regedit & msconfig werden sofort geschlossen/C:\WINDOWS\System32\nbthelp.exe

#16 Hallo@dfc-eraser

scanne bitte noch mal mit allen 3 Onlinescannern und poste mir die logs von den Scanns + das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit

#17 ahhh ich hab das selbe wieder!!!! und es geht aber nicht weg wie beim letzten mal :-(

komischer weise kann ich panda nicht mehr öffnen


Logfile of HijackThis v1.99.1
Scan saved at 10:48:21, on 24.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\Kopie von HijackThis.exe

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [svshost32] svshost32.exe
O4 - HKLM\..\Run: [Securepoint Personal Firewall] "C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe"
O4 - HKLM\..\RunServices: [svshost32] svshost32.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [svshost32] svshost32.exe
O4 - HKCU\..\RunServices: [svshost32] svshost32.exe
O4 - Global Startup: Cirond WiNc.lnk = C:\Programme\Cirond\Cirond WiNc\WiNc.exe
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{614B5EC8-883D-484B-A2C0-0D270A4CF843}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: LexBce Server (LexBceS) - Unknown owner - C:\WINDOWS\system32\LEXBCES.EXE (file missing)
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)
O23 - Service: Securepoint Personal Firewall (spfirewallsvc) - Securepoint Latinoamerica S.A. de C.V. - C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe

#18 Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten wochen raus

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit


silentrunners
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.

start-->Suchen--> pif (poste wieviele du gefunden hast und loesche alle)
__________
MfG Sabina

rund um die PC-Sicherheit

#19 der sagt das der zugriff auf das windows host script deaktiviert wäre und ich mich an den admin wenden solle... :-) da ich der bin... wie geht das wieder an?


und ich bin glaub zu blöd für die dos befehle.... das will bei mir nicht... geht alles bis zu dem :

dir /a:-d /o:-d > %systemdrive%\systemtemp.txt

befehl

#20 Fixe mit dem HijackThis:

O4 - HKLM\..\Run: [svshost32] svshost32.exe
O4 - HKLM\..\RunServices: [svshost32] svshost32.exe
O4 - HKCU\..\Run: [svshost32] svshost32.exe
O4 - HKCU\..\RunServices: [svshost32] svshost32.exe

PC neustarten

kopiere mal alles so rein, wie es hier steht (nicht schreiben)

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit


avast_4_home
http://www.avast.com/eng/avast_4_home.html
installieren--> dann wird ein Boots-Scann angeboten-->akzeptieren und danach
aswclnr.log<--das Log vom Scann suchen und posten
__________
MfG Sabina

rund um die PC-Sicherheit

#21 das mit dem dos ging nun aber hatte es nicht kopiert aber ging halt hab dann alles selber rausgelöscht :-)

#22 ich verstehe kein Wort ??? Was hast du rausgeloescht?

avast_4_home
http://www.avast.com/eng/avast_4_home.html
installieren--> dann wird ein Boots-Scann angeboten-->akzeptieren und danach
das Log vom Scann suchen und posten
aswclnr.log
DATA/report/aswboot.txt
+
das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#23 CreateKbThread
new CKbBuffer
CKbBuffer::Init
CKbBuffer::Init end
ZwCreateEvent(g_hStopEvent)
ZwAllocateVirtualMemory - stack
ZwGetContextThread - NtCurrentThread
ZwCreateThread - KbThread
CreateKbThread end
ZwInitializeRegistry
KbThread start
Unschedule
61,00,75,00,74,00,6F,00,63,00,68,00,65,00,63,00,
6B,00,20,00,61,00,75,00,74,00,6F,00,63,00,68,00,
6B,00,20,00,2A,00,00,00,61,00,73,00,77,00,42,00,
6F,00,6F,00,74,00,2E,00,65,00,78,00,65,00,20,00,
2F,00,41,00,3A,00,22,00,2A,00,22,00,20,00,2F,00,
4C,00,3A,00,22,00,47,00,65,00,72,00,6D,00,61,00,
6E,00,22,00,00,00,00,00,
Unschedule end
ZwSetEvent(g_hInitEvent)
InitKeyboard
s_dwKbdClassCnt: 2
InitKeyboard end
GetKey
ReadRegistry
DATA=C:\Programme\Alwil Software\Avast4\DATA
PROG=C:\Programme\Alwil Software\Avast4
SystemRoot=C:\WINDOWS
TEMP=C:\WINDOWS\TEMP
TMP=C:\WINDOWS\TEMP
ReadRegistry end
CreateTemp
CreateTemp end
cmnbInit
SetFolders
SetFolders end
aswEnginDllMain(DLL_PROCESS_ATTACH)
InitLog
InitLog end
InitReport
InitReport end
CmdLine
aswBoot.exe /A:"*" /L:"German"
CmdLine end
LoadResources
LoadFile
LoadFile end
LoadResources end
CKbBuffer::Wait
CKbBuffer::Get
CKbBuffer::Get end
CKbBuffer::Wait end
FreeMemory: 935735296
aswintegInitialize
avworkInitialize
ProcessArea
avfilesScanReal(MBR0)
avfilesScanReal C:\
CKbBuffer::Get
0, 2, 0, 0, 0
GetKey end
CKbBuffer:ut
CKbBuffer:ut end
GetKey
CKbBuffer::Get end
MarkFileRemoval
MarkFileRemoval end
0, 2, 1, 0, 0
CKbBuffer::Get
0, 2, 0, 0, 0
GetKey end
CKbBuffer:ut
CKbBuffer:ut end
GetKey
CKbBuffer::Get end
CKbBuffer::Get
0, 2, 1, 0, 0
0, 4, 0, 0, 0
GetKey end
CKbBuffer:ut
CKbBuffer:ut end
GetKey
CKbBuffer::Get end
0, 4, 1, 0, 0
CKbBuffer::Get
0, 2, 0, 0, 0
GetKey end
CKbBuffer:ut
CKbBuffer:ut end
GetKey
CKbBuffer::Get end
CKbBuffer::Get
0, 2, 1, 0, 0
0, 2, 0, 0, 0
GetKey end
CKbBuffer:ut
CKbBuffer:ut end
GetKey
CKbBuffer::Get end
0, 2, 1, 0, 0
CKbBuffer::Get
0, 3, 0, 0, 0
GetKey end
CKbBuffer:ut
CKbBuffer:ut end
GetKey
CKbBuffer::Get end
CKbBuffer::Get
0, 3, 1, 0, 0
0, 3, 0, 0, 0
GetKey end
CKbBuffer:ut
CKbBuffer:ut end
GetKey
CKbBuffer::Get end
0, 3, 1, 0, 0
avfilesScanReal D:\
avfilesScanReal E:\
avworkClose
aswintegClose
TerminateKbThread
GetKey end
CloseKeyboard
CloseKeyboard end
KbThread stop
CKbBuffer::~CKbBuffer
CKbBuffer::~CKbBuffer end
aswEnginDllMain(DLL_PROCESS_DETACH)
cmnbFree
FreeResources
CloseReport
CloseLog


habe aus den dateien die sachen selber rausgelöscht

#24 Hallo@dfc-eraser

•Online-Scann (Panda)
http://www.pandasoftware.com/activescan/com/activescan_principal.htm

berichte vom Scann
__________
MfG Sabina

rund um die PC-Sicherheit