Kann kein Anti-Virus/Anti Trojan/.../Taskmanager öffnen!

Thema ist geschlossen!
Thema ist geschlossen!
#0
31.01.2006, 18:26
...neu hier

Beiträge: 2
#31 Hallo! Habe soziemlich das selbe Problem ... Weder der Taskmanager, noch msconfig, noch Hijackthis ließ sich öffnen, was ich dann aber im abgesicherten Modus getan habe.

Hier das Log:


Logfile of HijackThis v1.99.1
Scan saved at 18:06:39, on 31.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.squarenet.de/main.php?site=sn-news
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - F:\Programme\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - F:\Programme\Freeprod Toolbar\freeprod.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [AVGCtrl] F:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [McDos] F:\WINDOWS\System32\McDos32.exe
O4 - HKLM\..\Run: [kkmc] F:\WINDOWS\System32\kkmc.exe
O4 - HKLM\..\Run: [lmns] F:\WINDOWS\System32\lmns.exe
O4 - HKLM\..\Run: [winsupdatesysmngr64] winsys64mnger.exe
O4 - HKLM\..\Run: [MS DLL Library Manager] F:\WINDOWS\System32\dllsys64.exe
O4 - HKLM\..\Run: [win msdt service] mswindtc.exe
O4 - HKLM\..\Run: [mlp] C:\inp.exe
O4 - HKLM\..\Run: [Cryptographic Service] F:\WINDOWS\System32\cfpaqg.exe
O4 - HKLM\..\Run: [MSConfig] F:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [winsupdatesysmngr64] winsys64mnger.exe
O4 - HKLM\..\RunServices: [win msdt service] mswindtc.exe
O4 - HKLM\..\RunServices: [mlp] C:\inp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "F:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunServices: [winsupdatesysmngr64] winsys64mnger.exe
O4 - HKCU\..\RunServices: [win msdt service] mswindtc.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit Net Transport herunterladen - F:\Programme\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Herunterladen mit Net Transport - F:\Programme\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - F:\Programme\Freeprod Toolbar\freeprod.dll
O9 - Extra 'Tools' menuitem: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - F:\Programme\Freeprod Toolbar\freeprod.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} -
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\Programme\AVPersonal\AVWUPSRV.EXE


Darüber hinaus lässt sich meine Firewall nicht mehr aktivieren. Naja.
Hoffe, ihr könnt mir weiterhelfen!
Seitenanfang Seitenende
01.02.2006, 00:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#32 Hanuba

du musst formatieren..und zwar schnell , mit dieser Virenschleuder bist du eine Gefahr im Net.
http://virus-protect.org/kompsystem.html
http://virus-protect.org/nachneuinst.html

Reinigung zwecklos....

Wenn du formatiert hast...komme wieder....dann aber mit SP2 (WindowsUpdates)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.02.2006, 01:27
...neu hier

Beiträge: 2
#33 Lässt sich eine Reinigung nicht wenigstens irgendwie versuchen?

Den ganzen Kram neu zu installieren wird eine Ewigkeit dauern! Die Zeit habe ich im Moment kaum, den Rechner brauch ich jedoch ;)
Seitenanfang Seitenende
01.02.2006, 10:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#34

Zitat

Den ganzen Kram neu zu installieren wird eine Ewigkeit dauern!
die Reinigung wird laenger dauern...und das System bleibt kompromitiert......dazu ein PC ohne SP2 ..keine WindowsUpdates.....

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.03.2006, 21:02
...neu hier

Beiträge: 2
#35 palim palim,

habe auf der suche, nach einer lösung zu meinem problem, euer forum gefunden. und wie ich hier lesen konnte wurde vielen hier auch schon geholfen... so auch mir (jetzt). hatte auch das problem das ich den taskmanager nicht aufrufen konnte. hinzu kam das norten mir mitteilte das sich ein virus namens tool[1].exe, winlogon[1].exe sowie proxy[1].exe bei mir ein genisstet haben soll, diesen aber konnte norten nicht entfernen. wie gesagt auf der such nach einer lösung zu diesen problemen habe ich dies forum gefunden, nachdem ich mich in die problematik eingelesen habe und die vorangegangen tipps befolgt habe, könnte ich das problem nun beheben. DANK ersteinmal dafür.

nun habe ich noch eine kleine bitte an dich SABINA ( du scheinst mir äusserst kompetent zusein ;-) )

ich habe mich aufgrund des problems dazu durchgerungen mir dieses hijackthis-tool downzuloaden. da meine kenntnisse beim lesen dieses logfils doch sehr laienhaft sind würde ich dich bitten wollen, mal ein auge auf das nachfolgende logfile zuwerfen und mir gegebenfalls mitzuteilen ob dort noch "schlechte" einträge vorhanden sind.

ich beddanke mich für deine zeit und mühe

immer alles gute
pega

------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 21:08:52, on 13.03.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton Personal Firewall\ISSVC.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.affilinet.de/
O2 - BHO: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {154B8C2C-12B5-461F-850B-383A9882E4BA} - C:\WINDOWS\System32\khgf.dll (file missing)
O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels8.exe
O4 - HKLM\..\RunServices: [Microsoft Update] ms.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\System32\kernels8.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing
O16 - DPF: {10000000-1000-0000-0000-000000000000} - file://C:\\Recycler\\Q678341.exe
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02b249d59c7f27f81f04/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097151299234
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138461218812
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.60.9.213:8181/activex/AxisCamControl.cab
O16 - DPF: {9242BB35-0DB0-43AC-8DFC-8EA07E63B92A} - http://bismark.extracon.it/mirrorcoolstreaming/QQLive1.0Beta02.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{61459903-5E41-4C94-BB27-EC54302FE3E8}: NameServer = 85.255.114.108,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{964D0212-7C25-4F6F-B5A6-A48A0074D36E}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA3BEA15-19F0-41F5-89DB-2C9474E24F9E}: NameServer = 85.255.114.108,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9F8D5A9-DF78-4A45-9997-759B7620CBBB}: NameServer = 85.255.114.108,85.255.112.7
O18 - Filter: text/html - {A5DDA9DD-6DED-4C8F-80BA-90293C6EC1CC} - C:\WINDOWS\System32\khgf.dll
O18 - Filter: text/plain - {A5DDA9DD-6DED-4C8F-80BA-90293C6EC1CC} - C:\WINDOWS\System32\khgf.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ISSVC.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
Seitenanfang Seitenende
14.03.2006, 00:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#36 pega

wende vundofix an
http://virus-protect.org/artikel/tools/vundofixx.html

damit wird auch die Internetverbindung geloescht...es kann sein, dass du eine neue erstellen musst..die jetzige geht in die Ukraine... der Wareout...

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {154B8C2C-12B5-461F-850B-383A9882E4BA} - C:\WINDOWS\System32\khgf.dll (file missing)
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels8.exe
O4 - HKLM\..\RunServices: [Microsoft Update] ms.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\System32\kernels8.exe
O16 - DPF: {10000000-1000-0000-0000-000000000000} - file://C:\\Recycler\\Q678341.exe
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{61459903-5E41-4C94-BB27-EC54302FE3E8}: NameServer = 85.255.114.108,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA3BEA15-19F0-41F5-89DB-2C9474E24F9E}: NameServer = 85.255.114.108,85.255.112.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9F8D5A9-DF78-4A45-9997-759B7620CBBB}: NameServer = 85.255.114.108,85.255.112.7
O18 - Filter: text/html - {A5DDA9DD-6DED-4C8F-80BA-90293C6EC1CC} - C:\WINDOWS\System32\khgf.dll
O18 - Filter: text/plain - {A5DDA9DD-6DED-4C8F-80BA-90293C6EC1CC} - C:\WINDOWS\System32\khgf.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)

PC neustarten

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop --> hier posten

3.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Zitat

Information related to '85.255.112.0 - 85.255.127.255'

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.03.2006, 01:11
...neu hier

Beiträge: 2
#37 palim palim,

so habe alles mal so gemacht wie du mir beschrieben hast.

"die jetzige geht in die Ukraine... der Wareout..."

frage kann das an meiner dfü-verbindung liegen? bin sonst immer über das t-doof einlogg center gegangen?

wende vundofix an

da hat er bei mir nix gefunden... ich nehme mal an das ist gut so?!?

ansonsten die nachfolgenden logfils zum nochmal nachschauen.


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E0A1-66CF

Verzeichnis von C:\WINDOWS\system32

14.03.2006 00:59 43.296 nvapps.xml
12.03.2006 15:39 1 vx.tll
11.03.2006 16:06 2.262 wpa.dbl
17.02.2006 17:49 374.064 perfh009.dat
17.02.2006 17:49 50.532 perfc009.dat
17.02.2006 17:49 384.216 perfh007.dat
17.02.2006 17:49 61.096 perfc007.dat
17.02.2006 17:49 768.008 PerfStringBackup.INI
28.01.2006 23:41 16.832 amcompat.tlb
28.01.2006 23:41 23.392 nscompat.tlb
28.01.2006 23:40 116.560 FNTCACHE.DAT
28.01.2006 23:36 95 spdwnwxp.log
21.12.2005 21:04 2.958 mouseconfig.inf
21.12.2005 20:11 90 spupdwxp.log
10.12.2005 04:16 180.224 nvudisp.exe
10.12.2005 04:16 180.224 NVUNINST.EXE

------------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E0A1-66CF

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

----------------------------------------------------------------

Verzeichnis von C:\WINDOWS

14.03.2006 00:51 0 0.log
14.03.2006 00:51 1.698.299 WindowsUpdate.log
14.03.2006 00:50 159 wiadebug.log
14.03.2006 00:50 50 wiaservc.log
14.03.2006 00:50 2.048 bootstat.dat
14.03.2006 00:48 32.426 SchedLgU.Txt
14.03.2006 00:14 204.748 wmsetup.log
13.03.2006 20:37 860 win.ini
13.03.2006 20:37 944.894 setupapi.log
13.03.2006 20:29 49 NeroDigital.ini
13.03.2006 19:07 604.794 ntbtlog.txt
25.02.2006 18:55 415.295 DirectX.log
16.02.2006 14:53 552.098 iis6.log
16.02.2006 14:53 107.696 comsetup.log
16.02.2006 14:53 70.816 ntdtcsetup.log
16.02.2006 14:53 171.106 tsoc.log
16.02.2006 14:53 4.566 imsins.log
16.02.2006 14:53 15.510 ocmsn.log
16.02.2006 14:53 219.543 ocgen.log
16.02.2006 14:53 16.051 msgsocm.log
16.02.2006 14:53 290.728 FaxSetup.log
16.02.2006 14:51 128.096 msmqinst.log
16.02.2006 14:46 480 ODBC.INI
12.02.2006 16:03 3.303 GPlrLanc.dat
07.02.2006 21:37 1.891 imsins.BAK
07.02.2006 17:40 8.704 Thumbs.db
30.01.2006 18:30 449 WININIT.INI
29.01.2006 15:09 101 CMMIXER.INI
28.01.2006 23:43 61.683 spupdsvc.log
28.01.2006 23:42 316.640 WMSysPr9.prx
28.01.2006 23:38 2.927 tabletoc.log
28.01.2006 23:37 318.643 spuninst.log
28.01.2006 23:26 445 cmsetacl.log
28.01.2006 23:26 485 DtcInstall.log
28.01.2006 23:26 9.232 medctroc.Log
28.01.2006 23:26 14.307 netfxocm.log
28.01.2006 21:43 237 wmsetup10.log
28.01.2006 16:04 2.007.714 pfirewall.log
08.01.2006 18:19 178.128 setupact.log

------------------------------------------------------------------

Verzeichnis von C:\

14.03.2006 01:12 0 sys.txt
14.03.2006 01:11 8.272 system.txt
14.03.2006 01:11 136 systemtemp.txt
14.03.2006 01:09 100.413 system32.txt
14.03.2006 00:53 61 vundofix.txt
14.03.2006 00:50 805.306.368 pagefile.sys
07.02.2006 17:41 7.680 Thumbs.db
07.02.2006 17:29 36.280 GamingC.mac
28.01.2006 23:28 224.032 ntldr
28.01.2006 23:28 45.124 NTDETECT.COM

-----------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 01:22:28, on 14.03.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton Personal Firewall\ISSVC.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\WINDOWS\System32\lexpps.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.affilinet.de/
O2 - BHO: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02b249d59c7f27f81f04/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097151299234
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138461218812
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.60.9.213:8181/activex/AxisCamControl.cab
O16 - DPF: {9242BB35-0DB0-43AC-8DFC-8EA07E63B92A} - http://bismark.extracon.it/mirrorcoolstreaming/QQLive1.0Beta02.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{964D0212-7C25-4F6F-B5A6-A48A0074D36E}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ISSVC.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

-------------------------------------------------------------------------

vielen dank für die zeit und mühe

immer alles gute
pega
Dieser Beitrag wurde am 14.03.2006 um 01:16 Uhr von pega editiert.
Seitenanfang Seitenende
14.03.2006, 11:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#38 pega

0.
Lade echo.zip --> enpacken--> klicke echo.bat --> der Texteditor wird sich oeffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip

1.
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop --> hier posten

2
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .........

