monitor.exe ist nicht vorhandenoder verweist auf kein verzeichnis

#16 Liebe Sabina

Der Rechner kommt gut hoch (das was gestern schon der Fall und seither
hat sich keine Veränderung ergeben). Was ich allerdings noch beobachten
kann, ist, daß der ERSTE Aufruf des Windows Explorer (nicht des Internet
Explorers) nach dem Start ca. 7-9 Sekunden dauert, bis sich das Fenster
aufbaut. So sehe ich die ersten Sekunden einen Rahmen, durch den ich
fast auf die grüne Wiese durchschauen kann. Und ab und zu beobachte
ich auch ein paar leise Knackgeräusche - so als ob ein Kobold sich melden
wollte. Ein eine TuneUP Schnellwartung hat da nichts geändert (obwohl
sie über 100 'Probleme' erkannte). Sollte ein so ein Knackgeräusch auftreten
(ist nur sehr sporadisch), so muss ich bei Start -> Ausschalten ca 30
Sekunden warten, bis die Ausstiegsmaske (Ausschalten / Neustart /
Abbrechen) kommt.

Ich habe daher fast das Gefühl, mit dem Windows Explorer scheint
noch etwas nicht zu stimmen. Bezüglich der 'Search & Destroy' Meldungen: Da
habe ich nur einen Scan drüberlaufen lassen, aber noch keine Aktion
durchführen lassen. Was von diesem Programm angeführten Sachen sollte ich
über dieses Programm beheben lassen ?

Könnte es helfen, eine neue Version des Windows Explorers zu
installieren und wenn ja, wo bekäme ich ihn ?

Mit freundlichen Grüßen

Werner

#17 Bevor du den IE reparierst, poste noch einmal das aktuelle Log vom HijackThis, um zu sehen, ob die verstellten Startseiten weg sind.


Und lade den Firefox als AlternetivBrowser...ist hijackerfrei
http://www.firebird-browser.de/

MfG
Sabina

http://support.microsoft.com/default.aspx?scid=kb;de;318378&Product=ie600INT
__________
MfG Sabina

rund um die PC-Sicherheit

#18 Liebe Sabina

Hier ist das Hijack-Logfile. HijackThis scheint mir danach abgestürzt zu
sein (nur mit Häkchen 'calculate MD5 of files if possible').

Logfile of HijackThis v1.97.7
Scan saved at 11:32:13, on 22.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\WINDOWS\System32\ctfmon.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Werner Voelk\Eigene Dateien\Virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klettersteig.com/klett1/default.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll (fc7850324464e4d19a24a03d882b5cc4, 54248 bytes)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (skipped, 744960 bytes)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx (45869088b586d1daa9458a6d0ef11ff8, 847632 bytes)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup (3b97edb791fb209017b8864c8e7087f9, 32256 bytes)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install (10383b3b6fbaf828dc4c46277a488dc1, 323584 bytes)
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe (skipped, 1212466 bytes)
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe (41c0da03ab1ce6cd115e88691ea330d1, 50688 bytes)
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH (ed56e42cfd7d53af4453c4253eaa17b0, 90112 bytes)
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg (39d31d333c39caa9a13b738804b43284, 406016 bytes)
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" (98dc6d2d6643f17da0c70562c1ee9b79, 385024 bytes)
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart (a455e3a5493a2aad8829d0b0bc1f281d, 229443 bytes)
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe (11aa6662a1be30375afd1a8407811e7e, 33792 bytes)
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe (6f4eb12247a89697c69c3c003c01d41a, 146432 bytes)
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe (3d8a730eb17c01fe5dba7e38ab51c84e, 53248 bytes)
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe (c36786488aa0f66e4a13978321c17d5e, 69632 bytes)
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (e5ee2f4700b6a85f0d45a18c67da500f, 13312 bytes)
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background (skipped, 1511453 bytes)
O4 - Global Startup: Adobe Gamma Loader.lnk = ? (file missing)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29baae4b77d3b6c2c018/netzip/RdxIE601_de.cab



----------------------- HiJack - Fehlermeldung --------------------
An unexpected error has occurred at procedure: modMain_CheckOther4Item()
Error #5 - Invalid procedure call or argument

Please email me at merijn@spywareinfo.com, reporting the following:
* What you were doing when the error occurred
* How you can reproduce the error

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2800.1106
HijackThis version: 1.97.7

This message has been copied to your clipboard.
----------------------- HiJack - Fehlermeldung Ende --------------------

FireFox habe ich nun geladen. Nur habe ich ihn auf die Schnelligkeit nicht
zum Default-Browser machen wollen. Wie kann man diese Einstellung
vornehmen ?

Und noch eine Frage zum ersten Adaware Logfile : Ich sehe hier :

Started registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Alexa Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}


Windows Object recognized!
Type : RegData
Data :
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Value : Shell
Data :

Der zweite Eintrag hat möglicherweise meine Startproblem verursacht.

Nur was ist mit dem ersten Eintrag, dem ALEXA Eintrag. In der Firma
habe ich nämlich unter ? (oder Extras ?) einen Eintrag 'Related Links'
gesehen und, wenn ich den gedrückt habe, links, wie beim Suchen, einen
Frame mit einem Text 'Powered by Alexa'. Könnte es sein, daß Adaware
da etwas zu viel gelöscht hat ? Was ist eigentlich ALEXA ?

Noch eine dumme Frage: Dein Microsoft Link führt mich auf eine Seite
zum Internet Explorer. Ich habe jetzt aber an den Windows Explorer
gedacht. Und noch etwas (vielleicht denke ich jetzt zu kompliziert) :
Ich habe da eine Windows XP Home Edition (OEM). Kann da das 'OEM'
zu Problemen führen ?

Herzliche Grüße

Werner

#19 @Werner Voelk

1. ALEXA
der Internet Explorer von Microsoft verschickt ungefragt Daten an das Monopol von Bill Gates!
http://www.xp-antispy.org/index.php?option=com_remository&Itemid=26

2.
Irgendetwas ist mit deinem Comp. geschehen...ich habe so etwas noch nie gesehen...

es scheint alles zerstoert zu sein...

Mache bitte eine Wiederherstellung und poste das Log noch einmal
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#20 hallo,
ich habe genau das gleiche problem problem und ihr konnten mir shcons ehr gut helfen.

jedoch bekomme ich die zweite fehlermeldung nicht weg!
-------------------------------------------------------------------
"monitor.exe" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den
Namen korrekt eingegeben haben und wiederholen Sie den Vorgang.
Klicken Sie auf "Start" und anschliessend auf "Suchen", um eine Datei zu
finden.
--------------------------------------------------------------------

wie habt ihr die nochmal genau wegbekommen???
mein hijack sagt folgendes:

C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONEAL~1\zlclient.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Daniel1\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F0 - system.ini: Shell=Explorer.exe monitor.exe
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38098.3825694444
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{93ABF0CC-EEBD-4A2E-964F-14E8C4141580}: NameServer = 145.253.2.203 195.50.140.250

soll ich "F0 - system.ini: Shell=Explorer.exe monitor.exe" auch löschen??

schon mal danke für eure antwort!
schönen abend
Daniel

#21 Liebe Sabina

Ich habe nicht verstanden, was Du mit Wiederherstellung gemeint
hast. Meintest Du damit den Internet Explorer ?

Und noch eine Frage zu http://www.xpantispy.de/ . Da war ein 'Premium
Bereich, der zu einem Download geführt hat, der mich auf einen Dialog
geführt hat, an dessen Ende eine 0190-er Nummer stand - ich bin da dann
nicht mehr weitergegangen ...

Lieber Daniel

Diese Meldung habe ich mit ADAWARE wegbekommen. Das Adaware
Log hat damals ausgespuckt :

Started registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Alexa Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}


Windows Object recognized!
Type : RegData
Data :
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Value : Shell
Data :


Mich würde der Wert dieses Keys interessieren (nachdem Adaware ihn
schon entfernt hat). Solltest Du

Explorer.exe monitor.exe

sehen (was ich erwarten würde), so wäre das ein Hinweis, daß auch Dein
Tool einen Fehler entdeckt haben könnte. Seitdem ich via Adware diese
2 Einträge in die Quarantäne geschickt habe, bin ich diese Meldung los.

Herzliche Grüße an Euch beide

Werner

#22 @Werner Voelk

Gehe zu Start \Help Support...ich weiss es nur in Englisch...
Dort gibt es die Funktion der Wiederherstellung. Waehle einen Tag,an dem noch alles gut lief.
Dann wird der Computer neustarten und das System auf diesen Tag zuruecksetzen.

Wenn du dein 1. Log mit dem 2. Log vergleichst, wirst du sehen, dass etwas nicht in Ordnung ist...



Kannst du mir bitte einen groooossen Gefallen tun und den obrigen Link rausnehemen von der xp/antispy/seite...damit das niemand anklickt...ich bin da einer gefaelschten Site aufgesessen.mit einem Dialer.....duerfte mir eigentlich nicht passieren.
Ich habe meinen Link schon veraendert..

hier ist die originale Seite
http://www.xp-antispy.org/index.php?option=com_remository&Itemid=26

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#23 @Daniel 1979

Fixe mit dem HijackThis

F0 - system.ini: Shell=Explorer.exe monitor.exe
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe


dann scanne mit der mwav.exe ...30 Tage free
http://www.mwti.net/antivirus/free_utilities.asp

und mit AdAware free
http://www.lavasoft.de/
und Spybot
http://beam.to/spybotsd

#suche mal eine monitor.exe und loesche sie

dann loesche unter InternetOptionen die TemporaryInternetfiles und stelle eine neue Startseite ein
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#24 Liebe Sabina

Wiederhestellen kann ich nur etwas, was ich gesichert habe.
Von dieser Wiederherstellungsconsole aber weiß ich erst seit heute
(oder würde das System von sich aus eine automatische Sicherung
machen ?).

Das, was ich hätte, wäre eine DriveImage Sicherung vom 21.5.,
aber die liegt auf der einzigen Festplatte C und DriveImage macht da
offensichtlich keine Gesamtsytemherstellung (Meldung : Einstellungen
können nicht aktualisiert werden. Das ausgewählte Ziel enthält die
Bilddatei, die gerade wiederhergestellt wird , und kann nicht
überschrieben werden. Falsche Parameter). Da müßte ich offenbar
wohl erst eine neue Festplatte kaufen (welche ?) und das kann
wohl dauern.

Was das Verändern des Links betrifft : In Registry, Menu, Desktop habe
ich diesen Link schon weggenommen und manche der von Dir empfohlenen
Programme haben ihn auch schon entdeckt. Habe ich jetzt da noch etwas
vergessen ?

Mit freundlichen Grüßen

Werner

#25 @Werner Voelk


Wenn die Wiederherstellung aktiviert ist, dann speichert Windows die Wiederherstellungspunkte.
Du kannst es ja mal versuchen.
Klicke links einen Tag an , als noch alles gut lief.

Du brauchst keine neue Festplatte zu kaufen.

oder du Installierst XP neu , bestimmt hast du eine CD
Vielleicht hilft dir jemand dabei, der was davon versteht...oder du siehst im Net nach, wie man das macht.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#26 hallo sabina,

ich kann nur sagen respekt und ein großes DANKESCHÖN!
Alleine hätte ich das nie hinbekommen.
habe mal wieder gemerkt wie anfällig doch dieser "super" IE ist....

Mfg
DANIEL

#27 Liebe Sabina

Ich habe gesehen, daß die Wiederherstellung aktiviert ist. Ich werde
Sachen der letzten Tage auf CD sichern und mein Glück versuchen.
Wird da der Rechner auf den Stand von z.B. Mittwoch als Ganzes
zurückgesetzt oder 'nur' die Registry ?

Und muß ich nun auch meine 'neuen Favoriten' und die Mails der
letzten Tage auch sichern ?

Herzlichen Grüße

Werner

#28 @Werner Voelk

die Wiederherstellung wird nur in der Registry zurueckgesetzt...damit hast du wahrscheinlich auch wieder dieses Monitor /Problem.
die Favoriten und Mails veraendern sich nicht.

Falls du neu installierst, ist das Sichern der wichtigsten Programme auf CD eine gute Idee.

Falls du die Wiederherstellung machst...poste das HijackThis/Log davon.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#29 Liebe Sabina

Ich habe eine Wiederherstellung vom letzten Mittwoch gemacht. Der
Windows Explorer braucht noch immer seine ca. 10 Sekunden bei der
ersten Anwahl, aber ich beginne mich zu fragen, ob dieses Verhalten´
nicht normal sein könnte und ich hier vielleicht überreagiere. In Bezug
auf das sehr sporadische Knackgeräusch werde ich den Rechner in
nächsten Zeit beobachten müssen.

Hier ist das neueste HijackLog.

Logfile of HijackThis v1.97.7
Scan saved at 10:53:51, on 24.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\Explorer.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Dokumente und Einstellungen\Werner Voelk\Eigene Dateien\Virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klettersteig.com/klett1/default.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/29baae4b77d3b6c2c018/netzip/RdxIE601_de.cab

----------------------------------------------------------------------

Adaware hat als einzigen Eintrag nun Alexa angemeckert. Sollte
ich das unter Quarantäne stellen ?

Vendor:Alexa
Categoryata Miner
Object Type:RegKey
Size:-
Location:...\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}\
Last Activity:24.06.2004
Risk LevelLow
Comment:
Description:Installed with Internet Explorer and some Microsoft updates. Alexa is the "What's Related links" feature on your Internet Explorer toolbar. Alexa technology uses a 'web crawler' (bot) only when the toolbar is in use.

----------------------------------------------------------------------

Die mawv.exe werde ich heute abend durchlaufen lassen.

Herzliche Grüße

Werner

#30 @Werner Voeker


Nun ist es wieder ok.

Lade von dieser Site...ist die OriginalSite... das neuste XPAntispy
http://www.xp-antispy.org/index.php?option=com_remository&Itemid=26
setze alle empfohlenen Werte .


#Alexa kannst du loeschen bei AdAware

#Mache einen Onlinescann
http://uk.trendmicro-europe.com/enterprise/products/housecall_launch.php
Poste dann, ob noch etwas gefunden wird.

Fixe, damit es aus dem Autostart kommt...traegt sich wieder ein bei Benutzung

O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

#Die moeglichen Ursachen fuer den zu langsam Aufruf vom InternetExplorer
sind vielleicht die fuer den Internet-Zugang falsch optimierte Parameter vom Router Gigaset WLAN Adapter 54


MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit