tr/dldr.small.orThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
12.11.2004, 14:36
Member
Beiträge: 31 |
||
|
||
12.11.2004, 15:00
Ehrenmitglied
Beiträge: 29434 |
#167
Hallo@beto
Das Log ist sauber. Gehe mal mit TuneUp drueber. (Reinigen\Optimieren) #TuneUp2004 (30 Tage free) http://www.tuneup.de/download/ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.11.2004, 15:02
Member
Beiträge: 31 |
#168
Hallo Sabina,
hätte ich besser mal nichts gesagt. Kurz nachdem ich das letzte mal gepostet habe, stieg meine CPU-Auslastung auf 100%. Das einzige was ich gemacht hatte, war einen neuen winmedia player 10 instaliert. Dann musste ich einen Reset durchführen weil nichts mehr ging. Woran kann das liegen? mfg Beto |
|
|
||
12.11.2004, 15:05
Ehrenmitglied
Beiträge: 29434 |
#169
Schau mal, ob der Luefter vom PC schoen sauber und nicht verstaubt ist und dann scanne im abgesicherten Modus mit eScan.
Dann lade TuneUp und schau, ob das Tool eventuell alles geradebiegt. Es kann auch sein, dass dein Memory-Chip defekt ist und du einen neuen brauchst. Deinstalliere den MediaPlayer wieder. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.11.2004, 22:15
...neu hier
Beiträge: 7 |
#170
also ich hab dank dir jetzt das tool, danke
und hier jetzt der log Logfile of HijackThis v1.98.2 Scan saved at 22:18:34, on 14.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\CTHELPER.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe D:\Logitech\MouseWare\system\em_exec.exe D:\OmniPageSE\opware32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\Win Office 97\Office\OSA.EXE d:\Antivir\AVWUPSRV.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe D:\VEntrilo 2.1\Ventrilo.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Internet Explorer\iexplore.exe D:\ICQ\Icq.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\padim\LOKALE~1\Temp\Rar$EX00.613\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.usclandhaus.org/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Acrobat Reader\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\FlashFXP\IEFlash.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [sysconf] sysconf.exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [DU Meter] D:\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "d:\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Omnipage] D:\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\RunServices: [Microsoft SVHOST Configuration Service] svhost.exe O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe O4 - HKLM\..\RunServices: [sysconf] sysconf.exe O4 - Startup: Office-Start.lnk = D:\Win Office 97\Office\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - http://eq2beta.station.sony.com/beta_reg/de/soesysinfo.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DE5CA98D-F297-4E71-B9C1-9A595E0BF4E3}: NameServer = 195.34.133.10,195.34.133.11 |
|
|
||
14.11.2004, 23:38
Ehrenmitglied
Beiträge: 29434 |
#171
Hallo@padim
Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Gehe in die Registry Start<Ausfuehren<regedit gib oben links in die Suchfunktion der Registry ein: <sysconf <svhost <sndloader Und loesche RECHTS in der Registry alles, was du findest: zum Beispiel: <HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run loeschen: Sound Loader = sndloader.exe <HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices loeschen: Sound Loader = sndloader.exe <HKLM\SYSTEM\CurrentControlSet\Enum\Root\ loeschen: =>Berechtigungen => Erweitert => Bearbeiten => Zugriff für Löschen ermöglichen => löschen LEGACY_SNDMGR <HKLM\SYSTEM\CurrentControlSet\Services\ loeschen: SndMgr schliese die Registry: Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [sysconf] sysconf.exe O4 - HKLM\..\RunServices: [Microsoft SVHOST Configuration Service] svhost.exe [Backdoor.Agobot.3.bv] O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe [W32/Agobot-BV] O4 - HKLM\..\RunServices: [sysconf] sysconf.exe [W32/Agobot-FP] O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) neustarten oeffne das HijackThis: HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" . In dem Fenster bei Dateiname einfügen: c:\windows\system32\sysconf.exe und Öffnen klicken. Du solltest diese Nachricht erhalten: "The file c:\windows\system32\sysconf.exe' will be deleted by Windows when the system restarts....Do you want to restart your computer now?" No klicken. Abermals den "Delete a file on reboot" Button klicken - diesmal einfügen: c:\windows\system32\svhost.exe und bei der Frage nach dem Restart diesmal Yes klicken. dann loescht du noch: (auch mit dem HijackThis, oder manuell. <c:\windows\system32\sndloader.exe <c:\windows\system32\dllhost.exe <c:\windows\system32\msblast.exe <c:\windows\system32\mspatch.exe <c:\windows\system32\penis32.exe <c:\windows\system32\tftpd.exe <c:\windows\system32\winhlpp32.exe <c:\windows\system32\winppr32.ex ...................................................................................................... Lade: <#eScan-Trial http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion) <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml klicke auf: awn2k3e.exe , setze alle Haekchen und scanne. Dann poste das neue Log vom HijackThis. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 15.11.2004 um 00:10 Uhr von Sabina editiert.
