\439B46F6 infected by "Trojan-Spy.Win32.Briss.j" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:57 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\448E33AB infected by "not-a-virusorn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:57 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\45AA1DD4 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:57 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\48303295 infected by "Trojan-Downloader.Win32.IstBar.er" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:57 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\484E4AB0 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:57 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\488E6087 infected by "not-a-virus:AdWare.BiSpy.n" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:57 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\49366FB1 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:58 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\53C16E94 infected by "Trojan-Spy.Win32.Briss.j" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:58 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\568B7189 infected by "not-a-virusornWare.Dialer.Star" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:58 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\582F069F infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:58 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\591157A7 infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:59 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\5F83111D infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:59 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6A9722D3 infected by "Trojan-Downloader.JS.gen" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:59 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\73CE1D96 infected by "Trojan.Win32.StartPage.sv" Virus. Action Taken: No Action Taken.
Fri Feb 18 01:45:59 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\77A463FC infected by "not-a-virusornWare.Dialer.Star" Virus. Action Taken: No Action Taken.
Wie du siehst steckt jede Menge Ungeziefer in der Norton Quarantaine, diese Dateien am besten alle löschen. Die mp3's mit "infected" im Interpret/Titel sind natürlich ungefährlich ;)


CWShredder

Besorge dir den CWShredder
http://cwshredder.net/bin/CWShredder.exe
Scanne damit dein System und bereinige eventuelle Funde (bitte melden, wenn er fündig wird).


HijackThis-Einträge:

Weiterhin im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten):
scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken)

Zitat

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O23 - Service: PsShutdown (PsShutdownSvc) - Unknown owner - C:\WINDOWS\System32\PSSDNSVC.EXE
Löschen von infizierten Dateien

KillBox
http://www.bleepingcomputer.com/files/killbox.php

Öffne die Killbox => Delete File on Reboot => und kopiere nacheinander die nachfolgenden Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usw. bis zur letzten Datei, dann mit "yes" antworten

Zitat

C:\WINDOWS\NDNuninstall6_10.exe
C:\WINDOWS\NDNuninstall6_22.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Downloads\Winamp\Winamp 5.05Final + patch-ITA- + mIRC plugin + MDesktop v1.0.2 + streamripper v1.54 + keyg*hier nicht* ][by_neo.rar
C:\WINDOWS\System32\PSSDNSVC.EXE
Führe nach dem Löschen und fixen am besten noch einmal einen Scan mit der gleichen Vorgehensweise wie bereits oben beschrieben durch und poste die Ergebnisse wieder zusammen mit einem neuen HijackThis-Log.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Dieser Beitrag wurde am 18.02.2005 um 17:36 Uhr von Malkesh editiert.
Seitenanfang Seitenende
18.02.2005, 19:07
Member

Themenstarter

Beiträge: 28
#5 @ Malkesh

Soll der CWShreder auch im abgesicherten Modus laufen?

Gruß

Roggi
Seitenanfang Seitenende
18.02.2005, 19:16
Member
Avatar Malkesh

Beiträge: 669
#6 Scans und fixes etc. generell im abgesicherten Modus.
Im normalen Modus könnte es sonst passieren, dass durch irgendwelche 'Nutzungen' der Zugriff blockiert ist. Sollte jedoch auch im abgesicherten Modus mal eine Zugriffsverweigerung auftreten, versuchen über den Taskmanager den entsprechenden Prozess zu beenden.

HijackThis-Einträge ebenfalls im abgesicherten fixen, scannen jedoch im normalen Modus (dadurch bekommt man einen besseren Überblick, was alles drauf is, weil im normalen Modus mehr geladen wird als nur das Grundgerüst)
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Dieser Beitrag wurde am 18.02.2005 um 19:17 Uhr von Malkesh editiert.
Seitenanfang Seitenende
18.02.2005, 20:51
Member

Themenstarter

Beiträge: 28
#7 @ Malkesh

das Sytem läuft, ich komme wieder mit Firewall ins INET.

Die PSSDNSVC.EXE hatte ich bereits mit rmworm beseitigt.
Die 023-service:psShutdown (PSShutdownSvc) - Unkown owner-
war überhaupt nicht vorhanden.

Bei KillBox

C:\WINDOWS\NDNuninstall6-10.exe
C:\WINDOWS\NDNuninstall6-22.exe

Waren auch nicht vorhanden. Dafür gab es eine NDNuninstall6-30.exe, die ich aber gleich mit KillBox gelöscht hatte.

Soll ich noch irgendwelche Scanner rüberlaufen lassen??

Total geil, ich hätte total lust Dir einen auszugeben.


Hier nochmal:
Logfile of HijackThis v1.99.1
Scan saved at 20:38:07, on 18.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe
C:\Programme\T-Eumex KommunikationsCenter\sndml.exe
C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\Programme\T-Online\ISDN SpeedManager\tomcat.exe
C:\Programme\Canon\MultiPASS4\MPTBox.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe
C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exe
C:\Programme\Opera7\Opera.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Downloads\HiJackThis\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.roggensäcke.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [strtfx] "C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe"
O4 - HKLM\..\Run: [sndml] "C:\Programme\T-Eumex KommunikationsCenter\sndml.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe
O4 - HKLM\..\Run: [FLMBROWSERMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\tomcat.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [MPTBox] C:\Programme\Canon\MultiPASS4\MPTBox.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKCU\..\Run: [LauncherStart] "C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Capictrl.exe.lnk = C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe
O4 - Global Startup: HNetCtrl.exe.lnk = C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - SCM Microsystems - C:\WINDOWS\SCARDS32.EXE

Kannst Du mir noch mal erklären, was das fixen ist/bewirkt??
Poste bitte unbedingt eine Antwort.

Gruß

Roggi
Dieser Beitrag wurde am 18.02.2005 um 20:59 Uhr von Roggi01 editiert.
Seitenanfang Seitenende
18.02.2005, 21:24
Member
Avatar Malkesh

Beiträge: 669
#8 Wunderbar, das Logfile sieht jetzt sauber aus. Wenn weder Adaware, Spybot noch eScan weiter fündig geworden sind, hast du's wohl überstanden (deine Symptome sind ja auch weg).

Zu deiner Frage: HijackThis scannt die Windows Registry auf Schlüssel und Werte die von Malware oft verändert/angegriffen werden und zeigt diese an.
Das fixen bedeutet also nichts anderes als unerwünschte Einträge zu löschen (z.B. autorun ...).
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
19.02.2005, 20:02
Member

Themenstarter

Beiträge: 28
#9 Hallo Malkesh,

hoffe das Du das Thema abonniert hattest. Heute trat wieder das gleiche Prob auf. Weis nicht warum. Im ESCAN hatte ich einen Total error mit der Datei

Sat Feb 19 19:29:19 2005 => Result: ERROR!!! File C:\WINDOWS\System32\ExpBar1.ocx is Not Scanned

Habe diese Datei zur Sicherheit gelöscht.

Mein LogFile sieht so aus:
Logfile of HijackThis v1.99.1
Scan saved at 19:05:12, on 19.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe
C:\Programme\T-Eumex KommunikationsCenter\sndml.exe
C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\Programme\T-Online\ISDN SpeedManager\tomcat.exe
C:\Programme\Canon\MultiPASS4\MPTBox.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe
C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Downloads\HiJackThis\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.roggensäcke.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
[b]O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx [b]
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [strtfx] "C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe"
O4 - HKLM\..\Run: [sndml] "C:\Programme\T-Eumex KommunikationsCenter\sndml.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe
O4 - HKLM\..\Run: [FLMBROWSERMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\tomcat.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [MPTBox] C:\Programme\Canon\MultiPASS4\MPTBox.exe
[b]O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup [b]
[b]O4 - HKLM\..\Run: [nwiz] nwiz.exe /install [b]
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKCU\..\Run: [LauncherStart] "C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Capictrl.exe.lnk = C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe
O4 - Global Startup: HNetCtrl.exe.lnk = C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - SCM Microsystems - C:\WINDOWS\SCARDS32.EXE


kannst Du mir noch einmal helfen??

wäre total super

Gruß

Roggi
Dieser Beitrag wurde am 24.02.2005 um 22:20 Uhr von Sabina editiert.
Seitenanfang Seitenende
20.02.2005, 02:24
Member
Avatar Malkesh

Beiträge: 669
#10 Merkwürdig, ich kann im Moment nichts an deinem Log erkennen.
Brachte eScan nach dem löschen dieser Datei weitere Vorfälle/Infektionen?
Wie stehts mit AdAware und Spybot?

Des weiteren würde ich dir empfehlen mal www.windowsupdate.com zu besuchen und alle Sicherheitspatches zu installieren (wenn ein Patch installiert wurde und du neu gestartet hast, gleich nochmal zur Sicherheit nach schauen das du auch alles hast, manche Patches sind erst verfügbar nachdem bestimmte Vorgänger installiert wurden)
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
20.02.2005, 13:17
Member

Themenstarter

Beiträge: 28
#11 Hi Malkesh,

habe diese dateien erneut bei Adaware im LogFile stehen. Kann diese aber nicht im Verzeichnis finden. Wieso nicht?

