tr/dldr.small.or

#166 Hallo Sabina,
ich glaube mein Rechner war einfach nur zu lange an einem Stück an. Habe ihm eine Pause gegönnt und Heute scheint er wieder halbwegs gut zulaufen.
Vielleicht findest du ja dennoch was.
mfg Beto


Logfile of HijackThis v1.98.2
Scan saved at 14:36:25, on 12.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\LevelOne 11g Wireless Adapter\WLANMON.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\eScan\kavss.exe
C:\WINDOWS\System32\locator.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\Programme\eMule\emule.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Dokumente und Einstellungen\Ali\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Overnet] C:\Programme\Overnet\Overnet.exe -t
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Level One 11g Wireless Configuration Utility.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095176966310
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?323
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A41BC50-2BE4-4A9F-81D2-11D81EA2FB8B}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0237D8A-F312-4E7A-9E3B-C0E078098276}: NameServer = 205.188.146.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{7A41BC50-2BE4-4A9F-81D2-11D81EA2FB8B}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{7A41BC50-2BE4-4A9F-81D2-11D81EA2FB8B}: NameServer = 192.168.1.1
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll

#167 Hallo@beto

Das Log ist sauber.

Gehe mal mit TuneUp drueber.
(Reinigen\Optimieren)
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/download/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#168 Hallo Sabina,
hätte ich besser mal nichts gesagt. Kurz nachdem ich das letzte mal gepostet habe, stieg meine CPU-Auslastung auf 100%. Das einzige was ich gemacht hatte, war einen neuen winmedia player 10 instaliert. Dann musste ich einen Reset durchführen weil nichts mehr ging.

Woran kann das liegen?
mfg Beto

#169 Schau mal, ob der Luefter vom PC schoen sauber und nicht verstaubt ist und dann scanne im abgesicherten Modus mit eScan.
Dann lade TuneUp und schau, ob das Tool eventuell alles geradebiegt.
Es kann auch sein, dass dein Memory-Chip defekt ist und du einen neuen brauchst.
Deinstalliere den MediaPlayer wieder.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#170 also ich hab dank dir jetzt das tool, danke
und hier jetzt der log

Logfile of HijackThis v1.98.2
Scan saved at 22:18:34, on 14.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
D:\Logitech\MouseWare\system\em_exec.exe
D:\OmniPageSE\opware32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Win Office 97\Office\OSA.EXE
d:\Antivir\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\VEntrilo 2.1\Ventrilo.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\ICQ\Icq.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\padim\LOKALE~1\Temp\Rar$EX00.613\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.usclandhaus.org/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Acrobat Reader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [sysconf] sysconf.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DU Meter] D:\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "d:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Omnipage] D:\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [Microsoft SVHOST Configuration Service] svhost.exe
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe
O4 - HKLM\..\RunServices: [sysconf] sysconf.exe
O4 - Startup: Office-Start.lnk = D:\Win Office 97\Office\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - http://eq2beta.station.sony.com/beta_reg/de/soesysinfo.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE5CA98D-F297-4E71-B9C1-9A595E0BF4E3}: NameServer = 195.34.133.10,195.34.133.11

#171 Hallo@padim

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Gehe in die Registry
Start<Ausfuehren<regedit

gib oben links in die Suchfunktion der Registry ein:
<sysconf
<svhost
<sndloader

Und loesche RECHTS in der Registry alles, was du findest:

zum Beispiel:

<HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
loeschen:
Sound Loader = sndloader.exe

<HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
loeschen:
Sound Loader = sndloader.exe

<HKLM\SYSTEM\CurrentControlSet\Enum\Root\
loeschen:
=>Berechtigungen => Erweitert => Bearbeiten => Zugriff für Löschen ermöglichen => löschen
LEGACY_SNDMGR

<HKLM\SYSTEM\CurrentControlSet\Services\
loeschen:
SndMgr

schliese die Registry:

Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [sysconf] sysconf.exe
O4 - HKLM\..\RunServices: [Microsoft SVHOST Configuration Service] svhost.exe [Backdoor.Agobot.3.bv]
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe [W32/Agobot-BV]
O4 - HKLM\..\RunServices: [sysconf] sysconf.exe [W32/Agobot-FP]
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

neustarten

oeffne das HijackThis:
HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
In dem Fenster bei Dateiname einfügen:

c:\windows\system32\sysconf.exe

und Öffnen klicken.
Du solltest diese Nachricht erhalten: "The file
c:\windows\system32\sysconf.exe'
will be deleted by Windows when the system restarts....Do you want to restart your computer now?"
No klicken.

Abermals den "Delete a file on reboot" Button klicken - diesmal einfügen:

c:\windows\system32\svhost.exe

und bei der Frage nach dem Restart diesmal Yes klicken.

dann loescht du noch: (auch mit dem HijackThis, oder manuell.
<c:\windows\system32\sndloader.exe
<c:\windows\system32\dllhost.exe
<c:\windows\system32\msblast.exe
<c:\windows\system32\mspatch.exe
<c:\windows\system32\penis32.exe
<c:\windows\system32\tftpd.exe
<c:\windows\system32\winhlpp32.exe
<c:\windows\system32\winppr32.ex
......................................................................................................
Lade:
<#eScan-Trial
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

klicke auf: awn2k3e.exe , setze alle Haekchen und scanne.

Dann poste das neue Log vom HijackThis.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#172 danke, werd i dann machn, sieht irgendwie anstregend aus :/ huiii

Zitat

Sabina postete

gib oben links in die Suchfunktion der Registry ein:
<sysconf
<svhost
<sndloader

Und loesche RECHTS in der Registry alles, was du findest:

ok i hab angefangen und in der regedit ersteinmal den sysconf eintrag gesucht, nun hab i unter current version/run 14 bzw mit standard reg_sz 15 sachn drin (dumeter, kernelfaultcheck, logitech utility, nerofiltercheck, nvcpldaemon, nvmediacenter, nwiz, omnipage, quicktime task, sunjavaupdatesched, sysconf, tkbellexe, updreg, windvdpatch)
soll i des jetzt wirkli alles löschn ? :o

current version/runservices (standard, microsoftsvhost configuration service, sound loader, sysconf)

#173 Hallo@padim

Es ist mir ein Raetsel, wenn ich schreibe, dass du nur ganz bestimmte Dinge loeschen sollst und du postest mir die gesamten Eintraege vom Startup. ........
Wenn du die alle loescht, hast du keinen funktionierenden PC mehr.

Das Einzige, was du wirklich vor dem Fixen in der Registry loeschen musst ist:
<HKLM\SYSTEM\CurrentControlSet\Enum\Root\
loeschen:
=>Berechtigungen => Erweitert => Bearbeiten => Zugriff für Löschen ermöglichen => löschen
LEGACY_SNDMGR

<HKLM\SYSTEM\CurrentControlSet\Services\
loeschen:
SndMgr

schliese die Registry:

Das andere loescht das HijackThis, wenn du die geposteten Dinge beim Neustart anhakst.......

BITTE, hake wirklich nur an, was ich geschrieben habe.
Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [sysconf] sysconf.exe
O4 - HKLM\..\RunServices: [Microsoft SVHOST Configuration Service] svhost.exe
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe
O4 - HKLM\..\RunServices: [sysconf] sysconf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

PC neustarten

Das Beste fuer deine Situation (und weil du augenscheinlich nicht viel von PCs verstehst...ist immer noch eine Neuinstallation von Windows. Dein PC ist hoffnungslos verseucht und nur mit einigen Kenntissen sauberzubekommen.
Ich kann dir nur sagen, welche "exe" Viren sind und wie sie heissen. Eigentlich muesste man sich nun nach genau diesen "exe" auf die Suche machen und sie in der Registry und in Windows loeschen...mehr kann ich nicht machen und wenn du deinen komplettes Windows nebst den Viren loeschen willst...so ist das deine Angelegenheit.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#174 *Hilfe - Bin am Ende meines Lateins*!!!

Bitte hilf mir Sabina - bin langsam echt verzweifelt und müde (4:40h am Morgen...)
Habe mir die Trojaner "pxhping.exe" und "mqbckup.exe" eingefangen. Daraufhin habe ich HighJackThis, Spybot, Adaware und Antivir drüberlaufen lassen. Das hat alles nichts genützt... Exe-Dateien liegen angeblich unter "C:\WINDOWS\System32\pxhping.exe" bzw. unter "C:\WINDOWS\System32\mqbckup.exe" Doch leider sind sie dort nicht aufzufinden!!! Und dennoch, siehe im log:

Logfile of HijackThis v1.98.2
Scan saved at 04:35:09, on 16.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Medionkeyboard\1.3\KbdAp32A.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\XP PROCESS EXPLORER - Sysinternals\procexp.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\pxhping.exe
C:\WINDOWS\System32\mqbckup.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///D:/Eigene%20Dateien/-%20WEBSITEPROJEKTE%20-/-%20AKTUELLE%20PROJEKTE%20-/damlinks/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/Eigene%20Dateien/-%20WEBSITEPROJEKTE%20-/-%20AKTUELLE%20PROJEKTE%20-/damlinks/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medionkeyboard\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{82FDB951-FA79-4A8F-8020-F71E89B55824}: NameServer = 62.104.191.241 62.104.196.134

Was muss ich jetzt fürSoftware runterladen, damit mein Rechner wieder funktioniert? Wie jehts jetzt weiter?

mfg,
Alexio

#175 Hallo@Alexio

#oeffne das HijackThis:
HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
In dem Fenster bei Dateiname einfügen\reinkopieren:
C:\WINDOWS\System32\pxhping.exe
wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "no"

und fuege das naechste ein:
C:\WINDOWS\System32\mqbckup.exe
UND klickst du "yes" und startest den PC neu.

Datentraegerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#eScan-Trial
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)...am besten im abgesicherten Modus scannen
klicke auf: awn2k3e.exe

Dann poste das neue Log vom HijackThis.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#176

Zitat

Sabina postete
gib oben links in die Suchfunktion der Registry ein:
<sysconf
<svhost
<sndloader

svhost und sndloader nicht gefunden, konnte daher nichts in der richtung löschn, only sysconf.

Zitat

Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [sysconf] sysconf.exe
O4 - HKLM\..\RunServices: [Microsoft SVHOST Configuration Service] svhost.exe [Backdoor.Agobot.3.bv]
O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe [W32/Agobot-BV]
O4 - HKLM\..\RunServices: [sysconf] sysconf.exe [W32/Agobot-FP]
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

daher konnte ich hier auch nicht alles löschn, ist klar nehm i mal an.

Zitat

neustarten

oeffne das HijackThis:
HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
In dem Fenster bei Dateiname einfügen:

c:\windows\system32\sysconf.exe

und Öffnen klicken.
Du solltest diese Nachricht erhalten: "The file
c:\windows\system32\sysconf.exe'
will be deleted by Windows when the system restarts....Do you want to restart your computer now?"
No klicken.

Abermals den "Delete a file on reboot" Button klicken - diesmal einfügen:

c:\windows\system32\svhost.exe

und bei der Frage nach dem Restart diesmal Yes klicken.

dann loescht du noch: (auch mit dem HijackThis, oder manuell.
<c:\windows\system32\sndloader.exe
<c:\windows\system32\dllhost.exe
<c:\windows\system32\msblast.exe
<c:\windows\system32\mspatch.exe
<c:\windows\system32\penis32.exe
<c:\windows\system32\tftpd.exe
<c:\windows\system32\winhlpp32.exe
<c:\windows\system32\winppr32.exe

das konnt ich ebenfalls nicht durchführen weil ich nichts mehr davon gefunden hab. only dllhost.exe hab i gfunden, das blöde dabei ist, das anti virus programm eScan hat jetzt gerade beim installieren etwas gescannt und ist wieder auf svhost.exe gestoßen komisch, ich lass es gerade meinen pc checkn, und es hat schon mal den backdoor.win32.agobot.vm virus gefunden, in der file MSlti64.exe, und der virus kann nicht gelöscht werdn, bzw die file nicht umbenannt werden.

also aus der log datei
Di Nov 16 20:20:39 2004 => Scanning File C:\MSlti64.exe
Di Nov 16 20:20:40 2004 => File Infected with "Backdoor.Win32.Agobot.vm". (Zugriff verweigert)Unable to rename infected file. Virus could not be removed!

Di Nov 16 20:35:45 2004 => Scanning File C:\SystemVolumeInformation\_restore{62AAB7A3-130D-42ED-A74C-48BF2337DF02}\RP1\A0000012.exe
Di Nov 16 20:35:46 2004 => File Infected with "Backdoor.Win32.Agobot.vm". (Zugriff verweigert)Unable to rename infected file. Virus could not be removed!

mein jetztiges hijackthis log

Logfile of HijackThis v1.98.2
Scan saved at 22:08:23, on 16.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
d:\Antivir\AVWUPSRV.EXE
C:\WINDOWS\system32\CTHELPER.EXE
D:\ESCANA~1\TRAYSSER.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
D:\ESCANA~1\avpm.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
D:\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\OmniPageSE\opware32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\ESCANA~1\MAILDISP.EXE
D:\ESCANA~1\AVPMWrap.EXE
D:\Win Office 97\Office\OSA.EXE
D:\ESCANA~1\SPOOLER.EXE
D:\ESCANA~1\MAILSCAN.EXE
D:\ESCANA~1\kavss.exe
D:\ESCANA~1\AvpM.exe
E:\Steam\Steam.exe
D:\VEntrilo 2.1\Ventrilo.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\Winamp\winamp.exe
D:\soulseek\slsk.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\padim\LOKALE~1\Temp\Rar$EX00.705\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.usclandhaus.org/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Acrobat Reader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DU Meter] D:\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Omnipage] D:\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MailScan Dispatcher] "D:\eScan anti-virus\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] D:\ESCANA~1\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] D:\ESCANA~1\AVPMWrap.EXE
O4 - Startup: Office-Start.lnk = D:\Win Office 97\Office\OSA.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - http://eq2beta.station.sony.com/beta_reg/de/soesysinfo.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://www.popfile.de/myplaylist/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE5CA98D-F297-4E71-B9C1-9A595E0BF4E3}: NameServer = 195.34.133.10,195.34.133.11



p.s.:und wegen dem post vorher, ich hab deine ansage einfach falsch verstanden und ich versteh schon was von pc´s. sonst hätt i ned die blöde frage gestellt ich weiss ja das des wichtige sachn san die in der regedit stehn.

#177 Guten Abend,
vielen Dank für die Tipps, aber wie das log zeigt, war ich leider nicht erfolgreich. E-scan hat zwar angeschlagen, aber das Problem leider nicht behoben. Es kam noch eines dazu. Zu den zwei C:\WINDOWS\System32\pxhping.exe und C:\WINDOWS\System32\mqbckup.exe startete plötzlich das Programm 26.exe, welches zur Folge hatte, dass die Verbindung zum Netz gekappt wurde (bin noch Modemnutzer). Habe es mit dem Process Explorer gekillt, sonst wäre ich jetzt nicht hier ;-)
Tja und nun? Wahrscheinlich ist eine Neuaufsetzung des Systems sinnvoll, oder? Trotz der kleinen Programme scheints (bei mir nicht zu funktionieren :-(

mfg, Alexio


Logfile of HijackThis v1.98.2
Scan saved at 21:30:59, on 16.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\Programme\Medionkeyboard\1.3\KbdAp32A.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\locator.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\XP PROCESS EXPLORER - Sysinternals\procexp.exe
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\pxhping.exe
C:\WINDOWS\System32\mqbckup.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///D:/Eigene%20Dateien/-%20WEBSITEPROJEKTE%20-/-%20AKTUELLE%20PROJEKTE%20-/damlinks/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/Eigene%20Dateien/-%20WEBSITEPROJEKTE%20-/-%20AKTUELLE%20PROJEKTE%20-/damlinks/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medionkeyboard\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O15 - Trusted Zone: http://*.63.219.181.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{82FDB951-FA79-4A8F-8020-F71E89B55824}: NameServer = 145.253.2.81 145.253.2.203

#178 Hallo@padim

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Kopiere ins HijackThis:
c:\windows\system32\mslti64.exe
neustarten

das Gleiche mit:
<c:\windows\system32\wmmon32.exe

(oder loesche manuell)

#oeffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
loesche alles , lasse nur stehen:

# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,

dann scanne noch mal mit eScan im Normalmodus und im abgesicherten Modus und berichte.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#179 Hallo@Alexio

Start-->>Ausfuehren-->>reinschreiben : cmd und DOS oeffnet
sich-->>kopiere rein:
del C:\WINDOWS\System32\pxhping.exe
<enter>

danach:
del C:\WINDOWS\System32\mqbckup.exe
<enter<
PC neustarten

suche:\loesche
<m!1024.exe
<murph~26.exe

scanne mit eScan im abgesicherten Modus .
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

dann berichte.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#180 Hola,

cmd ausgeführt und del C:\WINDOWS\System32\pxhping.exe
<enter>

danach:
del C:\WINDOWS\System32\mqbckup.exe
<enter<

ausgeführt.
Es kam die Meldung, dass der Pfad nicht gefunden werden konnte...Keine Lust mehr ;-(
Habe jetzt entmutigt aufgegeben und mach mein System neu, sicher ist sicher...
Danke trotzdem nochmal für die Hilfe, echt toll, dass hier jemand so gut Bescheid weiß.

mfg, Alexio