|
|
|
||
15.11.2004, 16:34
...neu hier
Beiträge: 7 |
#172
danke, werd i dann machn, sieht irgendwie anstregend aus :/ huiii
Zitat Sabina posteteok i hab angefangen und in der regedit ersteinmal den sysconf eintrag gesucht, nun hab i unter current version/run 14 bzw mit standard reg_sz 15 sachn drin (dumeter, kernelfaultcheck, logitech utility, nerofiltercheck, nvcpldaemon, nvmediacenter, nwiz, omnipage, quicktime task, sunjavaupdatesched, sysconf, tkbellexe, updreg, windvdpatch) soll i des jetzt wirkli alles löschn ? :o current version/runservices (standard, microsoftsvhost configuration service, sound loader, sysconf) Dieser Beitrag wurde am 15.11.2004 um 17:11 Uhr von padim editiert.
|
|
|
||
16.11.2004, 01:05
Ehrenmitglied
Beiträge: 29434 |
#173
Hallo@padim
Es ist mir ein Raetsel, wenn ich schreibe, dass du nur ganz bestimmte Dinge loeschen sollst und du postest mir die gesamten Eintraege vom Startup. ........ Wenn du die alle loescht, hast du keinen funktionierenden PC mehr. Das Einzige, was du wirklich vor dem Fixen in der Registry loeschen musst ist: <HKLM\SYSTEM\CurrentControlSet\Enum\Root\ loeschen: =>Berechtigungen => Erweitert => Bearbeiten => Zugriff für Löschen ermöglichen => löschen LEGACY_SNDMGR <HKLM\SYSTEM\CurrentControlSet\Services\ loeschen: SndMgr schliese die Registry: Das andere loescht das HijackThis, wenn du die geposteten Dinge beim Neustart anhakst....... BITTE, hake wirklich nur an, was ich geschrieben habe. Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [sysconf] sysconf.exe O4 - HKLM\..\RunServices: [Microsoft SVHOST Configuration Service] svhost.exe O4 - HKLM\..\RunServices: [Sound Loader] sndloader.exe O4 - HKLM\..\RunServices: [sysconf] sysconf.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) PC neustarten Das Beste fuer deine Situation (und weil du augenscheinlich nicht viel von PCs verstehst...ist immer noch eine Neuinstallation von Windows. Dein PC ist hoffnungslos verseucht und nur mit einigen Kenntissen sauberzubekommen. Ich kann dir nur sagen, welche "exe" Viren sind und wie sie heissen. Eigentlich muesste man sich nun nach genau diesen "exe" auf die Suche machen und sie in der Registry und in Windows loeschen...mehr kann ich nicht machen und wenn du deinen komplettes Windows nebst den Viren loeschen willst...so ist das deine Angelegenheit. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.11.2004 um 01:12 Uhr von Sabina editiert.
|
|
|
||
16.11.2004, 04:44
...neu hier
Beiträge: 3 |
#174
*Hilfe - Bin am Ende meines Lateins*!!!
Bitte hilf mir Sabina - bin langsam echt verzweifelt und müde (4:40h am Morgen...) Habe mir die Trojaner "pxhping.exe" und "mqbckup.exe" eingefangen. Daraufhin habe ich HighJackThis, Spybot, Adaware und Antivir drüberlaufen lassen. Das hat alles nichts genützt... Exe-Dateien liegen angeblich unter "C:\WINDOWS\System32\pxhping.exe" bzw. unter "C:\WINDOWS\System32\mqbckup.exe" Doch leider sind sie dort nicht aufzufinden!!! Und dennoch, siehe im log: Logfile of HijackThis v1.98.2 Scan saved at 04:35:09, on 16.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Browser mouse\1.3\mouse32a.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Medionkeyboard\1.3\KbdAp32A.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\XP PROCESS EXPLORER - Sysinternals\procexp.exe C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\pxhping.exe C:\WINDOWS\System32\mqbckup.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///D:/Eigene%20Dateien/-%20WEBSITEPROJEKTE%20-/-%20AKTUELLE%20PROJEKTE%20-/damlinks/index.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/Eigene%20Dateien/-%20WEBSITEPROJEKTE%20-/-%20AKTUELLE%20PROJEKTE%20-/damlinks/index.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medionkeyboard\1.3\MMKEYBD.EXE O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O17 - HKLM\System\CCS\Services\Tcpip\..\{82FDB951-FA79-4A8F-8020-F71E89B55824}: NameServer = 62.104.191.241 62.104.196.134 Was muss ich jetzt fürSoftware runterladen, damit mein Rechner wieder funktioniert? Wie jehts jetzt weiter? mfg, Alexio Dieser Beitrag wurde am 16.11.2004 um 09:37 Uhr von Sabina editiert.
|
|
|
||
16.11.2004, 09:35
Ehrenmitglied
Beiträge: 29434 |
#175
Hallo@Alexio
#oeffne das HijackThis: HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" . In dem Fenster bei Dateiname einfügen\reinkopieren: C:\WINDOWS\System32\pxhping.exe wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "no" und fuege das naechste ein: C:\WINDOWS\System32\mqbckup.exe UND klickst du "yes" und startest den PC neu. Datentraegerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren<cleanmgr #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k #eScan-Trial http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)...am besten im abgesicherten Modus scannen klicke auf: awn2k3e.exe Dann poste das neue Log vom HijackThis. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.11.2004 um 09:36 Uhr von Sabina editiert.
|
|
|
||
16.11.2004, 20:02
...neu hier
Beiträge: 7 |
#176
Zitat Sabina postetesvhost und sndloader nicht gefunden, konnte daher nichts in der richtung löschn, only sysconf. Zitat Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustartendaher konnte ich hier auch nicht alles löschn, ist klar nehm i mal an. Zitat neustartendas konnt ich ebenfalls nicht durchführen weil ich nichts mehr davon gefunden hab. only dllhost.exe hab i gfunden, das blöde dabei ist, das anti virus programm eScan hat jetzt gerade beim installieren etwas gescannt und ist wieder auf svhost.exe gestoßen komisch, ich lass es gerade meinen pc checkn, und es hat schon mal den backdoor.win32.agobot.vm virus gefunden, in der file MSlti64.exe, und der virus kann nicht gelöscht werdn, bzw die file nicht umbenannt werden. also aus der log datei Di Nov 16 20:20:39 2004 => Scanning File C:\MSlti64.exe Di Nov 16 20:20:40 2004 => File Infected with "Backdoor.Win32.Agobot.vm". (Zugriff verweigert)Unable to rename infected file. Virus could not be removed! Di Nov 16 20:35:45 2004 => Scanning File C:\SystemVolumeInformation\_restore{62AAB7A3-130D-42ED-A74C-48BF2337DF02}\RP1\A0000012.exe Di Nov 16 20:35:46 2004 => File Infected with "Backdoor.Win32.Agobot.vm". (Zugriff verweigert)Unable to rename infected file. Virus could not be removed! mein jetztiges hijackthis log Logfile of HijackThis v1.98.2 Scan saved at 22:08:23, on 16.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE d:\Antivir\AVWUPSRV.EXE C:\WINDOWS\system32\CTHELPER.EXE D:\ESCANA~1\TRAYSSER.EXE C:\WINDOWS\system32\RUNDLL32.EXE D:\ESCANA~1\avpm.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe D:\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\system32\nvsvc32.exe D:\OmniPageSE\opware32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\ESCANA~1\MAILDISP.EXE D:\ESCANA~1\AVPMWrap.EXE D:\Win Office 97\Office\OSA.EXE D:\ESCANA~1\SPOOLER.EXE D:\ESCANA~1\MAILSCAN.EXE D:\ESCANA~1\kavss.exe D:\ESCANA~1\AvpM.exe E:\Steam\Steam.exe D:\VEntrilo 2.1\Ventrilo.exe C:\Programme\MSN Messenger\msnmsgr.exe D:\Winamp\winamp.exe D:\soulseek\slsk.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\padim\LOKALE~1\Temp\Rar$EX00.705\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.usclandhaus.org/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Acrobat Reader\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\FlashFXP\IEFlash.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [DU Meter] D:\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Omnipage] D:\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [MailScan Dispatcher] "D:\eScan anti-virus\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Updater] D:\ESCANA~1\TRAYICOS.EXE /App O4 - HKLM\..\Run: [eScan Monitor] D:\ESCANA~1\AVPMWrap.EXE O4 - Startup: Office-Start.lnk = D:\Win Office 97\Office\OSA.EXE O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - http://eq2beta.station.sony.com/beta_reg/de/soesysinfo.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://www.popfile.de/myplaylist/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{DE5CA98D-F297-4E71-B9C1-9A595E0BF4E3}: NameServer = 195.34.133.10,195.34.133.11 p.s.:und wegen dem post vorher, ich hab deine ansage einfach falsch verstanden und ich versteh schon was von pc´s. sonst hätt i ned die blöde frage gestellt ich weiss ja das des wichtige sachn san die in der regedit stehn. Dieser Beitrag wurde am 16.11.2004 um 22:06 Uhr von padim editiert.
|
|
|
||
16.11.2004, 21:41
...neu hier
Beiträge: 3 |
#177
Guten Abend,
vielen Dank für die Tipps, aber wie das log zeigt, war ich leider nicht erfolgreich. E-scan hat zwar angeschlagen, aber das Problem leider nicht behoben. Es kam noch eines dazu. Zu den zwei C:\WINDOWS\System32\pxhping.exe und C:\WINDOWS\System32\mqbckup.exe startete plötzlich das Programm 26.exe, welches zur Folge hatte, dass die Verbindung zum Netz gekappt wurde (bin noch Modemnutzer). Habe es mit dem Process Explorer gekillt, sonst wäre ich jetzt nicht hier ;-) Tja und nun? Wahrscheinlich ist eine Neuaufsetzung des Systems sinnvoll, oder? Trotz der kleinen Programme scheints (bei mir nicht zu funktionieren :-( mfg, Alexio Logfile of HijackThis v1.98.2 Scan saved at 21:30:59, on 16.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Browser mouse\1.3\mouse32a.exe C:\PROGRA~1\eScan\TRAYICOS.EXE C:\Programme\Medionkeyboard\1.3\KbdAp32A.exe C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\eScan\MAILDISP.EXE C:\PROGRA~1\eScan\MAILSCAN.EXE C:\PROGRA~1\eScan\SPOOLER.EXE C:\PROGRA~1\eScan\kavss.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe C:\WINDOWS\System32\locator.exe C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe C:\Programme\XP PROCESS EXPLORER - Sysinternals\procexp.exe C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temp\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\pxhping.exe C:\WINDOWS\System32\mqbckup.