C:\WINDOWS\System32\kernels8.exe
C:\WINDOWS\System32\ms.exe
c:\eied_s7.cab
c:\ex.cab
C:\Recycler\Q678341.exe
C:\WINDOWS\system32\vx.tll

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

3.
Lade ewido
http://www.virus-protect.org/ewido.html
boote in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt- waehle "Abgesicherter Modus", wenn der Auswahl-Bildschirm erscheint )
mache einen Fullscann und loesche alles ohne BackUp)
poste dann den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.04.2006, 00:24
...neu hier

Beiträge: 3
#39 Hallo Sabrina

tausend mal danke ...... dein beitrag ( http://board.protecus.de/t10837-3.htm ) hat mir hier sehr geholfen hat prima geklappt !! das hat mir die Neuinstallation von Windows erspart ..

euer Board werde ich empfehlen ...

wenn du mal Epson Drucker problem hast , bei mir bekommst du hilfe

nochmals dank ..

MFG Mister X
Dieser Beitrag wurde am 23.04.2006 um 23:37 Uhr von misterxl21 editiert.
Seitenanfang Seitenende
05.11.2007, 09:04
...neu hier

Beiträge: 6
#40 Hallo Leute

vielleicht könntet ihr mir auch helfen, ich schätze ich habe einen Virus auf dem Rechner.

Es kam plötzlich eine Meldung, das Windows System Dateien von aussen geändert worden seinen.
Ich wollte mit Norton Antivirus, schauen aber es wurde geschlossen, nun lässt es sich nicht meht öfnen

Ich hab es mal deeinstalliert, aber es lässt sich auch nicht mehr neu installieren.
Dann habe ich versucht Avira Antivir und Spybot zu installieren, aber auch diese lassen sich nicht installieren.


Hier mal das Log von HiJackThis

[Log noch mal entfernt, da ich durch msconfig nicht alles drin hatte]

Leider kann ich ohne einen Antivir feststellen, um welchen Virus es sich handelt.

Könnt ihr mir helfen???

Grüsse Joe James


ÄNDERUNG: HiJack-Log noch mal entfernt, da ich durch msconfig nicht alles drin hatte
Dieser Beitrag wurde am 05.11.2007 um 09:59 Uhr von Joe James editiert.
Seitenanfang Seitenende
05.11.2007, 09:33
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#41 Poste mal die daten von http://board.protecus.de/t23188.htm
__________
MfG Argus
Seitenanfang Seitenende
05.11.2007, 10:21
...neu hier

Beiträge: 6
#42 Hallo Arnold,

ich danke dir schon mal, für die Mühe, die du dir Machst


ok, hier die Logs

---------------------------------------------------------------------------

von COMBOFIX
ComboFix 07-11-05.2 - Fugo 2007-11-05 9:50:42.1 - [color=red]FAT32[/color]x86
ausgeführt von:: C:\Dokumente und Einstellungen\Fugo\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\exefld
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
F:\RECYCLER\Desktop.ini

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_SROSA
-------\srosa


((((((((((((((((((((((( Dateien erstellt von 2007-10-05 bis 2007-11-05 ))))))))))))))))))))))))))))))
.

2007-11-05 09:50 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-27 10:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2007-10-27 10:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Sonic Shared
2007-10-27 10:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sonic
2007-10-27 10:31 <DIR> d-------- C:\Programme\Gemeinsame Dateien\HP
2007-10-27 10:28 <DIR> d-------- C:\Programme\Hewlett-Packard
2007-10-27 10:26 51,120 -ra------ C:\WINDOWS\system32\drivers\HPZid412.sys
2007-10-27 10:26 16,496 -ra------ C:\WINDOWS\system32\drivers\HPZipr12.sys
2007-10-27 10:25 77,824 -ra------ C:\WINDOWS\system32\hpzids01.dll
2007-10-27 10:25 37,376 --a------ C:\WINDOWS\system32\hpz3l3xu.dll
2007-10-27 10:24 278,584 --a------ C:\WINDOWS\system32\HPZidr12.dll
2007-10-27 10:24 204,800 --a------ C:\WINDOWS\system32\HPZipr12.dll
2007-10-27 10:24 94,208 --a------ C:\WINDOWS\system32\HPZipt12.dll
2007-10-27 10:24 69,632 --a------ C:\WINDOWS\system32\HPZipm12.exe
2007-10-27 10:24 61,440 --a------ C:\WINDOWS\system32\HPZinw12.exe
2007-10-27 10:24 57,344 --a------ C:\WINDOWS\system32\HPZisn12.dll
2007-10-27 10:21 <DIR> d-------- C:\Programme\HP
2007-10-27 10:19 <DIR> d-------- C:\Dokumente und Einstellungen\Fugo\Anwendungsdaten\HP
2007-10-27 10:19 82,542 --a------ C:\WINDOWS\HPHins08.dat
2007-10-27 10:19 4,011 --------- C:\WINDOWS\hphmdl08.dat
2007-10-27 10:10 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-10-27 10:10 31,616 --a------ C:\WINDOWS\system32\dllcache\usbccgp.sys
2007-10-27 10:10 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-10-27 10:10 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys
2007-10-26 20:50 <DIR> d-------- C:\Programme\Thoosje Sidebar V2.3
2007-10-12 12:16 <DIR> d--hs---- C:\FOUND.001

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-04 22:07 17,408 ----a-w C:\WINDOWS\system32\drivers\USBCRFT.SYS
2007-10-30 18:43 140,936 ----a-w C:\Dokumente und Einstellungen\Fugo\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-10-01 01:39 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF
2007-10-01 01:39 60,800 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL
2007-10-01 01:39 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2007-10-01 01:39 10,676 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2005-05-11 22:36 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll
2006-05-03 11:06:54 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 12:47:16 31,744 --sh--r C:\WINDOWS\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-01-06 04:01]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_14\bin\jusched.exe" [2007-03-14 17:23]
"QuickTime Task"="H:\ANW\QuickTime\qttask.exe" [2006-03-28 21:16]
"osCheck"="C:\Programme\Norton Internet Security\osCheck.exe" []
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2005-09-25 19:11]
"ICQ Lite"="H:\ANW\ICQLite\ICQLite.exe" [2006-07-11 11:15]
"HPHUPD08"="C:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [2005-06-01 19:35]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 12:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=H:\ANW\ICQLite\ICQLite.exe -trayboot

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"InfoCockpit"=H:\ANW\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash

[color=red]SafeBoot Registrierungsschlssel muss repariert werden. Dieser PC kann nicht im abgesicherten Modus starten.[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"DataLayer"=C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"Nokia Tray Application"=C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
"QuickTime Task"="H:\ANW\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"

R0 PQV2i;PQV2i;C:\WINDOWS\system32\drivers\PQV2i.sys
R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys
R1 ATITool;ATITool Overclocking Utility;C:\WINDOWS\system32\DRIVERS\ATITool.sys
R1 PQIMount;PQIMount;C:\WINDOWS\system32\drivers\PQIMount.sys
R1 SSHDRV65;SSHDRV65;\??\C:\WINDOWS\system32\drivers\SSHDRV65.sys
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
R3 WmBEnum;Logitech Virtual Bus Enumerator Driver;C:\WINDOWS\system32\drivers\WmBEnum.sys
R3 WmXlCore;Logitech WingMan Translation Layer Driver;C:\WINDOWS\system32\drivers\WmXlCore.sys
S3 CardReaderFilter;Card Reader Filter;\??\C:\WINDOWS\system32\Drivers\USBCRFT.SYS
S3 IIUSBISP;USB Mass Storage for USB ISP;C:\WINDOWS\system32\Drivers\iiusbisp.sys
S3 MIINPazX;MIINPazX NDIS Protocol Driver;\??\C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;\??\H:\ANW\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS
S3 WmFilter;Logitech WingMan HID Filter Driver;C:\WINDOWS\system32\drivers\WmFilter.sys
S3 WmVirHid;Logitech Virtual Hid Device Driver;C:\WINDOWS\system32\drivers\WmVirHid.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\Shell\AutoRun\command - I:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\M]
\Shell\AutoRun\command - M:\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{37a76eec-d3e7-11db-8be8-806d6172696f}]
\Shell\AutoRun\command - K:\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{69627126-70c3-11da-8ec9-806d6172696f}]
\shell\ReadDisc\command - "H:\ANW\Alcohol Soft\Alcohol 120\Alcohol.exe" %1

*Newly Created Service* - COMHOST
.
Inhalt des "geplante Tasks" Ordners
"2007-11-05 07:00:02 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job"
- C:\Programme\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-05 09:55:38
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-05 9:57:00 - machine was rebooted
.
--- E O F ---
---------------------------------------------------------------------------

von HIJackThis


Logfile of HijackThis v1.99.1
Scan saved at 10:04:30, on 05.11.2007
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
H:\ANW\Ashampoo Magical Defrag\bin\aDefragService.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
H:\ANW\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_14\bin\jusched.exe
C:\WINDOWS\system32\devldr32.exe
H:\ANW\QuickTime\qttask.exe
H:\ANW\ICQLite\ICQLite.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
H:\ANW\Launchy\Launchy.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
H:\ANW\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
E:\hijackthis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\ANW\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - F:\ANW\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\ANW\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - H:\ANW\Net transport\NXIEHelper.dll
O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\ANW\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - H:\ANW\Net transport\NXToolBar.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\j2re1.4.2_14\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "H:\ANW\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] "H:\ANW\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [HPHUPD08] C:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] H:\ANW\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = H:\ANW\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Launchy.lnk = H:\ANW\Launchy\Launchy.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Ashampoo Magical Defrag.lnk = H:\ANW\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = H:\ANW\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Alles mit NetXfer herunterladen - H:\ANW\Net transport\NXAddList.html
O8 - Extra context menu item: Herunterladen mit NetXfer - H:\ANW\Net transport\NXAddLink.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://H:\ANW\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_14\bin\npjpi142_14.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_14\bin\npjpi142_14.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\ANW\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\ANW\ICQLite\ICQLite.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: AshampooDefragService - - H:\ANW\Ashampoo Magical Defrag\bin\aDefragService.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Unknown owner - C:\Programme\Norton Internet Security\isPwdSvc.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: V2i Protector - PowerQuest Corporation - H:\ANW\Drive Image 7.0\Agent\PQV2iSvc.exe


---------------------------------------------------------------------------

von FindDat
(die letzten 3 Monate;)


Datenträger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 0A84-BC26

Verzeichnis von C:\WINDOWS\system32

03.11.2007 10:47 2.206 wpa.dbl
29.10.2007 08:31 469.984 FNTCACHE.DAT
01.10.2007 02:39 60.800 S32EVNT1.DLL
22.07.2007 18:39 279.552 swreg.exe




Ein weiteres Symptom hab ich vielleicht noch, wenn Windows gestartet wird, und der Desktop angezeigt wird (aber noch einzele Sachen geladen werden),
dann kommt oben links kurz ein graues Fenster








Ok, dann vielen Dank noch mal

Grüße Joe James
Dieser Beitrag wurde am 05.11.2007 um 10:30 Uhr von Joe James editiert.
Seitenanfang Seitenende
05.11.2007, 10:40
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#43 Entferne auf C:\ Qoobox-->Papierkorb leeren

Die Daten unter http://board.protecus.de/t23188.htm sind anscheinend anders bei dir als bei mir ;)

Scanne Online mit F-Secure
__________
MfG Argus
Seitenanfang Seitenende
05.11.2007, 11:03
...neu hier

Beiträge: 6
#44 Hallo Arnold

oooh, ok,

also Quobox gelöscht -> Papierkorp geleert

(oh, nach einem Neustart öffnet sich mein das Norton Antivir wieder(ich eigentlich hab ich doch auf den Deinstallationsbutton geklickt, na gut, auch ecgal, aber das sich das wieder öffnet das ist doch schon mal ein Gutes Zeichen, oder??)

Das Graue Fenster, beim Start ist aber noch da...

Der OnlineScan wird allerdings ein wenig brauchen.....

ich werd mich dann wieder melden

Vielen Dank nochmals

Grüsse Joe James
Seitenanfang Seitenende
05.11.2007, 12:43
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#45 Entferne Hijack This 1.99.1 und...........

Erstellen eines Hijackthis-Logfiles
Als erstes mach ein neuen Ordner auf C:\ z.b. C:\HijackThis,download HijackThis.exe dahin
Download: HijackThis202
Doppelklick HijackThis.exe und installiere das Tool in C:\Programme
Am Ende steht auf dein Desktop eine verknüpfung
Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Bitte mach datfindbat nochmal aber mit alle daten
http://virus-protect.org/datfindbat.html
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: