_VWUPSRV.EXE hat einen Fehler ermittelt und musste beendet werden |
||
---|---|---|
#0
| ||
15.04.2005, 17:34
...neu hier
Beiträge: 5 |
||
|
||
15.04.2005, 18:34
Member
Beiträge: 1132 |
#2
Hallo Parano,
HijackThis 1.99.1 http://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Installiere das Programm in einem eigenen Ordner. Starte das Programm mit der HijackThis.exe-Datei => Scan drücken => Save Log drücken => der Texteditor mit dem Log öffnet sich. Den gesamten Text abkopieren und hierher posten. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 15.04.2005 um 18:35 Uhr von Heron editiert.
|
|
|
||
16.04.2005, 20:56
...neu hier
Themenstarter Beiträge: 5 |
#3
Ok, Heron, ich hab's versucht.
Hier das Ergebnis: Logfile of HijackThis v1.99.1 Scan saved at 20:53:44, on 16.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\KMaestro\Key_g.EXE C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\QuickTime\qttask.exe C:\Programme\ahead\InCD\InCD.exe C:\WINDOWS\Mixer.exe C:\WINDOWS\Twain_32\SlimU2TA\HotKey.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Kazaa Lite\clean.kmd C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\msagent\AgentSvr.exe C:\PROGRA~1\MOZILL~1\firefox.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor-online.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Mannesmann Arcor F3 - REG:win.ini: run= O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [KeyMaestro] C:\KMaestro\KMaestro.exe O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2TA\HotKey.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe" O4 - Startup: Lotus Schnellstart.lnk = C:\Programme\lotus\wordpro\ltsstart.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.arcor-online.de O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020124/qtinstall.info.apple.com/qt505/de/win/QuickTimeInstaller.exe O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://D:\Content\include\msSecUcd.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.stardialer.de/install/StarInstall.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{D7329FB4-B79C-4809-8321-38A4C58F5E90}: NameServer = 62.104.191.241 62.104.196.134 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\KATHRIN\LOKALE~1\TEMP\_VWUPSRV.EXE |
|
|
||
16.04.2005, 21:50
Member
Beiträge: 1132 |
#4
Hallo Parano,
welcome back! Siehst Du, es klappt doch schon ganz gut! Scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken) F3 - REG:win.ini: run= O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe (file missing) O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.stardialer.de/install/StarInstall.ocx O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\KATHRIN\LOKALE~1\TEMP\_VWUPSRV.EXE Rechner neu starten Du musst im Win Explorer folgende Einstellungen vornehmen, damit Du alle Dateien sehen kannst: Extras => Ordneroptionen => Ansicht. Dort dann das Häkchen bei "Geschützte und Systemddateien ausblenden" entfernen und weiter unten "Alle Dateien anzeigen" markieren. Danach lösche mit dem Win Explorer C:\DOKUME~1\KATHRIN\LOKALE~1\TEMP\_VWUPSRV.EXE Lade Dir herunter eScan Erkennungstool http://www.mwti.net/antivirus/free_utilities.asp Erstelle einen Ordner c:\bases das Programm in den Ordner c:\bases entpacken und danach Update mit kavupd.exe durchführen (kann eine Weile dauern) Starte den Rechner im abgesicherten Modus (F8 drücken beim Booten) http://www.tu-berlin.de/www/software/virus/savemode.shtml Das Programm mit "mwav.exe"(oder: "mwavscan.com" ) starten. Überall die Häkchen setzen bei: All Files, Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder C:\WINDOWS, Include Subdirectories => und dann "Scan clean" klicken. Nach abgeschlossenem Scan in den Normalmodus zurückgehen, das Log öffnen und (Bearbeiten => Suchen) nach Zeilen mit "infected" (ohne die Anführungszeichen) suchen. Jede einzelne Zeile, die Du findest, abkopieren und posten. Am Ende des Log steht die Zusammenfassung, die bitte auch posten. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 16.04.2005 um 21:57 Uhr von Heron editiert.
|
|
|
||
18.04.2005, 22:55
Member
Beiträge: 47 |
#5
Hallo Heron,
ich hoffe, du kannst mir auch weiterhelfen. Ich habe das gleiche Problem wie Parano...habe diese Datei: _VWUPSRV.EXE zwar schon gelöscht...aber irgendwie will die nicht ganz weg ;-) Hier meine Logfile: Logfile of HijackThis v1.99.1 Scan saved at 22:40:51, on 18.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\Atguard\iamapp.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe D:\Tools\post it\Psn2Lite.exe C:\Programme\EzButton System V2.1\EzButton.exe C:\Programme\Trillian\trillian.exe D:\Tools\POSTIT~1\PSNGive.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Atguard\iamserv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 141.99.25.254:8080 O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\mgukxgi.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe O4 - Startup: trillian.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Post-it® Software Notes Lite.lnk = D:\Tools\post it\Psn2Lite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: MedionShop - {A6747686-5D18-4BA9-9F88-1D27ACFAAB18} - http://www.medionshop.de (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?11017 60290706 O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - C:\Programme\Atguard\iamserv.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\NADINE\LOKALE~1\TEMP\_VWUPSRV.EXE Muss ich genau so vorgehen, wie Parano?? Wäre dir SUPER DANKBAR für deine Hilfe. Gruß Anke |
|
|
||
18.04.2005, 23:49
Member
Beiträge: 1132 |
#6
Hallo Anke,
wie hast Du das Log mit all den Leerzeilen hinbekommen? Bitte poste noch einmal ein zusammenhängendes: Wenn Du "Save Log" gedrückt hast, dann öffnet sich das Texteditor-Fenster. Dort alles markieren (Ctrl+A), kopieren (Ctlr+C) und hierher posten. Du hast ein paar mehr Probleme. Wir müssen folgendermaßen vorgehen: Lade folgende Programme herunter und update sie AdAware http://www.lavasoft.de/support/download/ Spybot S&D http://www.safer-networking.org/de/download/index.html CWShredder http://www.majorgeeks.com/download3019.html Weiterhin herunterladen KillBox http://www.bleepingcomputer.com/files/killbox.php Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren! Scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken) O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\mgukxgi.exe O9 - Extra button: MedionShop - {A6747686-5D18-4BA9-9F88-1D27ACFAAB18} - http://www.medionshop.de (file missing) (HKCU) O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c8.cab Rechner neu starten Öffne die Killbox => Delete File on Reboot => und kopiere die nachfolgende Datei mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann mit "yes" antworten C:\WINDOWS\System32\mgukxgi.exe Führe mit AdAware, Spybot S&D und CWShredder (in dieser Reihenfolge) jeweils einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken, CWShredder "Fix" drücken) Poste das Ad-Aware Log und ein aktuelles (zusammenhängendes!) HJT Log Lade Dir herunter eScan Erkennungstool http://www.mwti.net/antivirus/free_utilities.asp Erstelle einen Ordner c:\bases das Programm in den Ordner c:\bases entpacken und danach Update mit kavupd.exe durchführen (kann eine Weile dauern) Starte den Rechner im abgesicherten Modus (F8 drücken beim Booten) http://www.tu-berlin.de/www/software/virus/savemode.shtml Das Programm mit "mwav.exe"(oder: "mwavscan.com" ) starten. Überall die Häkchen setzen bei: All Files, Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder C:\WINDOWS, Include Subdirectories => und dann "Scan clean" klicken. Nach abgeschlossenem Scan in den Normalmodus zurückgehen, das Log öffnen und (Bearbeiten => Suchen) nach Zeilen mit "infected" (ohne die Anführungszeichen) suchen. Jede einzelne Zeile, die Du findest, abkopieren und posten. Am Ende des Log steht die Zusammenfassung, die bitte auch posten. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 19.04.2005 um 08:12 Uhr von Heron editiert.
|
|
|
||
19.04.2005, 00:32
...neu hier
Themenstarter Beiträge: 5 |
#7
Hallo Heron!
Hat alles gut geklappt, bis auf folgendes: > das Programm in den Ordner c:\bases entpacken und danach Update mit kavupd.exe durchführen (kann eine Weile dauern) < meine heruntergeladene Datei mußte nicht mehr entpackt werden, die war gleich "einsatzbereit". Hier also meine infected lines: Mon Apr 18 21:19:38 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. Mon Apr 18 21:19:38 2005 => File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Apr 18 21:19:38 2005 => System found infected with Gator Spyware/Adware ({21FFB6C0-0DA1-11D5-A9D5-00500413153C})! Action taken: No Action Taken. Mon Apr 18 21:19:38 2005 => File System Found infected by "Gator Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Apr 18 21:19:39 2005 => System found infected with gator.com Spyware/Adware! Action taken: No Action Taken. Mon Apr 18 21:19:39 2005 => File System Found infected by "gator.com Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Apr 18 21:19:39 2005 => System found infected with gatortest Spyware/Adware! Action taken: No Action Taken. Mon Apr 18 21:19:39 2005 => File System Found infected by "gatortest Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Apr 18 21:20:13 2005 => File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Apr 18 21:20:13 2005 => File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Apr 18 21:20:13 2005 => File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Apr 18 21:20:14 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Apr 18 21:46:12 2005 => File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Apr 18 21:46:13 2005 => File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Apr 18 21:46:13 2005 => File C:\WINDOWS\NDNuninstall6_10.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Apr 18 21:46:13 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Apr 18 22:05:49 2005 => File C:\Dokumente und Einstellungen\Kathrin\Bildschirmschoner\ITM3DSetup.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Apr 18 22:05:50 2005 => File C:\Dokumente und Einstellungen\Kathrin\Bildschirmschoner\Inside The Matrix 3D Screensaver\nnezt388.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Apr 18 22:37:51 2005 => File C:\Spiele\SIMCITY\AUTO.COM infected by "Type_Com" Virus. Action Taken: No Action Taken. Mon Apr 18 23:00:27 2005 => File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Apr 18 23:00:28 2005 => File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Apr 18 23:00:28 2005 => File C:\WINDOWS\NDNuninstall6_10.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Apr 18 23:00:28 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Apr 18 23:08:19 2005 => Total Objects Scanned: 96963 Mon Apr 18 23:08:19 2005 => Total Virus(es) Found: 23 Mon Apr 18 23:08:19 2005 => Total Disinfected Files: 0 Mon Apr 18 23:08:19 2005 => Total Files Renamed: 0 Mon Apr 18 23:08:19 2005 => Total Deleted Objects: 0 Mon Apr 18 23:08:19 2005 => Total Errors: 7 Mon Apr 18 23:08:19 2005 => Time Elapsed: 01:49:01 Mon Apr 18 23:08:19 2005 => Virus Database Date: 2005/04/16 Mon Apr 18 23:08:19 2005 => Virus Database Count: 126266 Und? Gruß Parano |
|
|
||
19.04.2005, 07:25
Member
Beiträge: 1132 |
#8
Hallo Parano,
Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren! Rechner neu starten Lade folgende Programme herunter und update sie AdAware http://www.lavasoft.de/support/download/ Spybot S&D http://www.safer-networking.org/de/download/index.html CWShredder http://www.majorgeeks.com/download3019.html Weiterhin herunterladen KillBox http://www.bleepingcomputer.com/files/killbox.php Öffne die Killbox => Delete File on Reboot => und kopiere nacheinander die nachfolgenden Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usf. bis zur letzten Datei, dann mit "yes" antworten C:\WINDOWS\NDNuninstall5_48.exe C:\WINDOWS\NDNuninstall5_64.exe C:\WINDOWS\NDNuninstall6_10.exe C:\WINDOWS\NDNuninstall6_22.exe C:\Dokumente und Einstellungen\Kathrin\Bildschirmschoner\ITM3DSetup.exe C:\Dokumente und Einstellungen\Kathrin\Bildschirmschoner\Inside The Matrix 3D Screensaver\nnezt388.exe Das gehört ja wohl zu einem Comp-Spiel!? File C:\Spiele\SIMCITY\AUTO.COM infected by "Type_Com" Virus. Action Taken: No Action Taken. Wenn es sich um einen DOS-Virus des Typs "Virus.DOS.Elite.191" handelt, ist er harmlos. Ich würde jedoch auf jeden Fall erst einmal das Spiel deinstallieren. Führe mit AdAware, Spybot S&D und CWShredder (in dieser Reihenfolge) jeweils einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken, CWShredder "Fix" drücken) Poste das Ad-Aware Log und ein aktuelles HJT Log Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 19.04.2005 um 20:52 Uhr von Heron editiert.
|
|
|
||
19.04.2005, 19:07
Member
Beiträge: 47 |
#9
Hallo Heron, ich danke dir für deine Hilfe. Ich habe versucht alles so auszuführen, wie beschrieben. Aber leider hatte ich ein paar Probleme.