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///D:/Eigene%20Dateien/-%20WEBSITEPROJEKTE%20-/-%20AKTUELLE%20PROJEKTE%20-/damlinks/index.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/Eigene%20Dateien/-%20WEBSITEPROJEKTE%20-/-%20AKTUELLE%20PROJEKTE%20-/damlinks/index.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medionkeyboard\1.3\MMKEYBD.EXE O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing O15 - Trusted Zone: http://*.63.219.181.7 O17 - HKLM\System\CCS\Services\Tcpip\..\{82FDB951-FA79-4A8F-8020-F71E89B55824}: NameServer = 145.253.2.81 145.253.2.203 |
|
|
||
16.11.2004, 23:05
Ehrenmitglied
Beiträge: 29434 |
#178
Hallo@padim
Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Kopiere ins HijackThis: c:\windows\system32\mslti64.exe neustarten das Gleiche mit: <c:\windows\system32\wmmon32.exe (oder loesche manuell) #oeffne noch mal das HijackThis Config< Misc Tools < Open Hosts file Manager < Delete line < loesche alles , lasse nur stehen: # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, dann scanne noch mal mit eScan im Normalmodus und im abgesicherten Modus und berichte. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.11.2004 um 23:06 Uhr von Sabina editiert.
|
|
|
||
16.11.2004, 23:11
Ehrenmitglied
Beiträge: 29434 |
#179
Hallo@Alexio
Start-->>Ausfuehren-->>reinschreiben : cmd und DOS oeffnet sich-->>kopiere rein: del C:\WINDOWS\System32\pxhping.exe <enter> danach: del C:\WINDOWS\System32\mqbckup.exe <enter< PC neustarten suche:\loesche <m!1024.exe <murph~26.exe scanne mit eScan im abgesicherten Modus . <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml dann berichte. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.11.2004 um 23:18 Uhr von Sabina editiert.
|
|
|
||
17.11.2004, 01:56
...neu hier
Beiträge: 3 |
#180
Hola,
cmd ausgeführt und del C:\WINDOWS\System32\pxhping.exe <enter> danach: del C:\WINDOWS\System32\mqbckup.exe <enter< ausgeführt. Es kam die Meldung, dass der Pfad nicht gefunden werden konnte...Keine Lust mehr ;-( Habe jetzt entmutigt aufgegeben und mach mein System neu, sicher ist sicher... Danke trotzdem nochmal für die Hilfe, echt toll, dass hier jemand so gut Bescheid weiß. mfg, Alexio |
|
|
||
ich glaube mein Rechner war einfach nur zu lange an einem Stück an. Habe ihm eine Pause gegönnt und Heute scheint er wieder halbwegs gut zulaufen.
Vielleicht findest du ja dennoch was.
mfg Beto
Logfile of HijackThis v1.98.2
Scan saved at 14:36:25, on 12.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\LevelOne 11g Wireless Adapter\WLANMON.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\eScan\kavss.exe
C:\WINDOWS\System32\locator.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\Programme\eMule\emule.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Dokumente und Einstellungen\Ali\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Overnet] C:\Programme\Overnet\Overnet.exe -t
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Level One 11g Wireless Configuration Utility.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095176966310
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?323
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A41BC50-2BE4-4A9F-81D2-11D81EA2FB8B}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0237D8A-F312-4E7A-9E3B-C0E078098276}: NameServer = 205.188.146.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{7A41BC50-2BE4-4A9F-81D2-11D81EA2FB8B}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{7A41BC50-2BE4-4A9F-81D2-11D81EA2FB8B}: NameServer = 192.168.1.1
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll