C:\system Volume Information\_restore{6a8d36cb-fa16-4626-906b-7de510e032fd}\

#1 Hallo mein virenprogramm hat mir folgenden Wurm. virus, trojaner,... ka angezeigtC:\SYSTEM VOLUME INFORMATION\_RESTORE{6A8D36CB-FA16-4626-906B-7DE510E032FD}\RP242\A0066372.EXE
da ich diese datei nicht reparieren konnte habe ich sie gelöscht. Nur leider habe ich seit dem kein sound mehr. habe neue treiber installiert. aber nichts. ich hab auch schon mit systemwiederherstellung versucht. aber das hat auch nichts gebracht weis einer von euch, was ich da tun kann?
mfg.

#2 System Volume Information gehört zur Systemwiederherstellung von Windows.
Deaktiviere sie um alle infizierten Wiederherstellungspunkte löschen zu lassen:
Rechtsklick auf Arbeitsplatz => Eigenschaften => Systemwiederherstellung => Anhaken: "Systemwiederherstellung auf allen Laufwerken Deaktivieren" => Übernehmen

Danach nimm eine sorgfältige Diagnose und Bereinigung deines Systems nach folgender Anleitung vor (beachte bitte auch die weiterführenden Links):
http://board.protecus.de/t16317.htm
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#3 das problem ist ja nicht, dass ich einen virus habe, sondern dass ich die datei gelöscht habe und jetzt keinen sound mehr habe.

#4 Du hattest aber definitiv einen in der Systemwiederherstellung, und um in der Systemwiederherstellung zu landen, muss der Virus zuerst auf deinem normalem System gewesen sein.
Außerdem betrifft die System Volume Information dein im Moment aktives System normalerweise gar nicht, weswegen es sehr merkwürdig wäre, wenn dadurch dein Sound nicht mehr geht. Bei dir scheint noch mehr am Werke zu sein und dem solltest du auf den Grund gehen!

Nebenfrage: wie hast du die Datei aus der Wiederherstellung gelöscht? Indem du sie wie oben beschrieben deaktiviert hast? Oder auf einem anderen Weg? Normalerweise hat man da nämlich gar keinen Zugriff drauf.

edit: außerdem benötigen die Leute hier grundlegende Informationen über dein System um dir helfen zu können, weswegen ein HijackThis-Log normalerweise das Minimum ist was du posten solltest
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#5 ich habe eine meldung vom avguard bekommen das die oben genannte datei einen virus oder was anderes(weis ich jetzt nicht mehr) enthält daraufhin hast du ja die auswahl zwischen löschen reparieren, verschieben usw. daraufhin hab ich sie gelöscht. Und EXAKT dannach hatte ich kein sound mehr. wie gesagt treiber hab ich neu draufgeschmissen aber daran lags nicht. dazu muss ich sagen, dass ich von viren und deren auswirkung null ahnung habe.

#6 Dann sei bitte so nett und befolge meinen Rat, wenn du nicht tust was man dir vorschlägt kommen wir nicht weiter.

Es könnte sein das der AVGuard aufgrund dieser eigentlich unberechtigten Löschaktion dein Windows aus dem Tritt gebracht hat, aber eine gründlichere Diagnose ist dringend zu empfehlen. Poste bitte ein HijackThis-Log und führe einen Scan mit AdAware, Spybot und eScan im abgesicherten Modus durch.
Ich will dich damit wirklich nicht quälen, aber ohne saubere Informationen und die Gewissheit, dass nicht noch weitere (unentdeckte) Viren auf deinem System wüten, welche ebenfalls deine Probleme auslösen könnten geht es leider nicht.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#7 Logfile of HijackThis v1.99.1
Scan saved at 16:08:15, on 18.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
D:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Date Manager\DateManager.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\PrecisionTime\PrecisionTime.exe
D:\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\DL\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/
R3 - Default URLSearchHook is missing
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: Quick! - {4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} - C:\Programme\quickbar\quickbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: Quick! - {4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} - C:\Programme\quickbar\quickbar.dll
O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [PhonostarAgent] D:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

#8 Da haben wir den Salat ... sieh dir einmal die automatische Auswertung deines Logfiles an:
http://www.hijackthis.de/logfiles/ef05ec33c6ce2a7eb8876e1e4ae4b008.html

Du hast jede Menge Ungeziefer auf dem Rechner, also das es nur dein Sound ist der nicht geht wundert mich da schon fast.