=> Scanning File C:\WINDOWS\NDNuninstall6_10.exe
Wed Feb 16 20:24:34 2005 => File C:\WINDOWS\NDNuninstall6_10.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Wed Feb 16 20:24:34 2005 => Scanning File C:\WINDOWS\NDNuninstall6_22.exe
Wed Feb 16 20:24:34 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Wed Feb 16 20:24:34 2005 => Scanning File C:\WINDOWS\NDNuninstall6_30.exe

Gruß

Ralf

P.S. Es öffnet sich mehrmal ein Fenster "Java Script", >Sie haben eine neue Nachricht<; anstatt mit ok schließe ich das Fenster mit dem Kreuz.
Dieser Beitrag wurde am 20.02.2005 um 13:21 Uhr von Roggi01 editiert.
Seitenanfang Seitenende
20.02.2005, 19:06
Member

Beiträge: 1132
#12 Wie Malkesh Dir schon geschrieben hat, ist Dein HJT Log sauber!

Die Meldung sagt Dir, dass Du eine "Private Message" im Board hast! Einfach in der Kopfzeile "Private Messages" anklicken und Du kannst sie ansehen.

Lösche mit der Killbox alle von eScan als "infected" gemeldeten Dateien, mit Ausnahme derer, die als "Tool.Win32.Reboot" markiert wurden.

Das war's dann

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
24.02.2005, 22:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Hallo@Roggi01

Mit HijackThis loeschen:
öffne das HijackThis
Open the Misc Tools section-->delete a file of reboot
dann reinkopieren

C:\WINDOWS\NDNuninstall6_10.exe

4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "yes"

WinSock XP Fix 1.2
fix XP internet connectivity
http://www.spychecker.com/program/winsockxpfix.html

WinSock XP Fix offers a last resort if your Internet connectivity has been corrupted due to invalid or removed registry entries. It can often cure the problem of lost connections after the removal of Adware components or improper uninstall of firewall applications or other tools that modify the XP network and Winsock settings. If you encounter connection problems after removing network related software, Adware or after registry clean-up; and all other ways fail, then give WinSock XP Fix a try. It can create a registry backup of your current settings, so it is fairly safe to use. We actually tested it on a test machine that was having a Winsock problem due to some Adware removal, and after running the utility and rebooting, the connectivity was restored.
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 24.02.2005 um 22:25 Uhr von Sabina editiert.
Seitenanfang Seitenende
25.02.2005, 00:10
Member

Themenstarter

Beiträge: 28
#14 Hi Sabina,

erst einmal bedanke ich mich für Deine schnelle Hilfe.

Die mit HJT zu löschende datei existiert nicht mehr.
Hier ein aktueller LogFile:

Logfile of HijackThis v1.99.0
Scan saved at 00:03:58, on 25.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe
C:\Programme\T-Eumex KommunikationsCenter\sndml.exe
C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\Programme\T-Online\ISDN SpeedManager\tomcat.exe
C:\Programme\Canon\MultiPASS4\MPTBox.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe
C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Opera7\Opera.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Downloads\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.roggensäcke.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [strtfx] "C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe"
O4 - HKLM\..\Run: [sndml] "C:\Programme\T-Eumex KommunikationsCenter\sndml.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe
O4 - HKLM\..\Run: [FLMBROWSERMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\tomcat.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [MPTBox] C:\Programme\Canon\MultiPASS4\MPTBox.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [LauncherStart] "C:\Programme\T-Eumex KommunikationsCenter\TrayLaunch.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Capictrl.exe.lnk = C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe
O4 - Global Startup: HNetCtrl.exe.lnk = C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Kodak Camera Connection Software - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: VeriSign Updater - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: CHIPDRIVE SCARD Service - SCM Microsystems - C:\WINDOWS\SCARDS32.EXE

Leider bin ich mit der englischen Sprache ein bißchen auf dem Kriegsfuss. Was muß ich denn machen? Fixen??

Gruß

Ralf

Konnte nicht warten. Habe ein Backup erstellt und dann Fix betätigt. Und siehe da, es läuft..... Leider nur kurz. Jetzt ist das Problem wieder vorhanden. Ich verstehe das nicht mehr. mal ist das da, dann wieder nicht. Eine Wiederholung ist ergebnislos.
Gruß Roggi
Dieser Beitrag wurde am 25.02.2005 um 03:17 Uhr von Roggi01 editiert.
Seitenanfang Seitenende
25.02.2005, 23:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Hallo@Roogi01

Scann doch bitte noch mal mit escan und kopiere alles raus /infected (was nicht mit dem Norton zusammenhaengt.

Dann noch eine andere Frage...welches Problem besteht eigentlich noch im Moment '?Beschreib es bitte genau.
Falls es die Firewall ist, so konfiguriere sie bitte korrekt. Oder ueberpruefe, ob die Firewall von XP an/aus ist
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende