explorer.exe hat ein Problem festgestellt und muss beendet

Home » Spyware & Browser Hijacker Support Forum » explorer.exe hat ein Problem festgestellt und muss beendet » Themenansicht

Seite(n): 1

Antworten

explorer.exe hat ein Problem festgestellt und muss beendet Thema ist geschlossen!
Thema ist geschlossen!
04.11.2006, 10:48 futurehead ...neu hier Beiträge: 5	#1 Hallo, diese Meldung (explorer.exe hat ein Problem festgestellt und muss beendet werden) kommt immer, wenn ich bestimmte Ordner öffne, dann wird der Explorer geschlossen. Ich habe ZoneAlarm, AntiVir installiert. Hijackthis gibt dieses logfile raus. Was kann ich tun? Danke für schnelle Antworten. Logfile of HijackThis v1.98.2 Scan saved at 10:45:52, on 04.11.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\webserver\bin\win32\matlabserver.exe c:\programme\bin\win32\matlab.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\REALTEK RTL8187 Wireless LAN Driver and Utility\RtWLan.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\cidaemon.exe C:\WINDOWS\twain_32\ARTECUSB\SCAN32.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\DOKUME~1\Torsten\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe C:\WINDOWS\explorer.exe C:\DOKUME~1\Torsten\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/ O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [expolerlog] C:\WINDOWS\System32\discservice.exe O4 - HKLM\..\Run: [wlconfig] "C:\PROGRA~1\WLANMO~1\wlconfig.exe" -autostart O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ActionScr] typeconf.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [service] C:\WINDOWS\System32\discservice.exe O4 - HKCU\..\Run: [spoolx] C:\WINDOWS\System32\dirdata.exe %srun% O4 - HKCU\..\Run: [KillAndClean] C:\Programme\KillAndClean\KillAndClean.exe O4 - HKCU\..\Run: [init32] LOPTCON.exe O4 - HKCU\..\Run: [progmen] sound64.exe O4 - HKCU\..\Run: [barint] driver32.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: REALTEK RTL8187 Wireless LAN Utility.lnk = ? O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{0BE39882-2B09-40E1-B374-B44A5C5314FE}: NameServer = 85.255.115.44,85.255.112.134 O17 - HKLM\System\CCS\Services\Tcpip\..\{20EC2B84-8446-4362-B4FD-5723B8D05100}: NameServer = 85.255.115.44,85.255.112.134 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.44 85.255.112.134 O17 - HKLM\System\CS1\Services\Tcpip\..\{0BE39882-2B09-40E1-B374-B44A5C5314FE}: NameServer = 85.255.115.44,85.255.112.134 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.44 85.255.112.134

04.11.2006, 17:04 Sabina Ehrenmitglied Beiträge: 29434	#2 futurehead die Internetverbindung wird auf einen Server in die Ukraine weitergeleitet.... wer KillAndClean laedt, zerstoert sich den Rechner 1. scanne und poste den scanreport http://virus-protect.org/artikel/tools/fixwareout.html 2. stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 3. Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit

04.11.2006, 17:44 futurehead ...neu hier Themenstarter Beiträge: 5	#3 Hallo Sabina, hier ist der Report: Fixwareout ver 1.003 Last edited 8/11/2006 Post this report in the forums please Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A48CE373A75A-6DB8-2344-C881-D41940EE{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F70C9E8A031A-A748-ABE4-6A37-637D04BD{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0B799C48EE8C-908A-AD84-EF44-F688DAD1{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}773C04CF1F08-A48A-DD24-6F9E-FE542664{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0BF7FA7A2A91-BA8B-B534-1793-6BCEAD0D{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}25C2E8E74B47-96BB-6E54-3756-03E6BFB6{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}96BDF6C23308-C8EB-6354-68AC-637F8278{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\kwemd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\9 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\10 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\11 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\12 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\13 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\14 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\15 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\16 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\17 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\18 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\19 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif ... Random Runs removed from HKLM "dmewk.exe"=- ... Hier ist das was batfind gefunden hat: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 130C-10DF Verzeichnis von C:\WINDOWS\system32 04.11.2006 17:23 54.112 vsconfig.xml 01.11.2006 16:53 11.233 QuickTime.qtp 30.10.2006 11:13 1.158 wpa.dbl 29.10.2006 09:24 161.936 FNTCACHE.DAT 26.10.2006 09:54 32.768 six.exe 25.10.2006 21:15 4.212 zllictbl.dat 25.10.2006 18:03 4.934 qtplugin.log 25.10.2006 17:59 2.422 QuickTimeFavorites.qtr 25.10.2006 11:45 424.718 {6BFB6E30-6573-45E6-BB69-74B47E8E2C52}.exe 25.10.2006 11:44 45.568 {466245EF-E9F6-42DD-A84A-80F1FC40C377}.exe 25.10.2006 10:44 48.156 perfc007.dat 25.10.2006 10:44 316.594 perfh007.dat 25.10.2006 10:44 39.992 perfc009.dat 25.10.2006 10:44 311.604 perfh009.dat 25.10.2006 10:44 723.568 PerfStringBackup.INI 25.10.2006 10:40 255 spupdwxp.log 25.10.2006 10:08 308 results.txt 10.10.2006 20:14 10.331 winroot64.dal 10.10.2006 20:14 19.378 winmprot.dal 10.10.2006 20:14 23.438 winexerun.dal 10.10.2006 20:14 0 sb2run.dii 10.10.2006 20:14 23.438 winsend32.dal 07.09.2006 12:54 57.384 avsda.dll 23.08.2006 23:38 42.920 vsutil_loc0407.dll 23.08.2006 23:38 392.824 vsdatant.sys 23.08.2006 23:38 71.672 zlcommdb.dll 23.08.2006 23:38 83.960 zlcomm.dll 23.08.2006 23:38 59.384 vswmi.dll 23.08.2006 23:38 100.344 vsxml.dll 23.08.2006 23:38 440.312 vsutil.dll 23.08.2006 23:38 71.672 vsregexp.dll 23.08.2006 23:38 268.280 vspubapi.dll 23.08.2006 23:38 104.440 vsmonapi.dll 23.08.2006 23:38 157.688 vsinit.dll 23.08.2006 23:37 83.960 vsdata.dll 23.08.2006 23:37 796.584 libeay32_0.9.6l.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 130C-10DF Verzeichnis von C:\DOKUME~1\Torsten\LOKALE~1\Temp 04.11.2006 17:28 409.600 ~DFFE39.tmp 04.11.2006 17:28 265.854 jusched.log 04.11.2006 15:46 1.941 ~WRD0001.doc 04.11.2006 15:46 33.280 ~WRS0002.tmp 04.11.2006 11:43 2.182 TWAIN.LOG 04.11.2006 10:12 156 Twunk001.MTX 04.11.2006 10:12 0 Twunk002.MTX 04.11.2006 10:12 2 Twain001.Mtx 04.11.2006 00:23 409.600 ~DF5050.tmp 03.11.2006 19:19 409.600 ~DFFEBA.tmp 03.11.2006 14:46 409.600 ~DFB6C3.tmp 03.11.2006 11:55 1.918 logfile.txt 03.11.2006 08:31 409.600 ~DF23C7.tmp 02.11.2006 14:03 409.600 ~DF1B97.tmp 02.11.2006 14:00 409.600 ~DF10DA.tmp 02.11.2006 13:54 409.600 ~DFFED7.tmp 02.11.2006 13:53 557.056 ~DFE9FC.tmp 02.11.2006 13:46 409.600 ~DFB8DB.tmp 01.11.2006 20:58 557.056 ~DFCDD6.tmp 01.11.2006 20:32 557.056 ~DFF16.tmp 01.11.2006 18:35 409.600 ~DF29C3.tmp 01.11.2006 18:27 409.600 ~DF5C78.tmp 01.11.2006 18:22 0 5i8104.tmp 01.11.2006 18:21 0 9mg101.tmp 01.11.2006 18:20 0 3sj100.tmp 01.11.2006 16:53 0 oyy7D.tmp 01.11.2006 15:06 0 odl4.tmp 01.11.2006 14:59 0 trj3.tmp 31.10.2006 18:19 0 yom4.tmp 31.10.2006 16:57 409.600 ~DF4B27.tmp 31.10.2006 16:09 194.216 ~WRS0001.tmp 31.10.2006 16:09 17.637 ~WRD0000.doc 31.10.2006 16:03 233.692 MSIf89ea.LOG 31.10.2006 15:56 1.376 msoC62E0.emf 31.10.2006 15:56 1.436 msoF1642.emf 31.10.2006 15:56 1.264 msoF3261.emf 31.10.2006 15:56 4.124 msoE1F1F.emf 31.10.2006 15:56 2.100 mso62C2D.emf 31.10.2006 15:56 1.856 mso3A939.emf 31.10.2006 15:56 1.368 mso9FCBC.emf 31.10.2006 15:56 1.476 msoF29FE.emf 31.10.2006 15:56 1.968 mso6EAC6.emf 31.10.2006 15:56 2.436 mso25C37.emf 31.10.2006 15:56 3.392 mso39D0B.emf 31.10.2006 15:56 13.616 mso998D8.emf 31.10.2006 11:19 409.600 ~DF75C3.tmp 31.10.2006 10:40 409.600 ~DF5049.tmp 30.10.2006 19:31 409.600 ~DFC98F.tmp 30.10.2006 18:46 0 uav12.tmp 30.10.2006 18:43 0 79o11.tmp 30.10.2006 18:43 0 ftu10.tmp 30.10.2006 18:43 0 mmpF.tmp 29.10.2006 02:26 409.600 ~DF786B.tmp 28.10.2006 19:18 409.600 ~DF56D3.tmp 28.10.2006 15:19 557.056 ~DF5E26.tmp 27.10.2006 15:28 409.600 ~DF565E.tmp 27.10.2006 13:49 409.600 ~DF3F33.tmp 27.10.2006 12:34 409.600 ~DF977A.tmp 27.10.2006 08:40 409.600 ~DF8529.tmp 26.10.2006 22:49 409.600 ~DF3224.tmp 26.10.2006 19:43 409.600 ~DF4B3E.tmp 26.10.2006 15:14 409.600 ~DF49DF.tmp 26.10.2006 10:02 557.056 ~DF3538.tmp 26.10.2006 09:02 409.600 ~DF2421.tmp 25.10.2006 22:58 409.600 ~DFE3E9.tmp 25.10.2006 21:41 54.784 gfc2CE4.GOX 25.10.2006 21:41 86.016 gfc2CE3.GOX 25.10.2006 21:16 409.600 ~DF9D09.tmp 25.10.2006 20:46 409.600 ~DF48CA.tmp 25.10.2006 18:04 409.600 ~DFF39D.tmp 25.10.2006 17:38 0 x2w84.tmp 25.10.2006 17:36 0 v8n7F.tmp 25.10.2006 17:10 0 xej4F.tmp 25.10.2006 17:09 0 5rr4E.tmp 25.10.2006 16:26 409.600 ~DFC1B6.tmp 25.10.2006 12:47 797.676 IMT6A.xml 25.10.2006 12:47 426 IMT69.xml 25.10.2006 12:47 2.036 IMT68.xml 25.10.2006 12:46 2.036 IMT65.xml 25.10.2006 12:46 426 IMT66.xml 25.10.2006 12:46 797.676 IMT67.xml 25.10.2006 12:46 797.676 IMT64.xml 25.10.2006 12:46 2.036 IMT62.xml 25.10.2006 12:46 426 IMT63.xml 25.10.2006 12:10 350.595 1. Vorlesung Lehmann.pdf 25.10.2006 11:44 447 pmqE.tmp 25.10.2006 11:44 793.172 tmp.xpi 25.10.2006 11:29 729 ISPackFiles.ini 19.09.2006 21:41 31.223 8453.dmp 19.09.2006 21:38 1.638.400 ~DF30E0.tmp 09.09.2006 16:59 31.223 633E.dmp 08.09.2006 21:21 17.324 SIntf32.dll 08.09.2006 21:21 40.448 CmdLineExt03.dll 08.09.2006 21:21 12.305 SIntf16.dll 08.09.2006 21:21 22.068 SIntfNT.dll 08.09.2006 19:34 15.872 Fadpu16E.sys 08.09.2006 10:53 16.384 ~DFC844.tmp 08.09.2006 10:46 16.384 ~WRF0001.tmp 05.09.2006 12:05 13.325 trash.htm Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 130C-10DF Verzeichnis von C:\WINDOWS 04.11.2006 17:37 10.278 RTacDbg.txt 04.11.2006 17:37 6.075 setupapi.log 04.11.2006 17:23 0 0.log 04.11.2006 17:23 159 wiadebug.log 04.11.2006 17:23 2.048 bootstat.dat 04.11.2006 17:22 1.380.801 WindowsUpdate.log 04.11.2006 17:22 32.626 SchedLgU.Txt 04.11.2006 17:22 50 wiaservc.log 04.11.2006 15:22 54.156 QTFont.qfn 04.11.2006 11:43 11.639 Dusb3ar.ini 04.11.2006 11:43 2.679 Ausba3.ini 03.11.2006 13:45 1.072 wmsetup.log 01.11.2006 13:10 182 LEXSTAT.INI 25.10.2006 11:48 1.409 QTFont.for 25.10.2006 11:44 4.675 mozver.dat 25.10.2006 10:51 173 wininit.ini 25.10.2006 10:43 31.122 spupdsvc.log 25.10.2006 10:42 316.640 WMSysPr9.prx 25.10.2006 10:42 84.752 iis6.log 25.10.2006 10:42 85.882 ntdtcsetup.log 25.10.2006 10:42 220.873 tsoc.log 25.10.2006 10:42 28.004 msgsocm.log 25.10.2006 10:42 15.173 ocmsn.log 25.10.2006 10:42 541.865 FaxSetup.log 25.10.2006 10:38 221.381 KB910437.log 25.10.2006 10:38 1.393 imsins.BAK 25.10.2006 10:38 24.392 updspapi.log 25.10.2006 10:38 231.070 KB912919.log 25.10.2006 10:38 227.568 KB896424.log 25.10.2006 10:38 229.287 KB900725.log 25.10.2006 10:37 221.973 KB905749.log 25.10.2006 10:37 220.949 KB905414.log 25.10.2006 10:37 219.232 KB901017.log 25.10.2006 10:37 230.985 KB902400.log 25.10.2006 10:37 213.538 KB896423.log 25.10.2006 10:37 212.615 KB899587.log 25.10.2006 10:37 211.518 KB899591.log 25.10.2006 10:37 212.419 KB893756.log 25.10.2006 10:36 211.119 KB896358.log 25.10.2006 10:36 217.110 KB890859.log 25.10.2006 10:36 209.815 KB901214.log 25.10.2006 10:36 208.445 KB893066.log 25.10.2006 10:36 207.760 KB896428.log 25.10.2006 10:36 208.423 KB896422.log 25.10.2006 10:36 209.165 KB890046.log 25.10.2006 10:36 207.166 KB885835.log 25.10.2006 10:35 201.739 KB888113.log 25.10.2006 10:35 201.814 KB891781.log 25.10.2006 10:35 201.917 KB888302.log 25.10.2006 10:35 201.446 KB885836.log 25.10.2006 10:35 201.273 KB873339.log 25.10.2006 10:30 200 cmsetacl.log 25.10.2006 10:29 4.285 sessmgr.setup.log 25.10.2006 10:14 605 medctroc.Log 05.09.2006 12:19 14.108 ModemLog_SmartUSB56 Modem #3.txt 22.08.2006 17:02 10.706 ModemLog_SmartUSB56 Modem.txt 22.08.2006 17:01 11.106 ModemLog_SmartUSB56 Modem #2.txt 04.08.2006 17:51 302 system.ini Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 130C-10DF Verzeichnis von C:\WINDOWS\Temp 04.11.2006 17:23 256 ZLT04e33.TMP 04.11.2006 17:23 256 ZLT04e36.TMP 02.11.2006 14:00 256 ZLT016c7.TMP 02.11.2006 14:00 256 ZLT016b4.TMP 02.11.2006 13:54 256 ZLT01254.TMP 02.11.2006 13:54 256 ZLT0124d.TMP 01.11.2006 18:27 256 ZLT014df.TMP 01.11.2006 18:27 256 ZLT014dc.TMP 31.10.2006 12:42 256 ZLT03ebd.TMP 31.10.2006 12:42 256 ZLT03eac.TMP 31.10.2006 10:28 256 ZLT057f3.TMP 31.10.2006 10:28 256 ZLT057e6.TMP 28.10.2006 15:18 256 ZLT01e2f.TMP 28.10.2006 15:18 256 ZLT01e32.TMP 19.09.2006 21:32 256 ZLT054d0.TMP 19.09.2006 21:28 256 ZLT051f1.TMP 19.09.2006 21:21 256 ZLT04cba.TMP Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 130C-10DF Verzeichnis von C:\ 04.11.2006 17:53 0 sys.txt 04.11.2006 17:52 467 down.txt 04.11.2006 17:52 1.579 tmp.txt 04.11.2006 17:51 10.498 system.txt 04.11.2006 17:50 5.315 systemtemp.txt 04.11.2006 17:45 98.079 system32.txt 04.11.2006 17:23 536.399.872 hiberfil.sys 04.11.2006 17:23 805.306.368 pagefile.sys 25.10.2006 10:30 211 boot.ini 25.10.2006 10:21 47.564 NTDETECT.COM 25.10.2006 10:21 251.184 ntldr Dieser Beitrag wurde am 04.11.2006 um 17:59 Uhr von futurehead editiert.

04.11.2006, 20:05 Sabina Ehrenmitglied Beiträge: 29434	#4 futurehead W32.Sober.I@mm http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-w32.sober.i@mm.html Entfernung mit dem W32.Sober-Entfernungsprogramm Symantec Security Response hat ein Programm zur Entfernung von W32.Sober.I@mm-Infektionen entwickelt. Das Entfernungsprogramm ist die einfachste Möglichkeit, um diese Bedrohung zu beseitigen, und sollte daher als Erstes ausprobiert werden. http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.sober.removal.tool.html «« Deaktivieren Sie die Systemwiederherstellung (Windows Me/XP). Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. __________________________________________________________ «« CleanUp anwenden http://virus-protect.org/cleanup.html «« avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Files to delete: C:\WINDOWS\system32\six.exe C:\WINDOWS\system32\dmewk.exe C:\WINDOWS\System32\discservice.exe C:\WINDOWS\system32\{6BFB6E30-6573-45E6-BB69-74B47E8E2C52}.exe C:\WINDOWS\system32\{466245EF-E9F6-42DD-A84A-80F1FC40C377}.exe C:\Dokumente und Einstellungen\Torsten\Anwendungsdaten\kc.tmp C:\Dokumente und Einstellungen\Torsten\Anwendungsdaten\wo.tmp C:\WINDOWS\System32\dirdata.exe C:\WINDOWS\system32\winroot64.dal C:\WINDOWS\system32\winmprot.dal C:\WINDOWS\system32\winexerun.dal C:\WINDOWS\system32\sb2run.dii C:\WINDOWS\system32\winsend32.dal C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DFFE39.tmp C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DF5050.tmp C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DFFEBA.tmp C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DFB6C3.tmp C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\5i8104.tmp C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\9mg101.tmp C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\3sj100.tmp C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\oyy7D.tmp C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\odl4.tmp C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\trj3.tmp C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\yom4.tmp C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DF4B27.tmp C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\uav12.tmp C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\79o11.tmp C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\ftu10.tmp C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\mmpF.tmp C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\gfc2CE4.GOX C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\gfc2CE3.GOX C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\x2w84.tmp C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\v8n7F.tmp C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\xej4F.tmp C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\5rr4E.tmp C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DFC1B6.tmp C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\pmqE.tmp C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\tmp.xpi C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\8453.dmp Folders to delete: C:\Programme\KillAndClean Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten poste das log vom Avenger, was nach neustart erscheint hier öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O4 - HKLM\..\Run: [expolerlog] C:\WINDOWS\System32\discservice.exe O4 - HKLM\..\Run: [ActionScr] typeconf.exe O4 - HKCU\..\Run: [service] C:\WINDOWS\System32\discservice.exe O4 - HKCU\..\Run: [spoolx] C:\WINDOWS\System32\dirdata.exe %srun% O4 - HKCU\..\Run: [KillAndClean] C:\Programme\KillAndClean\KillAndClean.exe O4 - HKCU\..\Run: [init32] LOPTCON.exe O4 - HKCU\..\Run: [progmen] sound64.exe O4 - HKCU\..\Run: [barint] driver32.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{0BE39882-2B09-40E1-B374-B44A5C5314FE}: NameServer = 85.255.115.44,85.255.112.134 O17 - HKLM\System\CCS\Services\Tcpip\..\{20EC2B84-8446-4362-B4FD-5723B8D05100}: NameServer = 85.255.115.44,85.255.112.134 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.44 85.255.112.134 O17 - HKLM\System\CS1\Services\Tcpip\..\{0BE39882-2B09-40E1-B374-B44A5C5314FE}: NameServer = 85.255.115.44,85.255.112.134 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.44 85.255.112.134 PC neustarten Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen - anhaken 85.255.115.44 85.255.112.134 - muss raus! 1. Click Start > Control Panel 2. Double-click Network Connections. ____________________________________________________________________ «« Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. «« scanne solange , mit Neustart zwischen durch, bis nichts mehr gefunden wird: F-Secure Online Scanner Next Generation Beta http://support.f-secure.com/enu/home/ols3.shtml 1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta". 2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren 3. Installiere diese ActiveX-Komponente 4. Lies die Anleitung und klicke: "Accept" 5. Klicke "Full System Scan" 6. klicke "Show report" - kopiere den Scanreport ________________________________________________________ «« poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.11.2006 um 20:17 Uhr von Sabina editiert.

04.11.2006, 20:56 futurehead ...neu hier Themenstarter Beiträge: 5	#5 Hi, hier das log von avenger: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\lorudkph ***************** Script file located at: \??\C:\umeoqrbj.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger *************** Beginning to process script file: File C:\WINDOWS\system32\six.exe deleted successfully. File C:\WINDOWS\system32\dmewk.exe not found! Deletion of file C:\WINDOWS\system32\dmewk.exe failed! Could not process line: C:\WINDOWS\system32\dmewk.exe Status: 0xc0000034 File C:\WINDOWS\System32\discservice.exe not found! Deletion of file C:\WINDOWS\System32\discservice.exe failed! Could not process line: C:\WINDOWS\System32\discservice.exe Status: 0xc0000034 File C:\WINDOWS\system32\{6BFB6E30-6573-45E6-BB69-74B47E8E2C52}.exe deleted successfully. File C:\WINDOWS\system32\{466245EF-E9F6-42DD-A84A-80F1FC40C377}.exe deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Anwendungsdaten\kc.tmp deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Anwendungsdaten\wo.tmp not found! Deletion of file C:\Dokumente und Einstellungen\Torsten\Anwendungsdaten\wo.tmp failed! Could not process line: C:\Dokumente und Einstellungen\Torsten\Anwendungsdaten\wo.tmp Status: 0xc0000034 File C:\WINDOWS\System32\dirdata.exe not found! Deletion of file C:\WINDOWS\System32\dirdata.exe failed! Could not process line: C:\WINDOWS\System32\dirdata.exe Status: 0xc0000034 File C:\WINDOWS\system32\winroot64.dal deleted successfully. File C:\WINDOWS\system32\winmprot.dal deleted successfully. File C:\WINDOWS\system32\winexerun.dal deleted successfully. File C:\WINDOWS\system32\sb2run.dii deleted successfully. File C:\WINDOWS\system32\winsend32.dal deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DFFE39.tmp deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DF5050.tmp deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DFFEBA.tmp deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DFB6C3.tmp deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\5i8104.tmp deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\9mg101.tmp deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\3sj100.tmp deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\oyy7D.tmp deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\odl4.tmp deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\trj3.tmp deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\yom4.tmp deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DF4B27.tmp deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\uav12.tmp deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\79o11.tmp deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\ftu10.tmp deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\mmpF.tmp deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\gfc2CE4.GOX deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\gfc2CE3.GOX deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\x2w84.tmp deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\v8n7F.tmp deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\xej4F.tmp deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\5rr4E.tmp deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\~DFC1B6.tmp deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\pmqE.tmp deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\tmp.xpi deleted successfully. File C:\Dokumente und Einstellungen\Torsten\Lokale Einstellungen\Temp\8453.dmp deleted successfully. Folder C:\Programme\KillAndClean not found! Deletion of folder C:\Programme\KillAndClean failed! Could not process line: C:\Programme\KillAndClean Status: 0xc0000034 Completed script processing. ***************** Finished! Terminate.

05.11.2006, 02:08 Sabina Ehrenmitglied Beiträge: 29434	#6 hast du das entfernungstool (Sober) von Symantec angewendet ? arbeite alles weitere ab, poste den scanreport vom Virenscanner-F-Secure Online + das neue log vom hijackthis __________ MfG Sabina rund um die PC-Sicherheit

05.11.2006, 09:51 futurehead ...neu hier Themenstarter Beiträge: 5	#7 Hi, das Symantec-Entfernungstool habe ich nicht verwendet, alles andere habe ich ausgeführt. Nur den Scanreport von F-Secure habe ich nicht gefunden, hier ist das neue hijackthis-logfile: Logfile of HijackThis v1.98.2 Scan saved at 09:48:31, on 05.11.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\webserver\bin\win32\matlabserver.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\PROGRA~1\WLANMO~1\wlconfig.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\REALTEK RTL8187 Wireless LAN Driver and Utility\RtWLan.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/ O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader Driver v1.9e3\Disk_Monitor.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [wlconfig] "C:\PROGRA~1\WLANMO~1\wlconfig.exe" -autostart O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: REALTEK RTL8187 Wireless LAN Utility.lnk = ? O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab

05.11.2006, 13:26 Sabina Ehrenmitglied Beiträge: 29434	#8 1. wende das Proggie an, damit der Soberwurm W32.Sober.I@mm geloescht wird http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.sober.removal.tool.html 2. scanne mit panda und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit

11.11.2006, 16:06 futurehead ...neu hier Themenstarter Beiträge: 5	#9 Hallo Sabina, du hast mir sehr geholfen. Explorer macht keine Probleme mehr. Soberwurm wurde allerdings nicht entdeckt.

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1