Ich lege dir noch einmal ans Herz die oben aufgeführte Anleitung abzuarbeiten und dein System zu säubern. Nachdem du das alles abgearbeitet hast, melde dich noch einmal mit einem neuen Logfile.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#9 ok ich hab jetzt alles mal durchlafen lassen und immernoch kein sound.
Logfile of HijackThis v1.99.1
Scan saved at 17:15:25, on 18.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
D:\PROGRA~1\avpm.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
D:\PROGRA~1\MAILSCAN.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\PROGRA~1\SPOOLER.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
D:\firefox.exe
D:\DL\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: Quick! - {4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} - C:\Programme\quickbar\quickbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Quick! - {4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} - C:\Programme\quickbar\quickbar.dll
O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [MailScan Dispatcher] "D:\Programme\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] D:\PROGRA~1\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] D:\PROGRA~1\AVPMWrap.EXE
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - D:\PROGRA~1\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - D:\PROGRA~1\avpm.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

#10 Gefixt hast du mit HijackThis nichts bisher oder?

Fixe auf jeden Fall zunächst einmal dies hier:

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/
R3 - Default URLSearchHook is missing
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: Quick! - {4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} - C:\Programme\quickbar\quickbar.dll
O3 - Toolbar: Quick! - {4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} - C:\Programme\quickbar\quickbar.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)

Besorge dir nun den LSPFix:
http://www.cexx.org/lspfix.htm
Starte das Programm, setze ein Häkchen bei "I know what I'm doing" - wähle aus der Liste links die Datei "mwtsp.dll" aus und bringe sie auf die rechte Seite, sowie die Datei "newdotnet6_38.dll" (nur diese beiden Dateien) und klicke danach auf Finish. Danach kannst du die Dateien löschen (aber nur nachdem du sie mit dem Fix entfernt hast).

Ist eScan bei dir fündig geworden? Das Logfile hast du wahrscheinlich leider nicht abgespeichert oder?
Poste ein neues HijackThis-Log.

edit: Wenn ich mir so die Zeit ansehe, fürchte ich du hast leider NICHT den eScan komplett durchlaufen lassen. Wenn nein hole dies bitte nach, speichere danach das Log ab, öffne es im Texteditor, suche nach allen Zeilen mit "infected" und kopiere diese Zeilen komplett hier rein
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#11 ok ich hab jetzt das mit LSPFix gemacht. allerdings weis ich jetzt nicht, wie ich die löschen soll? ich hab eben noch mal eScan durchlaufen lassen aber das log file ist SEHR lang er hat glaub ich 20 viren gefunden.
hier ein ausschnitt
Mon Apr 18 19:20:32 2005 => Total Objects Scanned: 45723
Mon Apr 18 19:20:32 2005 => Total Virus(es) Found: 20
Mon Apr 18 19:20:32 2005 => Total Disinfected Files: 0
Mon Apr 18 19:20:32 2005 => Total Files Renamed: 1
Mon Apr 18 19:20:32 2005 => Total Deleted Objects: 17
Mon Apr 18 19:20:32 2005 => Total Errors: 12
Mon Apr 18 19:20:32 2005 => Time Elapsed: 00:22:25
Mon Apr 18 19:20:32 2005 => Virus Database Date: 2005/04/18
Mon Apr 18 19:20:32 2005 => Virus Database Count: 121264
übrigens danke für deine Hilfe
Logfile of HijackThis v1.99.1
Scan saved at 19:23:59, on 18.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
D:\PROGRA~1\avpm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
D:\PROGRA~1\AVPMWrap.EXE
C:\WINDOWS\System32\rundll32.exe
D:\PROGRA~1\MAILDISP.EXE
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\System32\ctfmon.exe
D:\PROGRA~1\MAILSCAN.EXE
D:\PROGRA~1\SPOOLER.EXE
D:\PROGRA~1\kavss.exe
D:\PROGRA~1\AvpM.exe
C:\WINDOWS\System32\wuauclt.exe
D:\firefox.exe
C:\DOKUME~1\NICO1~1.NIC\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\NICO1~1.NIC\LOKALE~1\Temp\kavss.exe
C:\WINDOWS\System32\notepad.exe
D:\DL\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.qsrch.com/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Quick! - {4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} - C:\Programme\quickbar\quickbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Quick! - {4E7BD74F-2B8D-469E-C0FF-FD67B79CAF2C} - C:\Programme\quickbar\quickbar.dll
O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [MailScan Dispatcher] "D:\Programme\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] D:\PROGRA~1\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] D:\PROGRA~1\AVPMWrap.EXE
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - D:\PROGRA~1\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - D:\PROGRA~1\avpm.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

#12 Zu eScan:

Zitat

http://board.protecus.de/t16317.htm
- Ich habe die Anleitung zu eScan (http://www.trojaner-info.de/hijacker/escan.shtml) sorgfältig durchgelesen, doch im Forum heißt es immer ich soll ein Log von eScan posten, wie funktioniert das?
Scanne dein System im abgesicherten Modus, wie in der Anleitung beschrieben. Nachdem der Scanvorgang beendet ist. klicke auf "View Log". Der Texteditor öffnet sich, speichere das .txt File am Besten vollständig ab, falls du es für eine spätere Verwendung noch einmal brauchst. Öffne dann mit der Tastenkombination [Strg] + [F] die Suchfunktion, gebe "infected" (ohne die Anführungszeichen) ein und durchsuche das Logfile nach allen Treffern. Betroffene Zeilen komplett abkopieren und im Forum posten, sowie die Scanauswertung am Ende des Logfiles (Anzahl der Virenfunde, Fehler, etc).

Du sollst also nur die "infected" Zeilen/Ergebnisse posten.

Besuche www.windowsupdate.com und update dein System, dies ist sehr wichtig, da du dir sonst ständig neue Malware einfängst!

Poste als nächstes bitte die "infected" Zeilen des eScan Logfiles und fixe die Bösen Einträge deines HijackThis-Logs. Eine automatische Auswertung des Logfiles kannst du auf www.hijackthis.de erhalten.

Nachdem du das abgearbeitet hast, füge bitte wieder ein aktuelles HijackThis-Log bei deinem nächsten Posting bei.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#13 Mon Apr 18 19:40:41 2005 => *** Killing Infected Process C:\WINDOWS\Explorer.EXE...
Mon Apr 18 19:40:45 2005 => File C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: File to be deleted on reboot.
Mon Apr 18 19:40:54 2005 => *** Killing Infected Process D:\firefox.exe...
Mon Apr 18 19:46:36 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Mon Apr 18 19:49:25 2005 => C:\RECYCLER\NPROTECT\00000263. possibly infected and removed by background antivirus package!
Mon Apr 18 19:49:25 2005 => C:\RECYCLER\NPROTECT\00000263. possibly infected and removed by background antivirus package!
Mon Apr 18 19:49:25 2005 => File C:\RECYCLER\NPROTECT\00000263. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
Mon Apr 18 19:56:28 2005 => Scanning File D:\DL\4th100midis\infected.mid [**]
Mon Apr 18 19:58:22 2005 => Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.*
Mon Apr 18 19:59:04 2005 => Scanning Folder: D:\Programme\INFECTED\*.*
Mon Apr 18 19:59:04 2005 => Scanning File D:\Programme\infected.wav [**]

bei dem link mit den windowsupdates kann ich ja nur den ie aktualisieren und mit dem surf ich ja eh net.

#14 Wo ist das aktuelle Log mit den gefixten Einträgen?

Und den IE bitte dennoch updaten, da er so tief ins System integriert ist, ist er sogar eine Schwachstelle, wenn er nicht bzw. fast nicht benutzt wird.

Zitat

Mon Apr 18 19:49:25 2005 => C:\RECYCLER\NPROTECT\00000263. possibly infected and removed by background antivirus package!
Mon Apr 18 19:49:25 2005 => C:\RECYCLER\NPROTECT\00000263. possibly infected and removed by background antivirus package!
Mon Apr 18 19:49:25 2005 => File C:\RECYCLER\NPROTECT\00000263. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Diese Dateien sind wie du siehst im Papierkorb, kannst du also schonmal löschen.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#15 ok hier ist nochmal ein aktuelles sound hab ich aber immer noch nicht

Logfile of HijackThis v1.99.1
Scan saved at 20:30:32, on 18.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
D:\PROGRA~1\TRAYSSER.EXE
D:\PROGRA~1\avpm.exe
D:\PROGRA~1\TRAYICOS.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
D:\firefox.exe
D:\DL\hijackthis_199\HijackThis.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - D:\PROGRA~1\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - D:\PROGRA~1\avpm.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe