_VWUPSRV.EXE hat einen Fehler ermittelt und musste beendet werden |
||
---|---|---|
#0
| ||
26.04.2005, 01:13
...neu hier
Beiträge: 3 |
||
|
||
26.04.2005, 08:56
Member
Beiträge: 1132 |
#32
Das Log ist sauber! Wenn Dein Rechner keine Probleme mehr macht, dann war's das.
Ich sehe, dass Du SP2 aufgespielt und den IE upgedated hast. Sehr gut! Schaue Dich vielleicht nach einem Alternativ-Browser zu IE wie Firefox, Mozilla oder Opera um. Sind derzeit noch wesentlich sicherer als der IE. Infos mit Google und hier im Board. Bei www.hijackthis.de kannst Du das Log selbst noch einmal auswerten und alle als "unbekannt" markierten Einträge überprüfen (Google) und/oder falls Du sie nicht kennst fixen und die Dateien mit der Killbox löschen. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
27.04.2005, 17:46
...neu hier
Beiträge: 6 |
#33
Hallo,
auch ich habe die Meldung "_VWUPSRV.EXE hat einen Fehler ermittelt und musste beendet werden." immer beim Hochfahren. Wenn ich die bisherigen Beiträge zu dieser Meldung richtig verstanden habe, verbirgt sich dahinter immer ein anderes Problem. Könntet ihr mir weiterhelfen? Vielen Dank. Gruß. Macallan. |
|
|
||
27.04.2005, 18:50
Member
Beiträge: 239 |
#34
http://www.chip.de/c1_forum/thread.html?bwthreadid=825934
Die Seite könnte dir weiterhelfen. Rolfs |
|
|
||
27.04.2005, 19:02
Member
Beiträge: 32 |
#35
hi hab das selbe problem...seit kurzem mit der fehlermeldung kommt beim hochfahren ca 3 mal der problem bericht klicke dann auf nicht senden... xp professionell poste dann mal das log. hab schon gesehen das panda noch drauf ist kanns daran liegen? hab das nie installiert bekommen, ohne probleme mit dem rechner danach.
Logfile of HijackThis v1.99.1 Scan saved at 18:53:35, on 27.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\BRMFRSMG.EXE C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Hardware\Keyboard\Ikeymain.exe C:\PROGRA~1\Hardware\Mouse\Amoumain.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Sitecom Wireless LAN\WLANUTL.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\admin\LOKALE~1\Temp\Rar$EX00.628\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\Hardware\Keyboard\Ikeymain.exe O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\Hardware\Mouse\Amoumain.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - Startup: Sitecom Wireless LAN Utility.lnk = ? O4 - Global Startup: Zone Labs Security (2).lnk = C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://p1x.de/jinstall-1_4_2-windows-i586.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe (file missing) O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\ADMIN\LOKALE~1\TEMP\_VWUPSRV.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe danke schon mal |
|
|
||
27.04.2005, 19:21
...neu hier
Beiträge: 6 |
#36
Hallo Heron,
danke für deine Mail. Auch ich habe das Problem: _VWUPSRV.EXE hat einen Fehler ermittelt und musste beendet werden." Hier ist mein Logile. Leider kann ich darin nichts außergewöhnliches erkennen. Könntest du mir weiterhelfen? Gruß. Macallan Logfile of HijackThis v1.99.1 Scan saved at 19:12:51, on 27.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\tp4serv.exe C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe C:\Programme\QuickTime\qttask.exe C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Corel\Graphics8\Programs\MFIndexer.exe C:\WINDOWS\System32\win_sygate.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Stefan Justl\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing) O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [restrictanonymous] O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\ubwew.exe O4 - HKLM\..\Run: [Microsoft WinUpdates] serm32.exe O4 - HKLM\..\Run: [Microsoft upnp Update] msie.exe O4 - HKLM\..\Run: [QCTray] C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe O4 - HKLM\..\Run: [Sygate Personal Firewall] win_sygate.exe O4 - HKLM\..\Run: [Windows Nets] WinNET.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [Microsofts media] Realplaysvc.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [EnableDCOM] N O4 - HKLM\..\RunServices: [Microsoft WinUpdates] serm32.exe O4 - HKLM\..\RunServices: [Microsoft upnp Update] msie.exe O4 - HKLM\..\RunServices: [Sygate Personal Firewall] win_sygate.exe O4 - HKLM\..\RunServices: [Windows Nets] WinNET.exe O4 - HKLM\..\RunServices: [Microsofts media] Realplaysvc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Outlook Express] ebqriqb.exe O4 - HKCU\..\Run: [Win32 USB2 Driver] svchosting.exe O4 - HKCU\..\Run: [Win32 NVIDIA Driver] MSPMSPSU.EXE O4 - HKCU\..\Run: [Sygate Personal Firewall] win_sygate.exe O4 - HKCU\..\RunServices: [Outlook Express] ebqriqb.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\ipsecdialer.exe O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{FC08D9F7-BF6B-4096-BD7F-6E074E232343}: NameServer = 62.104.191.241 62.104.196.134 O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Pfoekk32.dll (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing) O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\ADMIN\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing) |
|
|
||
27.04.2005, 19:27
...neu hier
Beiträge: 6 |
#37
Hallo Rolfs,
vielen Dank für deinen Tipp. Leider hat mir die Website nicht weitergeholfen. Gruß. Macallan. |
|
|
||
27.04.2005, 19:32
Member
Beiträge: 1132 |
#38
Also, das scheint ja eine richtige Lawine zu sein! Weiß der Himmel woher das plötzlich kommt. Sieht asu wie ein Rest vom Setup. Anyway!
An Alle die das Problem jetzt und in Zukunft haben, es hilft da folgendes Vorgehen: Fixe (Häkchen setzen und "fix checked" drücken) mit HJT O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\Username\LOKALE~1\TEMP\_VWUPSRV.EXE Rechner neu starten und lösche manuell C:\DOKUMENTE UND EINSTELLUNGEN\Username\LOKALE EINSTELLUNGEN\TEMP\_VWUPSRV.EXE Arbeitsplatz rechtsklicken => Verwalten => Dienste und Anwendungen => Dienste und suche den Dienst "AntiVir Update Temp". Die Zeile rechtsklicken => Eigenschaften => Starttyp auf "deaktiviert" setzen => OK Rechner neu starten. Dann sollte die Fehlermeldung nicht mehr erscheinen. @macall Du hast offenbar die Datei im Temp-Verzeichnis schon gelöscht. Nur noch den o.a. O23-Eintrag fixen und Rechner neu starten. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
27.04.2005, 20:18
Member
Beiträge: 239 |
||
|
||
27.04.2005, 20:29
...neu hier
Beiträge: 6 |
||
|
||
27.04.2005, 20:32
...neu hier
Beiträge: 6 |
#41
Heron,
du bist der Held! Problem behoben - genau, wie du beschrieben hast. Super. Danke. Gruß. Macallan. |
|
|
||
07.05.2005, 12:21
Member
Beiträge: 32 |
#42
hat alles super geklappt danke schön:-)
|
|
|
||
07.05.2005, 17:33
Member
Beiträge: 47 |
#43
Hallo Heron,
hoffe, du kannst dich noch an mein Problem erinnern...war im Urlaub und hatte somit keine Zeit mich mit meinem Virus zu beschäftigen. Ich habe ja eine AtGuard Firewall, die ich jetzt durch Sygate ersetzt habe. Ich habe die online Checks gemacht bzw. erstmal den Symantec Security Check, dann war ich schon bedient. Ich schicke mal das Ergebnis: Hacker Exposure Check ---------------------- Description: Tests your TCP ports for unauthorized Internet connections. Analysis: WARNING! Unauthorized persons can make connections to your computer. This means your computer and data are not safe from hackers. To learn more about why you are at risk, view a detailed analysis of your test results. Recommendation: Install a personal firewall. If you already have a personal firewall, make sure it is correctly configured for optimum protection. Windows Vulnerability Check: --------------------------- Description: Tests whether basic information, including your PC's network identity, can be seen by hackers. Analysis: Your computer's identity is secure. However, this does not mean you are completely safe from all Internet security Thread. Trojan Horse Check -------------------- Description: Attempts to test for access to your computer through methods commonly used by Trojan horses. Analysis: Your computer and data are not vulnerable to Trojan horse attacks. However, Trojan horse Thread are constantly evolving, and unless you have a personal firewall and current virus protection, you're not completely safe. To learn more about Thread you are protected against, view a detailed analysis of your test results. Antivirus Product Check ------------------------- Description: Checks for a current version of a commonly-used virus protection product. Analysis: WARNING! No known virus protection software found. This means your computer and data are vulnerable to virus attacks. Virus attacks can have serious consequences, including system damage and data loss. Recommendation: Install the latest version of a commonly-used virus protection product. Habe danach meine Sygate Firewall eingerichtet. Von daher kann ich gar nicht verstehen, warum er das selbe Ergebnis noch immer zeigt. Habe ich vll manuell ein Programm zugreifen lassen, dass ich besser hätte nicht machen sollen? Habe den Zugriff für svchost.exe erlaubt. Aber ich habe im Netz nachgeschaut und da stand: wenn es den Pfad C:\Windows\System32\svchost.exe hat, dann wäre es okay. Ansonsten kann ich auch nicht verstehen, warum der Symantec Check mein Antivir Programm nicht gefunden hat. Finde ich sehr komisch, habe es extra nochmal upgedatet. Ach und dann noch ein Problem: Bei mir hat sich unter C:\ einfach der Ordner !Submit gebildet. Den hatte ich letztes Mal gelöscht. Diesmal habe ich das mit der Killbox versucht, aber er konnte es nicht löschen. In dem !Submit Ordner befinden sich meine Lesezeichen / Favoriten. Und gerade sehe ich, dass sich noch ein weiterer Ordner gebildet, der da heißt: 7695e4d7146608d9c78d2add2c984e Jetzt bekomme ich aber richtig Angst. Ich hoffe, dass ich das bald in den Griff bekomme. Habe mal noch gleich ne HJT Logfile angehangen: Logfile of HijackThis v1.99.1 Scan saved at 17:37:22, on 07.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\Atguard\iamapp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe D:\Tools\post it\Psn2Lite.exe C:\Programme\EzButton System V2.1\EzButton.exe C:\Programme\Trillian\trillian.exe D:\Tools\POSTIT~1\PSNGive.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Atguard\iamserv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\mozilla\mozilla-1.7.7.de-AT.win32\mozilla\mozilla.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Microsoft Works\MSWorks.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 141.99.25.254:8080 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe O4 - Startup: trillian.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Post-it® Software Notes Lite.lnk = D:\Tools\post it\Psn2Lite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101760290706 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - C:\Programme\Atguard\iamserv.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe BITTE, BITTE helfe mir dabei. DANKE Anke |
|
|
||
07.05.2005, 19:58
Member
Beiträge: 1132 |
#44
Hallo Anke_,
musste mich nach der langen Zeit auch erst einmal wieder in die Problematik einlesen! Das macht die Bearbeitung bestimmt nicht einfacher. Also, so langsam habe ich das Gefühl, dass Du den Wald vor lauter Bäumen nicht mehr siehst! Dein ursprüngliches Problem war doch die Sache mit der _VWUPSRV.EXE. Das ist ja jetzt wohl gelöst, wie ich an dem Log sehe. Danach kamen dann plötzlich die Rechner-Abstürze auf das Tablett, deren Ursache wir nicht herausfinden konnten, weil a) Du den eScan-Update nicht hinbekommen hast b) beim Scannen im Abgesicherten Modus Dir Dein Rechner ständig abgeschmiert ist c) Du die empfohlenen Online-Scans nicht gemacht hast Was ist aus diesen Problemen geworden? (in diesem Zusammenhang: Deine AdAware Version ist outdated. Lade Dir die neuste Version 1.05 SE von der Lavasoft-Seite herunter) Nun die Probleme und Verständnisschwierigkeiten mit der Sygate-Firewall. Da kann ich Dir leider nicht sehr dienlich sein, da ich mich mit Sygate nicht auskenne. Nur, was an Deinem Log zu sehen ist, Du hast offenbar noch die alte Atguard Firewall aktiv auf Deinem System. Hast Du die nicht vor der Installation von Sygate entfernt? Bitte deinstalliere das Teil einmal. Vielleicht liegt hier schon das Prob mit dem Sicherheitscheck begraben. Was die Konfiguration der Firewall angeht, so musst Du Dich schon selber schlau machen, hier im Board in dem Allgemeinen Firewall Forum. Gegebenenfalls auch einmal die Hilfe-Datei in Sygate durchforsten: Thema Grundkonfiguration. Im Notfall kannst Du ja auch die WinXP-Firewall aktivieren, bis Du dich mit Sygate etwas besser auskennst. Ob die im Sicherheitscheck gefundenen Lücken auch wirklich kritisch sind, das steht noch in Frage. Manche Leute bezweifeln den Nutzen einer Desktop-Firewall komplett, solange das System richtig konfiguriert und immer upgedated ist und ein sicherer Browser (upgedated) verwendet wird. Melde Dich als Admin an, leere einmal den !Submit-Ordner und lösche ihn mit dem Win-Explorer. Was der andere Ordner zu bedeuten hat - keine Ahnung. Btw Dein HJT Log zeigt keine bösen Einträge! Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 07.05.2005 um 20:00 Uhr von Heron editiert.
|
|
|
||
08.05.2005, 02:27
Member
Beiträge: 47 |
#45
Hallo Heron,
vielen Dank, dass du dir meinen Fall nochmal angeschaut hast. Ich bin alles durchgegangen, was du geschrieben hast. Habe alle Online Scans vollzogen. Beim f-secure Check ist der Rechner entweder festgefahren oder hat sich plötzlich einfach ausgeschaltet. Dann hat sich aber folgendes finden lassen: C:\WINDOWS\system32\o Trojan-Downloader.BAT.Ftp.ab <http://cgi.f-secure.com/cgi-bin/search.cgi?q=Trojan-Downloader.BAT.Ftp.ab> Diese Datei habe ich sofort mit der Killbox gelöscht. Danach habe ich alle Online Scans ausgeführt, hat sich nichts mehr finden lassen. Habe mir Ad Aware SE runtergeladen, welches aber sofort 11 Objekte gefunden hat, welche ich entfernt habe. Sind diese Objekte immer kritisch anzusehen?? Nun stellt sich die Frage, ob dann nicht doch noch was auf meinem PC irgendwo schlummert. Hier mal meine Ad Aware Log: ArchiveData(auto-quarantine- 2005-05-08 02-27-23.bckp) Referencefile : SE1R43 06.05.2005 ====================================================== MRU LIST »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» obj[0]=MRU FileReference : C:\Dokumente und Einstellungen\Nadine\recent\Ad-Aware SE Personal.lnk obj[1]=MRU FileReference : C:\Dokumente und Einstellungen\Nadine\recent\BARILLA 04_35892.MOV.lnk obj[2]=MRU FileReference : C:\Dokumente und Einstellungen\Nadine\recent\BARILLA.lnk obj[3]=MRU FileReference : C:\Dokumente und Einstellungen\Nadine\recent\CD-Laufwerk.lnk obj[4]=MRU FileReference : C:\Dokumente und Einstellungen\Nadine\recent\defs.zip.lnk obj[5]=MRU FileReference : C:\Dokumente und Einstellungen\Nadine\recent\DR OETKER.lnk obj[6]=MRU RegReference : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\search assistant\acmru\5603 obj[7]=MRU RegReference : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\search assistant\acmru\5604 obj[8]=MRU FileReference : C:\Dokumente und Einstellungen\Nadine\recent\Ikea-pc.mp4.lnk obj[9]=MRU RegReference : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru\* obj[10]=MRU RegReference : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\explorer\recentdocs\.doc obj[11]=MRU RegReference : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\explorer\recentdocs\.MOV obj[12]=MRU RegReference : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\explorer\recentdocs\.mp4 obj[14]=MRU RegReference : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\explorer\recentdocs\Folder obj[15]=MRU RegReference : software\microsoft\direct3d\mostrecentapplication name obj[16]=MRU RegReference : software\microsoft\directdraw\mostrecentapplication name obj[17]=MRU RegReference : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\internet explorer\typedurls obj[18]=MRU RegReference : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\mediaplayer\player\recentfilelist obj[13]=MRU RegReference : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\explorer\recentdocs\.zip Vielen Dank für deine Hilfe!!!! cu Anke |
|
|
||
Logfile of HijackThis v1.99.1
Scan saved at 01:12:00, on 26.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\WeatherCast\Weather.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ICQ\ICQ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Soldier of Fortune 2\SoF2 Minimizer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Nino\Eigene Dateien\so05\PP PP PP\hijackthis 1\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NAV CfgWiz] "C:\Programme\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [WeatherCast] "C:\Programme\WeatherCast\Weather.exe" /q
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
jetzt ist wieder alles ok oder? DANKE!!