Ich habe die Programme alle runtergeladen und sämtliche Scanvorgänge durchgeführt. Hier meine Ad-Aware Log: ArchiveData(auto-quarantine- 2005-04-19 17-38-12.bckp) Referencefile : SE1R39 15.04.2005 ====================================================== TRACKING COOKIE »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» obj[0]=IECache Entry : Cookie:nadine@maxserving.com/ obj[1]=IECache Entry : Cookie:nadine@casalemedia.com/ obj[2]=IECache Entry : Cookie:nadine@count.eanalyzer.de/ obj[3]=IECache Entry : Cookie:nadine@247realmedia.com/ obj[4]=IECache Entry : Cookie:nadine@c2.zedo.com/ obj[5]=IECache Entry : Cookie:nadine@statcounter.com/ obj[6]=IECache Entry : Cookie:nadine@overture.com/ obj[7]=IECache Entry : Cookie:nadine@imrworldwide.com/cgi-bin obj[8]=IECache Entry : Cookie:nadine@qksrv.net/ obj[9]=IECache Entry : Cookie:nadine@sel.as-eu.falkag.net/ obj[10]=IECache Entry : Cookie:nadine@adserver.schalk-and-friends.de/ obj[11]=IECache Entry : Cookie:nadine@weborama.fr/ obj[12]=IECache Entry : Cookie:nadine@fastclick.net/ obj[13]=IECache Entry : Cookie:nadine@jgen39.cjt1.net/HTM/718/0 obj[14]=IECache Entry : Cookie:nadine@2o7.net/ obj[15]=IECache Entry : Cookie:nadine@partners.webmasterplan.com/ obj[16]=IECache Entry : Cookie:nadine@adverserve.net/ obj[17]=IECache Entry : Cookie:nadine@fortunecity.com/ obj[18]=IECache Entry : Cookie:nadine@j.2004cms.com/HTM/718/0 obj[19]=IECache Entry : Cookie:nadine@tribalfusion.com/ obj[20]=IECache Entry : Cookie:nadine@as-eu.falkag.net/ obj[21]=IECache Entry : Cookie:nadine@z1.adserver.com/ obj[22]=IECache Entry : Cookie:nadine@as1.falkag.de/ obj[23]=IECache Entry : Cookie:nadine@promo.match.com/ obj[24]=IECache Entry : Cookie:nadine@realmedia.com/ obj[25]=IECache Entry : Cookie:nadine@zedo.com/ obj[26]=IECache Entry : Cookie:nadine@apmebf.com/ obj[27]=IECache Entry : Cookie:nadine@www.123count.com/ obj[28]=IECache Entry : Cookie:nadine@server.iad.liveperson.net/ obj[29]=IECache Entry : Cookie:nadine@adtech.de/ obj[30]=IECache Entry : Cookie:nadine@adserver.71i.de/ obj[31]=IECache Entry : Cookie:nadine@tickle.com/ obj[32]=IECache Entry : Cookie:nadine@www.trackreport.de/ obj[33]=IECache Entry : Cookie:nadine@questionmarket.com/ obj[34]=IECache Entry : Cookie:nadine@tradedoubler.com/ Meine HJT Log: Logfile of HijackThis v1.99.1 Scan saved at 17:52:14, on 19.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\Atguard\iamapp.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe D:\Tools\post it\Psn2Lite.exe C:\Programme\EzButton System V2.1\EzButton.exe C:\Programme\Trillian\trillian.exe D:\Tools\POSTIT~1\PSNGive.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Atguard\iamserv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Microsoft Works\MSWorks.exe C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 141.99.25.254:8080 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe O4 - Startup: trillian.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Post-it® Software Notes Lite.lnk = D:\Tools\post it\Psn2Lite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101760290706 O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - C:\Programme\Atguard\iamserv.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\NADINE\LOKALE~1\TEMP\_VWUPSRV.EXE JA und danach habe ich zwar das eScan Erkennungstool in den Ordner c:\bases entpackt aber ich konnte nicht updaten, da ich die Datei kavupd.exe nicht auffinden konnte. Ich habe dann im abgesicherten Modus den Scan durchgeführt. Nur leider hatte ich das Problem, dass mein Pc auf einmal einfach so ausging. Das war total seltsam. Auch beim zweiten Versuch geschah genau das gleiche. Ich muss dazu sagen, dass ich schon seit einiger Zeit das Problem habe, dass sich der PC einfach so festfährt, ohne erkenntlichen Grund. Meistens passiert das beim Virusscannen. Hat das Problem was mit dem Virus zu tun? Die einzig infected file aus dem eScan Programm ist jene: Tue Apr 19 18:24:03 2005 => File C:\WINDOWS\System32\.pif infected by "Trojan-Downloader.BAT.Ftp.z" Virus. Action Taken: No Action Taken. Ja meine Logfile ist etwas lang und ich weiß nicht, wo was endet….also werde ich das alles mal posten… |
|
|
||
19.04.2005, 20:05
Member
Beiträge: 1132 |
#10
@ Anke_
Stopp! Bevor Du hier ellenlange Logs reinpostest. Scanne nochmal mir AdAware und poste das Log (vollständig). Bisher hat es immer geklappt mit dem eScan-Update. Ich weiß nicht was Du falsch machst. An Deinem HJT Log ist nichts wirklich Auffälliges mehr zu sehen. Fixe mit HJT O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\NADINE\LOKALE~1\TEMP\_VWUPSRV.EXE Rechner neu starten. Tritt die Fehlermeldung mit _VWUPSRV.EXE beim Booten immer noch auf? Funktioniert nach dem Fixen Dein Antivir-Update? Lösche mit der Killbox C:\WINDOWS\System32\.pif C:\DOKUME~1\NADINE\LOKALE~1\TEMP\_VWUPSRV.EXE Mit dem PC-Absturz das kann viele Ursachen haben, unter anderem auch ein Virus. Aber wenn eScann bei Dir weder upgedatet werden kann noch im abgesichgerten Modus läuft, wie soll man da auf die Entfernung etwas finden? Du könntest höchstens noch diverse Online-Scans durchführen Symantec http://security.symantec.com/default.asp? f-secure http://support.f-secure.com/enu/home/ols.shtml McAfee FreeScan www.mcafee.com/myapps/mfs/default.asp Trend-Micro http://de.trendmicro-europe.com/consumer/products/housecall_launch.php http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php BitDefender www.bitdefender.com/scan/Msie/index.php Alle Dateien, die als "infected" gefunden werden im abgesicherten Modus manuell löschen Danach noch einmal einen Versuch mit upgedatetem eScan. Du hast recht, die KAVUPD.EXE ist in der neuesten Version von eScan nicht mehr im Programmordner (Habe selbst noch eine ältere Version auf dem Rechner). Drücke => Start => Ausführen => gebe %temp% in das Fenster ein => OK. Dann kommst Du in Deinen Temp-Ordner. Dort findest Du die KAVUPD.EXE. Poste ein aktuelles HJT Log und, falles es klappt, die "infected"-Zeilen aus dem eScan Log. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 19.04.2005 um 20:47 Uhr von Heron editiert.
|
|
|
||
20.04.2005, 17:19
...neu hier
Themenstarter Beiträge: 5 |
#11
Hey ho Heron!
Hier mein Ergebnis: Quarantine Log von AdAware ArchiveData(auto-quarantine- 2005-04-19 23-27-07.bckp) Referencefile : SE1R39 15.04.2005 ====================================================== CLARIA »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» obj[0]=RegKey : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} obj[1]=RegValue : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} "uets" obj[2]=RegValue : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} "GEF" obj[3]=RegValue : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} "GMG" obj[4]=RegValue : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} "GMI" obj[5]=RegValue : clsid\{21ffb6c0-0da1-11d5-a9d5-00500413153c} "SSeq" obj[26]=RegKey : software\gatortest obj[27]=RegKey : software\gator.com obj[155]=File : C:\WINDOWS\GatorPdpSetup.log obj[156]=File : C:\WINDOWS\GatorPatch.log obj[157]=File : C:\WINDOWS\GatorUninstaller_cme.log obj[158]=File : C:\WINDOWS\GatorUninstaller_cme_u.log COMETSYSTEMS »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» obj[6]=RegKey : interface\{ea3b6c62-70a6-11d1-b69e-444553540000} obj[7]=RegValue : interface\{ea3b6c62-70a6-11d1-b69e-444553540000} "" obj[8]=RegKey : typelib\{3c0c31a2-70a2-11d1-b69e-444553540000} DIALER »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» obj[9]=RegKey : ieloaderctl.ieloaderctl obj[10]=RegValue : ieloaderctl.ieloaderctl "" obj[11]=RegKey : ieloaderctl.ieloaderctl.1 obj[12]=RegValue : ieloaderctl.ieloaderctl.1 "" obj[13]=RegKey : interface\{0f4a7b40-eeee-11cf-a3a9-00a0c9034920} obj[14]=RegValue : interface\{0f4a7b40-eeee-11cf-a3a9-00a0c9034920} "" obj[15]=RegKey : interface\{c60bc918-ddbb-0704-0b53-2c8830e9faec} obj[16]=RegValue : interface\{c60bc918-ddbb-0704-0b53-2c8830e9faec} "" obj[17]=RegKey : typelib\{000000aa-ddbb-0704-0b53-2c8830e9faec} ALEXA »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» obj[18]=RegKey : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} obj[19]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "MenuText" obj[20]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "MenuStatusBar" obj[21]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "Script" obj[22]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "clsid" obj[23]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "Icon" obj[24]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "HotIcon" obj[25]=RegValue : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} "ButtonText" obj[38]=RegValue : .DEFAULT\software\microsoft\internet explorer\extensions\cmdmapping "{c95fe080-8f5d-11d2-a20b-00aa003c157a}" obj[39]=RegValue : S-1-5-18\software\microsoft\internet explorer\extensions\cmdmapping "{c95fe080-8f5d-11d2-a20b-00aa003c157a}" obj[40]=RegValue : S-1-5-21-3529363498-4025279379-689279713-1005\software\microsoft\internet explorer\extensions\cmdmapping "{c95fe080-8f5d-11d2-a20b-00aa003c157a}" MAINPEAN DIALER »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» obj[28]=RegKey : software\mainpean highspeed obj[29]=RegValue : software\mainpean highspeed "Pre" obj[30]=RegValue : software\mainpean highspeed "PreNumber" obj[31]=RegValue : software\mainpean highspeed "DeviceName" obj[32]=RegValue : software\mainpean highspeed "Country" obj[33]=RegValue : software\mainpean highspeed "Language" obj[34]=RegValue : software\mainpean highspeed "Machine" obj[35]=RegValue : software\mainpean highspeed "InstallFlags" obj[36]=RegValue : software\mainpean highspeed "PassFlags" obj[37]=RegValue : software\mainpean highspeed "Password" TRACKING COOKIE »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» obj[41]=IECache Entry : Cookie:kathrin@www.smartadserver.com/ obj[42]=IECache Entry : Cookie:kathrin@www.addfreestats.com/cgi-bin obj[43]=IECache Entry : Cookie:kathrin@z1.adserver.com/ obj[44]=IECache Entry : Cookie:kathrin@peel.com/ obj[45]=IECache Entry : Cookie:kathrin@80.237.216.51/cms/ obj[46]=IECache Entry : Cookie:kathrin@popupsponsor.com/ obj[47]=IECache Entry : Cookie:kathrin@ads.adsag.com/ obj[48]=IECache Entry : Cookie:kathrin@ads.specificpop.com/ obj[49]=IECache Entry : Cookie:kathrin@gator.com/ obj[50]=IECache Entry : Cookie:kathrin@trafficmp.com/ obj[51]=IECache Entry : Cookie:kathrin@clickagents.com/ obj[52]=IECache Entry : Cookie:kathrin@edgar.de/cgi-bin/ obj[53]=IECache Entry : Cookie:kathrin@adserver2.3s2w.net/ obj[54]=IECache Entry : Cookie:kathrin@advertising.com/ obj[55]=IECache Entry : Cookie:kathrin@www.qksrv.net/ obj[56]=IECache Entry : Cookie:kathrin@count.eanalyzer.de/ obj[57]=IECache Entry : Cookie:kathrin@mediaplex.com/ obj[58]=IECache Entry : Cookie:kathrin@www1.addfreestats.com/cgi-bin obj[59]=IECache Entry : Cookie:kathrin@a.as-eu.falkag.net/ obj[60]=IECache Entry : Cookie:kathrin@adverserve.net/ obj[61]=IECache Entry : Cookie:kathrin@ehg-firstream.hitbox.com/ obj[62]=IECache Entry : Cookie:kathrin@adtech.de/ obj[63]=IECache Entry : Cookie:kathrin@ads.tripod.lycos.de/ obj[64]=IECache Entry : Cookie:kathrin@adserver.geizkragen.de/ obj[65]=IECache Entry : Cookie:kathrin@imrworldwide.com/cgi-bin obj[66]=IECache Entry : Cookie:kathrin@realmedia.com/ obj[67]=IECache Entry : Cookie:kathrin@adserver.71i.de/ obj[68]=IECache Entry : Cookie:kathrin@questionmarket.com/ obj[69]=IECache Entry : Cookie:kathrin@statse.webtrendslive.com/ obj[70]=IECache Entry : Cookie:kathrin@adserver02.stromseite.de/ obj[71]=IECache Entry : Cookie:kathrin@tradedoubler.com/ obj[72]=IECache Entry : Cookie:kathrin@inet-traffic.com/ obj[73]=IECache Entry : Cookie:kathrin@hg1.hitbox.com/ obj[74]=IECache Entry : Cookie:kathrin@www.kalporz.com/adrevolver/ obj[75]=IECache Entry : Cookie:kathrin@server.iad.liveperson.net/ obj[76]=IECache Entry : Cookie:kathrin@as1.falkag.de/ obj[77]=IECache Entry : Cookie:kathrin@hitbox.com/ obj[78]=IECache Entry : Cookie:kathrin@data.coremetrics.com/ obj[79]=IECache Entry : Cookie:kathrin@2o7.net/ obj[80]=IECache Entry : Cookie:kathrin@bfast.com/ obj[81]=IECache Entry : Cookie:kathrin@timelife-europe.com/cgi-bin/ obj[82]=IECache Entry : Cookie:kathrin@servedby.valuead.com/ obj[83]=IECache Entry : Cookie:kathrin@ru4.com/ obj[84]=IECache Entry : Cookie:kathrin@atdmt.com/ obj[85]=IECache Entry : Cookie:kathrin@phg.hitbox.com/ obj[86]=IECache Entry : Cookie:kathrin@tripod.com/ obj[87]=IECache Entry : Cookie:kathrin@doubleclick.net/ obj[88]=IECache Entry : Cookie:kathrin@weborama.fr/ obj[89]=IECache Entry : Cookie:kathrin@mediatrack.popupsponsor.com/ obj[90]=IECache Entry : Cookie:kathrin@adserver.hispavista.com/ obj[91]=IECache Entry : Cookie:kathrin@valueclick.com/ obj[92]=IECache Entry : Cookie:kathrin@st.sageanalyst.net/ obj[93]=IECache Entry : Cookie:kathrin@servedby.advertising.com/ obj[94]=IECache Entry : Cookie:kathrin@adserver.freenet.de/ obj[95]=IECache Entry : Cookie:kathrin@maxserving.com/ obj[96]=IECache Entry : Cookie:kathrin@zedo.com/ obj[97]=IECache Entry : Cookie:kathrin@bluemountain.com/ obj[98]=IECache Entry : Cookie:kathrin@fastclick.net/ obj[99]=IECache Entry : Cookie:kathrin@hc2.humanclick.com/ obj[100]=IECache Entry : Cookie:kathrin@x10.com obj[101]=IECache Entry : Cookie:kathrin@bluestreak.com/ obj[102]=IECache Entry : Cookie:kathrin@fl01.ct2.comclick.com/ obj[103]=IECache Entry : Cookie:kathrin@www.trackreport.de/ obj[104]=IECache Entry : Cookie:kathrin@overture.com/ obj[105]=IECache Entry : Cookie:kathrin@as-eu.falkag.net/ obj[106]=IECache Entry : Cookie:kathrin@jaimmedia.cjt1.net/HTM/482/0 obj[107]=IECache Entry : Cookie:kathrin@exit-ad.de/ obj[108]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@2o7[2].txt obj[109]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@mediaplex[2].txt obj[110]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@partners.webmasterplan[2].txt obj[111]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@tradedoubler[1].txt obj[112]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@advertising[2].txt obj[113]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@servedby.advertising[1].txt obj[114]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@as1.falkag[4].txt obj[115]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@ehg-firstream.hitbox[1].txt obj[116]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@hitbox[2].txt obj[117]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@as1.falkag[2].txt obj[118]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@cgi-bin[2].txt obj[119]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@ads.tripod.lycos[1].txt obj[120]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@2o7[1].txt obj[121]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@mediaplex[1].txt obj[122]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@bfast[1].txt obj[123]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@z1.adserver[1].txt obj[124]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@hitbox[1].txt obj[125]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@adverserve[1].txt obj[126]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@atdmt[1].txt obj[127]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@ehg-firstream.hitbox[3].txt obj[128]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@partners.webmasterplan[1].txt obj[129]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@advertising[3].txt obj[130]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@tradedoubler[2].txt obj[131]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@servedby.advertising[2].txt obj[132]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@as1.falkag[3].txt obj[133]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@hg1.hitbox[2].txt obj[134]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@advertising[1].txt obj[135]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@mediaplex[3].txt obj[136]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@as1.falkag[1].txt obj[137]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@advertising[5].txt obj[138]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@partners.webmasterplan[3].txt obj[139]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@servedby.advertising[3].txt obj[140]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@cgi-bin[7].txt obj[141]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@servedby.advertising[5].txt obj[142]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@advertising[4].txt obj[143]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@as1.falkag[5].txt obj[144]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@as-eu.falkag[2].txt obj[145]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@cgi-bin[8].txt obj[146]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@as1.falkag[6].txt obj[147]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@valueclick[2].txt obj[148]=IECache Entry : C:\Dokumente und Einstellungen\Kathrin\Cookies\kathrin@servedby.advertising[4].txt obj[149]=IECache Entry : C:\Dokumente und Einstellungen\Insa\Cookies\insa@cgi-bin[1].txt obj[150]=IECache Entry : C:\Dokumente und Einstellungen\Insa\Cookies\insa@as1.falkag[1].txt obj[151]=IECache Entry : C:\Dokumente und Einstellungen\Insa\Cookies\insa@as1.falkag[2].txt obj[152]=IECache Entry : C:\Dokumente und Einstellungen\Insa\Cookies\insa@mediaplex[1].txt obj[153]=IECache Entry : C:\Dokumente und Einstellungen\Insa\Cookies\insa@atdmt[2].txt obj[154]=IECache Entry : C:\Dokumente und Einstellungen\Insa\Cookies\insa@doubleclick[2].txt Logfile of HijackThis v1.99.1 Scan saved at 17:16:53, on 20.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\QuickTime\qttask.exe C:\Programme\ahead\InCD\InCD.exe C:\KMaestro\Key_g.EXE C:\WINDOWS\Mixer.exe C:\WINDOWS\Twain_32\SlimU2TA\HotKey.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Microsoft Office\Office\WINWORD.EXE C:\WINDOWS\msagent\AgentSvr.exe C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\CMMON32.EXE C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor-online.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Mannesmann Arcor O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Systemcheckprogramme\Spybot - Search & Destroy\SDHelper.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [KeyMaestro] C:\KMaestro\KMaestro.exe O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2TA\HotKey.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: Lotus Schnellstart.lnk = C:\Programme\lotus\wordpro\ltsstart.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.arcor-online.de O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://D:\content\include\XPPatchInstaller.CAB O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020124/qtinstall.info.apple.com/qt505/de/win/QuickTimeInstaller.exe O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://D:\Content\include\msSecUcd.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D7329FB4-B79C-4809-8321-38A4C58F5E90}: NameServer = 195.50.140.252 195.50.140.250 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Und? Clean? Grüße Parano |
|
|
||
20.04.2005, 18:33
Member
Beiträge: 1132 |
#12
Hi Parano,
sieht soweit gut aus! Das AdAware Log ist nicht komplett. Scanne nochmals mit dem Prog (aktiviere "Perform Full System Scan" bevor Du "Next" drückst) und poste das vollständige Log (Scan-Log und nicht das Quarantäne-Log). Kennst Du den Prozess? Hast Du das Programm selbst installiert? C:\KMaestro\Key_g.EXE Fixe noch mit HJT (Eintrag unnötig) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Systemcheckprogramme\Spybot - Search & Destroy\SDHelper.dll (file missing) Du kannst noch einmal mit dem upgedateten eScan im abgesicherten Modus scannen und überprüfen ob alles clean ist. Drücke Start => Ausführen => und gib %temp% in das Fenster ein => OK. Dann öffnet sich Dein Temp-Ordner. Suche die KAVUPD.EXE und doppelklicke sie => eScan wird upgedated Ansonsten gute Arbeit! Noch Probleme? Du solltest Dir Service Pack 2 für Dein Win XP entweder herunterladen oder auf der MS Homepage die kostenlose CD bestellen. Eine Firewall wäre auch nicht schlecht. Dazu gibt es massig Infos hier im Board. Schaue Dich einfach mal um. Nicht vergessen, die Systemwiederherstellung wieder zu aktivieren! Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 21.04.2005 um 09:04 Uhr von Heron editiert.
|
|
|
||
20.04.2005, 21:25
Member
Beiträge: 47 |
#13
HI Heron,
habe es nochmal mit dem Escan im abgesichtern Modus versucht, aber mein Pc geht immer wieder aus. Mit dem Update klappt immer noch nicht. Ich habe die kavupd.exe in den bases ordner kopiert. Aber wenn ich das öffnen will, rührt sich nichts. Ich habe den Escan im Normalmodus durchgeführt. Ich hoffe, dass das auch okay ist. Daraus haben sich dann folgende infected files ergeben: File C:\DOKUME~1\Nadine\LOKALE~1\TEMPOR~1\Content.IE5\Y3Q7MHEN\steuer[sut-10112,1][1].exe tagged as not-a-virus:RiskWare.Dialer.Intexdial.a. No Action Taken. File C:\!Submit\.pif infected by "Trojan-Downloader.BAT.Ftp.z" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Y3Q7MHEN\steuer[sut-10112,1][1].exe tagged as not-a-virus:RiskWare.Dialer.Intexdial.a. No Action Taken. Kann ich diese Datein mit der Killbox löschen? Und hier noch meine HJT Log: Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe O4 - Startup: trillian.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Post-it® Software Notes Lite.lnk = D:\Tools\post it\Psn2Lite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101760290706 O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - C:\Programme\Atguard\iamserv.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Ich danke dir!! Grüßchen von Anke |
|
|
||
20.04.2005, 22:43
Member
Beiträge: 1132 |
#14
Hi Anke_,
Mmh, das mit den Abstürzen ist mir rätselhaft. Hast Du die Online Scans gemacht? Kopiere die KAVUPD.EXE in den Temp-Ordner zurück und versuche dann, das Programm zu starten. Was ist, wenn Du mit Antivir im abgesicherten Modus scanst? Ja, die als "infected" gefundenen Dateien kannst Du mit der Killbox löschen. Scanne nochmals mit AdAware und poste das vollständige Log, ebenso wie das vollständige HJT Log. Soweit ich das aus dem rudimetären Log erkennen kann ist soweit alles OK. Du kannst die Systemwiederherstellung wieder aktivieren. Lade Dir noch herunter CCleaner http://www.ccleaner.com/ccdownload.asp Benutze die Standardeinstellungen wie sie sind => Analysieren => Starte CCleaner. Löscht die Surfspuren, Temp-Dateien etc. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
20.04.2005, 23:55
Member
Beiträge: 47 |
#15
Hi Heron,
so ich hoffe mal, dass das mit dem pc und den viren endlich mal ein Ende hat. Habe mit AdAware gescannt und er hat 5 Viren gefunden. ICh hoffe, dass die Log vollständig ist...irgendwie habe ich das GEfühl, dass es nicht der Fall ist ;-) Sag mal, welche Firewall kannst du empfehlen? ich habe zurzeit AtGuard. Das mit dem CCleaner hat alles super geklappt. Thanks! Ad-Aware SE Build 1.05 Logfile Created on:Mittwoch, 20. April 2005 23:15:50 Created with Ad-Aware SE Personal, free for private use. Using definitions file:SE1R39 15.04.2005 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» References detected during the scan: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» MRU List(TAC index:0):40 total references Tracking Cookie(TAC index:3):5 total references »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ad-Aware SE Settings =========================== Set : Search for negligible risk entries Set : Safe mode (always request confirmation) Set : Scan active processes Set : Scan registry Set : Deep-scan registry Set : Scan my IE Favorites for banned URLs Set : Scan my Hosts file Extended Ad-Aware SE Settings =========================== Set : Unload recognized processes & modules during scan Set : Scan registry for all users instead of current user only Set : Always try to unload modules before deletion Set : During removal, unload Explorer and IE if necessary Set : Let Windows remove files in use at next reboot Set : Delete quarantined objects after restoring Set : Include basic Ad-Aware settings in log file Set : Include additional Ad-Aware settings in log file Set : Include reference summary in log file Set : Include alternate data stream details in log file Set : Play sound at scan completion if scan locates critical objects 20.04.2005 23:15:50 - Scan started. (Full System Scan) MRU List Object Recognized! Location: : C:\Dokumente und Einstellungen\Nadine\recent Description : list of recently opened documents MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\nvidia corporation\global\nview\windowmanagement Description : nvidia nview cached application window positions MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\applets\wordpad\recent file list Description : list of recent files opened using wordpad MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\explorer\runmru Description : mru list for items opened in start | run MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\search assistant\acmru Description : list of recent search terms used with the search assistant MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru Description : list of recently saved files, stored according to file extension MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru Description : list of recent programs opened MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\explorer\recentdocs Description : list of recent documents opened MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\office\9.0\powerpoint\recentfolderlist Description : list of recent folders used by microsoft powerpoint MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\office\9.0\powerpoint\recent file list Description : list of recent files used by microsoft powerpoint MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\mediaplayer\player\recentfilelist Description : list of recently used files in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\internet explorer\main Description : last save directory used in microsoft internet explorer MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\realnetworks\realplayer\6.0\preferences Description : list of recent skins in realplayer MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\internet explorer Description : last download directory used in microsoft internet explorer MRU List Object Recognized! Location: : software\microsoft\directdraw\mostrecentapplication Description : most recent application to use microsoft directdraw MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\microsoft management console\recent file list Description : list of recent snap-ins used in the microsoft management console MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\office\10.0\common\general Description : list of recently used symbols in microsoft office MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\internet explorer\typedurls Description : list of recently entered addresses in microsoft internet explorer MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\directinput\mostrecentapplication Description : most recent application to use microsoft directinput MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\mediaplayer\player\settings Description : last open directory used in jasc paint shop pro MRU List Object Recognized! Location: : software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct3d MRU List Object Recognized! Location: : software\musicmatch Description : download location of the musicmatch installer MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\realnetworks\realplayer\6.0\preferences Description : list of recent clips in realplayer MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows\currentversion\applets\regedit Description : last key accessed using the microsoft registry editor MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\directinput\mostrecentapplication Description : most recent application to use microsoft directinput MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-18\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-19\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-20\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : software\musicmatch\musicmatch jukebox\4.0\mmradio Description : information on the last station listened to using musicmatch radio MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\clipart gallery\2.0\mrudescription Description : most recently used description in microsoft clipart gallery MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\automap\9.0\findmru Description : list of recently used find queries used in microsoft automap-based products MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\realnetworks\realplayer\6.0\preferences Description : last login time in realplayer MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\automap\9.0\recent file list Description : list of recently used files in microsoft automap-based products MRU List Object Recognized! Location: : software\musicmatch\musicmatch jukebox\4.0\fileconv Description : file conversion location settings in musicmatch jukebox MRU List Object Recognized! Location: : software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct X MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general Description : windows media sdk MRU List Object Recognized! Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general Description : windows media sdk MRU List Object Recognized! Location: : S-1-5-21-4088190255-1615061138-1316817595-1007\software\microsoft\windows media\wmsdk\general Description : windows media sdk Listing running processes »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» #:1 [smss.exe] FilePath : \SystemRoot\System32\ ProcessID : 304 ThreadCreationTime : 20.04.2005 17:53:27 BasePriority : Normal #:2 [csrss.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 408 ThreadCreationTime : 20.04.2005 17:53:29 BasePriority : Normal #:3 [winlogon.exe] FilePath : \??\C:\WINDOWS\system32\ ProcessID : 436 ThreadCreationTime : 20.04.2005 17:53:32 BasePriority : High #:4 [services.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 480 ThreadCreationTime : 20.04.2005 17:53:32 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Anwendung für Dienste und Controller InternalName : services.exe LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : services.exe #:5 [lsass.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 492 ThreadCreationTime : 20.04.2005 17:53:32 BasePriority : Normal FileVersion : 5.1.2600.1106 (xpsp1.020828-1920) ProductVersion : 5.1.2600.1106 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : LSA Shell (Export Version) InternalName : lsass.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : lsass.exe #:6 [svchost.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 648 ThreadCreationTime : 20.04.2005 17:53:33 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:7 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 672 ThreadCreationTime : 20.04.2005 17:53:33 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:8 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 796 ThreadCreationTime : 20.04.2005 17:53:34 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:9 [svchost.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 852 ThreadCreationTime : 20.04.2005 17:53:35 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Generic Host Process for Win32 Services InternalName : svchost.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : svchost.exe #:10 [explorer.exe] FilePath : C:\WINDOWS\ ProcessID : 1148 ThreadCreationTime : 20.04.2005 17:53:48 BasePriority : Normal FileVersion : 6.00.2800.1106 (xpsp1.020828-1920) ProductVersion : 6.00.2800.1106 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Windows Explorer InternalName : explorer LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : EXPLORER.EXE #:11 [rundll32.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1236 ThreadCreationTime : 20.04.2005 17:53:50 BasePriority : Normal FileVersion : 5.1.2600.0 (xpclient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Betriebssystem Microsoft® Windows® CompanyName : Microsoft Corporation FileDescription : Eine DLL-Datei als Anwendung ausführen InternalName : rundll LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten. OriginalFilename : RUNDLL.EXE #:12 [syntplpr.exe] FilePath : C:\Programme\Synaptics\SynTP\ ProcessID : 1252 ThreadCreationTime : 20.04.2005 17:53:50 BasePriority : Normal FileVersion : 6.7.2 22Jul02 ProductVersion : 6.7.2 22Jul02 ProductName : Progressive Touch CompanyName : Synaptics, Inc. FileDescription : TouchPad Driver Helper Application InternalName : SynTPLpr LegalCopyright : Copyright (C) Synaptics, Inc. 1996-2002 OriginalFilename : SynTPLpr.exe #:13 [syntpenh.exe] FilePath : C:\Programme\Synaptics\SynTP\ ProcessID : 1260 ThreadCreationTime : 20.04.2005 17:53:50 BasePriority : Normal FileVersion : 6.7.2 22Jul02 ProductVersion : 6.7.2 22Jul02 ProductName : Progressive Touch CompanyName : Synaptics, Inc. FileDescription : Synaptics TouchPad Enhancements InternalName : Scrolleroo LegalCopyright : Copyright (C) Synaptics, Inc. 1996-2002 OriginalFilename : SynTPEnh.exe #:14 [soundman.exe] FilePath : C:\WINDOWS\ ProcessID : 1272 ThreadCreationTime : 20.04.2005 17:53:50 BasePriority : Normal FileVersion : 5.0.03 ProductVersion : 5.0.03 ProductName : Avance Sound Manager CompanyName : Avance Logic, Inc. FileDescription : Avance Sound Manager InternalName : ALSMTray LegalCopyright : Copyright (c) 2001-2002 Avance Logic, Inc. OriginalFilename : ALSMTray.exe Comments : Avance AC97 Audio Sound Manager #:15 [iamapp.exe] FilePath : C:\PROGRA~1\Atguard\ ProcessID : 1296 ThreadCreationTime : 20.04.2005 17:53:50 BasePriority : Normal FileVersion : 3.22.09 ProductVersion : 3.2 ProductName : AtGuard CompanyName : WRQ, Inc. FileDescription : IAMAPP.EXE LegalCopyright : Copyright (c) 1998,1999 WRQ, Inc. #:16 [hpztsb04.exe] FilePath : C:\WINDOWS\System32\spool\drivers\w32x86\3\ ProcessID : 1312 ThreadCreationTime : 20.04.2005 17:53:50 BasePriority : Normal FileVersion : 2,80,0,0 ProductVersion : 2,80,0,0 ProductName : HP DeskJet CompanyName : HP LegalCopyright : Copyright (c) Hewlett-Packard Company 1999-2001 #:17 [spoolsv.exe] FilePath : C:\WINDOWS\system32\ ProcessID : 1320 ThreadCreationTime : 20.04.2005 17:53:50 BasePriority : Normal FileVersion : 5.1.2600.0 (XPClient.010817-1148) ProductVersion : 5.1.2600.0 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : Spooler SubSystem App InternalName : spoolsv.exe LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : spoolsv.exe #:18 [realsched.exe] FilePath : C:\Programme\Gemeinsame Dateien\Real\Update_OB\ ProcessID : 1328 ThreadCreationTime : 20.04.2005 17:53:50 BasePriority : Normal FileVersion : 0.1.0.3208 ProductVersion : 0.1.0.3208 ProductName : RealPlayer (32-bit) CompanyName : RealNetworks, Inc. FileDescription : RealNetworks Scheduler InternalName : schedapp LegalCopyright : Copyright © RealNetworks, Inc. 1995-2004 LegalTrademarks : RealAudio(tm) is a trademark of RealNetworks, Inc. OriginalFilename : realsched.exe #:19 [winampa.exe] FilePath : C:\Programme\Winamp\ ProcessID : 1344 ThreadCreationTime : 20.04.2005 17:53:50 BasePriority : Normal #:20 [psn2lite.exe] FilePath : D:\Tools\post it\ ProcessID : 1624 ThreadCreationTime : 20.04.2005 17:53:52 BasePriority : Normal FileVersion : 2, 1, 1, 1059 ProductVersion : 2, 1, 1, 1059 ProductName : Post-it(R) Software Notes Lite Version 2 CompanyName : 3M FileDescription : Post-it(R) Software Notes: System InternalName : PSN2 LegalCopyright : © 1995-2001 3M Company. All Rights Reserved. LegalTrademarks : "Post-it" and canary yellow are registered trademarks of 3M. OriginalFilename : PSN2VIEW.EXE #:21 [ezbutton.exe] FilePath : C:\Programme\EzButton System V2.1\ ProcessID : 1632 ThreadCreationTime : 20.04.2005 17:53:53 BasePriority : Normal FileVersion : 2.0 ProductVersion : 2.0 ProductName : EzButton Application FileDescription : EzButton InternalName : EzButton LegalCopyright : Copyright (C) 1999 OriginalFilename : EzButton.EXE #:22 [trillian.exe] FilePath : C:\Programme\Trillian\ ProcessID : 1640 ThreadCreationTime : 20.04.2005 17:53:53 BasePriority : Normal FileVersion : 2.0.1.112 ProductVersion : 2.0.1.112 ProductName : Trillian CompanyName : Cerulean Studios FileDescription : Trillian InternalName : Trillian LegalCopyright : © Cerulean Studios, LLC. All rights reserved. OriginalFilename : Trillian.exe #:23 [psngive.exe] FilePath : D:\Tools\POSTIT~1\ ProcessID : 1664 ThreadCreationTime : 20.04.2005 17:53:53 BasePriority : Normal FileVersion : 2, 1, 1, 2059 ProductVersion : 2, 1, 1, 2059 ProductName : Post-it(R) Software Notes Version 2 CompanyName : 3M FileDescription : Post-it(R) Software Notes: GiveNote InternalName : PSN2 LegalCopyright : © 1995-2001 3M Company. All Rights Reserved. LegalTrademarks : "Post-it" and canary yellow are registered trademarks of 3M. OriginalFilename : PSN2.EXE #:24 [avwupsrv.exe] FilePath : C:\Programme\AVPersonal\ ProcessID : 1796 ThreadCreationTime : 20.04.2005 17:53:58 BasePriority : Normal #:25 [iamserv.exe] FilePath : C:\Programme\Atguard\ ProcessID : 1832 ThreadCreationTime : 20.04.2005 17:53:58 BasePriority : Normal FileVersion : 3.22.09 ProductVersion : 3.2 ProductName : AtGuard CompanyName : WRQ, Inc. FileDescription : IAMSERV.EXE LegalCopyright : Copyright (c) 1998,1999 WRQ, Inc. #:26 [mdm.exe] FilePath : C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\ ProcessID : 1880 ThreadCreationTime : 20.04.2005 17:53:58 BasePriority : Normal FileVersion : 7.00.9064.9150 ProductVersion : 7.00.9064.9150 ProductName : Microsoft Development Environment CompanyName : Microsoft Corporation FileDescription : Machine Debug Manager InternalName : mdm.exe LegalCopyright : Copyright (C) Microsoft Corp. 1997-2000 OriginalFilename : mdm.exe #:27 [nvsvc32.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 1940 ThreadCreationTime : 20.04.2005 17:53:59 BasePriority : Normal FileVersion : 6.13.10.3082 ProductVersion : 6.13.10.3082 ProductName : NVIDIA Driver Helper Service, Version 30.82 CompanyName : NVIDIA Corporation FileDescription : NVIDIA Driver Helper Service, Version 30.82 InternalName : NVSVC LegalCopyright : (c) NVIDIA Corporation. All rights reserved. OriginalFilename : nvsvc32.exe #:28 [ctfmon.exe] FilePath : C:\WINDOWS\System32\ ProcessID : 2204 ThreadCreationTime : 20.04.2005 20:12:44 BasePriority : Normal FileVersion : 5.1.2600.1106 (xpsp1.020828-1920) ProductVersion : 5.1.2600.1106 ProductName : Microsoft® Windows® Operating System CompanyName : Microsoft Corporation FileDescription : CTF Loader InternalName : CTFMON LegalCopyright : © Microsoft Corporation. All rights reserved. OriginalFilename : CTFMON.EXE #:29 [ad-aware.exe] FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\ ProcessID : 1404 ThreadCreationTime : 20.04.2005 21:15:22 BasePriority : Normal FileVersion : 6.2.0.206 ProductVersion : VI.Second Edition ProductName : Lavasoft Ad-Aware SE CompanyName : Lavasoft Sweden FileDescription : Ad-Aware SE Core application InternalName : Ad-Aware.exe LegalCopyright : Copyright © Lavasoft Sweden OriginalFilename : Ad-Aware.exe Comments : All Rights Reserved Memory scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 40 Started registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Registry Scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 40 Started deep registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Deep registry scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 40 Started Tracking Cookie scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Tracking Cookie Object Recognized! Type : IECache Entry Data : nadine@fastclick[2].txt Category : Data Miner Comment : Hits:8 Value : Cookie:nadine@fastclick.net/ Expires : 10.04.2007 22:16:58 LastSync : Hits:8 UseCount : 0 Hits : 8 Tracking Cookie Object Recognized! Type : IECache Entry Data : nadine@as-eu.falkag[1].txt Category : Data Miner Comment : Hits:19 Value : Cookie:nadine@as-eu.falkag.net/ Expires : 20.04.2006 22:41:22 LastSync : Hits:19 UseCount : 0 Hits : 19 Tracking Cookie Object Recognized! Type : IECache Entry Data : nadine@as1.falkag[2].txt Category : Data Miner Comment : Hits:46 Value : Cookie:nadine@as1.falkag.de/ Expires : 20.05.2005 22:38:42 LastSync : Hits:46 UseCount : 0 Hits : 46 Tracking Cookie Object Recognized! Type : IECache Entry Data : nadine@tradedoubler[1].txt Category : Data Miner Comment : Hits:1 Value : Cookie:nadine@tradedoubler.com/ Expires : 21.04.2005 02:55:02 LastSync : Hits:1 UseCount : 0 Hits : 1 Tracking Cookie Object Recognized! Type : IECache Entry Data : nadine@adtech[2].txt Category : Data Miner Comment : Hits:2 Value : Cookie:nadine@adtech.de/ Expires : 18.04.2015 14:57:14 LastSync : Hits:2 UseCount : 0 Hits : 2 Tracking cookie scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 5 Objects found so far: 45 HJT Log: Logfile of HijackThis v1.99.1 Scan saved at 23:58:34, on 20.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\Atguard\iamapp.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe D:\Tools\post it\Psn2Lite.exe C:\Programme\EzButton System V2.1\EzButton.exe C:\Programme\Trillian\trillian.exe D:\Tools\POSTIT~1\PSNGive.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Atguard\iamserv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe D:\RealPlayer\RealPlay.exe C:\Dokumente und Einstellungen\Nadine\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 141.99.25.254:8080 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe O4 - Startup: trillian.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Post-it® Software Notes Lite.lnk = D:\Tools\post it\Psn2Lite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101760290706 O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - C:\Programme\Atguard\iamserv.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Bis dann, Danke Anke |
|
|
||
Vorab - ich bin eine "Frau", deshalb seid mir nicht böse, wenn ich jetzt vielleicht einen Beitrag poste, der in der falschen Kategorie gelandet ist oder vielleicht gar nichts SCHLIMMES ist =;-)
Also - auch gaaaaaanz einfach erklären!!
Folgendes Problem:
Jedes Mal, wenn ich meinen PC hoch fahrem bekomme ich folgende Mitteilung:
"_VWUPSRV.EXE hat einen Fehler ermittelt und musste beendet werden."
Was ist das? Hab ich mir nen Virus eingefangen?
Habe versucht vorsichtshalber mein AntiVirXP upzudaten, aber das funktioniert nicht! Der Download wird zwar komplett runtergeladen, aber bei der Installation schmiert mir immer der PC ab. Ich hab AntiVir auch schon komplett runtergeschmissen und aus dem Internet neu runtergeladen, wieder das gleiche Problem beim Udate laden...
Kann mir jemand helfen??