setup.exe wird beim Hochfahren ständig beendet!

#1 Problem siehe nächster Beitrag.

#2 poste mal ein hijackthis log

und lass mal ein paar sachen drüberlaufen im abgesicherten modus:

ad-aware
spywareblaster
spybot
mwav

#3 http://board.protecus.de/t9391.htm
laden, scannen. save und kopiere das Log ins Forum
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#4 Vielen Dank!
Aber mittlerweile gibt es das Problem nicht mehr.
Aber dafür ein anderes: Num wird statt desktop.exe, system32.exe beendet mit dem gleichen (oder so ähnlichen) ungültigen Befehl.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\f0r0r\dirote.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\OpenOffice.org1.1.2\program\soffice.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\\Desktop\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1&1 Internet AG
F0 - system.ini: Shell=Explorer.exe C:\WINDOWS\System32\system32.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\system32.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MsProt] MsProt32.exe
O4 - HKLM\..\Run: [DSService] dmrss.exe
O4 - HKLM\..\Run: [rn4d] C:\WINDOWS\System32\f0r0r\kolder.exe C:\WINDOWS\System32\f0r0r\dirote.exe
O4 - HKLM\..\Run: [desktop] C:\WINDOWS\System32\desktop.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [SystemSAS] system32.exe
O4 - HKLM\..\RunServices: [MsProt] MsProt32.exe
O4 - HKLM\..\RunServices: [DSService] dmrss.exe
O4 - HKCU\..\Run: [AVMBlueClient] C:\Programme\AVMCLIENT\bluefritz!.exe
O4 - HKCU\..\Run: [Tukati:1] C:\Program Files\Tukati\Redistributor\1\TukatiRedistributor.exe -r:1
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Programme\OpenOffice.org1.1.2\program\quickstart.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: UnPop (HKLM)
O9 - Extra button: Player! (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .pca: C:\Programme\Internet Explorer\Plugins\nppcaplg.dll
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {C7B05B62-C8D7-438C-840B-4994DAAA8EEE} - http://webpdp.gator.com/v3/download/pdpplugin5094_hd3ptdmgainads.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.powerurl.de/install/StarInstall.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{90598065-2D81-4E29-8241-331F2D7906DD}: NameServer = 217.237.151.97 194.25.2.129

Vielen Dank für eure Hilfe

#5 @Hongry
Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924



Fixe mit dem HijackThis

O4 - HKLM\..\Run: [MsProt] MsProt32.exe
O4 - HKLM\..\Run: [DSService] dmrss.exe
O4 - HKLM\..\Run: [rn4d] C:\WINDOWS\System32\f0r0r\kolder.exe C:\WINDOWS\System32\f0r0r\dirote.exe
O4 - HKLM\..\Run: [desktop] C:\WINDOWS\System32\desktop.exe
O4 - HKLM\..\RunServices: [SystemSAS] system32.exe
O4 - HKLM\..\RunServices: [MsProt] MsProt32.exe
O4 - HKLM\..\RunServices: [DSService] dmrss.exe

O16 - DPF: {C7B05B62-C8D7-438C-840B-4994DAAA8EEE} - http://webpdp.gator.com/v3/download/pdpplugin5094_hd3ptdmgainads.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.powerurl.de/install/StarInstall.ocx


neustarten

Lade mwav.exe und scanne ...ist 30 Tage free
http://www.mwti.net/antivirus/free_utilities.asp
poste dann, was der Scanner noch gefunden hat.

Lade Spyhunter
http://www.spy-bot.net/manual.asp

2. Lade AdAware free
http://www.lavasoft.de/

3. Lade Spybot
http://beam.to/spybotsd

4.scanne mit dem Stinger
http://www.zdnet.de/downloads/programs/q/z/de0DQZ_is-wc.html


Gehe in den abgesicherten Modus...F8 beim Hochfahren druecken und scanne dort mit dem Antivirus und der mwav.exe noch einmal.

5.Loesche unter InternetOptionen die TemporaryInternetFiles und poste das Log noch einmal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit