O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I)

#0
04.05.2005, 15:19
...neu hier

Beiträge: 5
#1 hier mein log:

und vielen dank schonmal ;-)

Logfile of HijackThis v1.99.1
Scan saved at 14:57:14, on 05/04/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Apache Group\Apache2\bin\Apache.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
D:\Programme\mysql\bin\mysqld-nt.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Apache Group\Apache2\bin\Apache.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\WINDOWS\system32\sdkth32.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
D:\Programme\mysql\bin\winmysqladmin.exe
D:\Programme\MSN Messenger\msnmsgr.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Programme\AVPersonal\AVWIN.EXE
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS\addjg32.exe
D:\Programme\Aladdin Systems\StuffIt\stuffit.exe
D:\Dokumente und Einstellungen\marc\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\leche.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\leche.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\leche.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\leche.dll/sp.html#12047
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\leche.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {B088BB03-A955-DF80-4E09-5DC8A264B0FB} - D:\WINDOWS\javabi.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft64] D:\WINDOWS\System32\systemchk.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [sdkth32.exe] D:\WINDOWS\system32\sdkth32.exe
O4 - HKLM\..\RunOnce: [apign32.exe] D:\WINDOWS\system32\apign32.exe
O4 - HKLM\..\RunOnce: [atlzt.exe] D:\WINDOWS\atlzt.exe
O4 - HKLM\..\RunOnce: [addjg32.exe] D:\WINDOWS\addjg32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft64] D:\WINDOWS\System32\systemchk.exe
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan
O4 - Startup: WinMySQLadmin.lnk = D:\Programme\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: j2Tray Menu.lnk = D:\Programme\Gemeinsame Dateien\efax\HotTray.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = D:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = D:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_EN_XP.cab
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.browserplugin.com/eroticAccess/cabs/1759002.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v43/yacscom.cab
O16 - DPF: {2DBEFB64-B6C4-4A2C-BE6A-16FF065B99C6} - http://www.dialerzona.com/cuadruple.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {5E8FD788-C323-4357-AB76-7CBCEFBA573C} (SpyBouncer.SBDownloader) - http://spybouncer.com/downloader.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107426850882
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://autos.msn.com/components/ocx/survid/MSSurVid.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.service-url.de/InstallationsAssistent.ocx
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/SpSp29952.40noopt/SpySpotterCabInstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{13261591-E0F5-47E5-BC6B-A38BB0B16183}: NameServer = 193.152.63.197,194.179.1.192
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - D:\WINDOWS\atlbj32.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Apache2 - Unknown owner - D:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - D:\WINDOWS\System32\ImapiRox.exe (file missing)
O23 - Service: MySql - Unknown owner - D:/Programme/mysql/bin/mysqld-nt.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - D:\DOKUME~1\MARC\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)
Seitenanfang Seitenende
05.05.2005, 15:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@lamovea

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Network Security Service " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
" Network Security Service" beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

--------------------------------------------------------------------------

Start-->Ausfuehren--> regedit

loesche mit rechtsklick:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I


Sollte man Probleme haben, die Einträge zu löschen,


Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.



#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\leche.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINDOWS\leche.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\WINDOWS\leche.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINDOWS\leche.dll/sp.html#12047
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://D:\WINDOWS\leche.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {B088BB03-A955-DF80-4E09-5DC8A264B0FB} - D:\WINDOWS\javabi.dll
O4 - HKLM\..\Run: [Microsoft64] D:\WINDOWS\System32\systemchk.exe
O4 - HKLM\..\Run: [sdkth32.exe] D:\WINDOWS\system32\sdkth32.exe
O4 - HKLM\..\RunOnce: [apign32.exe] D:\WINDOWS\system32\apign32.exe
O4 - HKLM\..\RunOnce: [atlzt.exe] D:\WINDOWS\atlzt.exe
O4 - HKLM\..\RunOnce: [addjg32.exe] D:\WINDOWS\addjg32.exe
O4 - HKCU\..\Run: [Microsoft64] D:\WINDOWS\System32\systemchk.exe
O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.service-url.de/InstallationsAssistent.ocx
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/SpSp29952.40noopt/SpySpotterCabInstall.cab
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - D:\WINDOWS\atlbj32.exe (file missing)


PC neustarten

KILLBOX:
http://www.bleepingcomputer.com/files/killbox.php
1. Trenne die Internetverbindung und schließe alle laufenden Programme
2. Doppel-klicke auf Killbox.exe und lasse es offen
3. In Killbox klickeauf Delete on Reboot ( roter Kasten )

Fügen diese Datei oben in die Full Path of File to Delete Box (1) in
dem man den u.g. Pfad dort eingibt oder mit (2) auf dem Computer nach der Datei suchen.

d:\windows\downloaded program files\InstallationsAssistent.ocx
d:\SpySpotterCabInstall.cab
c:\SpySpotterCabInstall.cab
D:\WINDOWS\javabi.dll
D:\WINDOWS\System32\systemchk.exe
D:\WINDOWS\system32\sdkth32.exe
D:\WINDOWS\system32\apign32.exe
D:\WINDOWS\atlzt.exe
D:\WINDOWS\addjg32.exe
D:\WINDOWS\System32\systemchk.exe
C:\spywarevanisher-free\FreeScanner.exe
D:\WINDOWS\atlbj32.exe

5. Klicke Yes beim Delete on Reboot Prompt.
6. Klicke No beim laufenden Prozesse Prompt
7. Klicke auf den Delete File Button (sieht aus wie ein Stopzeichen (3).
8. Klicke auf Yes beim Delete on Reboot Prompt.
9. Klicke auf Yes beim laufenden Prozesse Prompt, um den Computer neu zu starten. Lasse den Computer neustarten.
10. Sollte folgende Meldung erscheinen, dann führe einen manuellen Neustart durch. "PendingFileRenameOperations Registry Data has been Removed by External Process!"



Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp



deinstalliere den Antivirus und lade ihn neu, dann konfiguriere ihn und gehe unbedingt in den abgresicherten Modus und mache dort einen Komplettscann.
Dann gehe wieder in den Normalmodus, poste mir den Report vom Scann und das neue Log vom HijackTHis


•Antivirus (free)
http://www.free-av.de/

Nach dem Installationsscan (in Ruhe abwarten und alles Bestaetigen waehrend der Installation:
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

gehe in den abgesicherten Modus

http://www.tu-berlin.de/www/software/virus/savemode.shtml

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
+
das neue Log vom HIjacktHis+ Report vom Scan (Antivirus)


ç
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.05.2005, 23:17
...neu hier

Themenstarter

Beiträge: 5
#3 Logfile of HijackThis v1.99.1
Scan saved at 22:56:39, on 05/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Apache Group\Apache2\bin\Apache.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\mysql\bin\mysqld-nt.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Apache Group\Apache2\bin\Apache.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
D:\Programme\mysql\bin\winmysqladmin.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Dokumente und Einstellungen\marc\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [Windows Mouse Utilities] mouseutils.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - Startup: WinMySQLadmin.lnk = D:\Programme\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: j2Tray Menu.lnk = D:\Programme\Gemeinsame Dateien\efax\HotTray.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = D:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Monitor Apache Servers.lnk = D:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_EN_XP.cab
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.browserplugin.com/eroticAccess/cabs/1759002.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v43/yacscom.cab
O16 - DPF: {2DBEFB64-B6C4-4A2C-BE6A-16FF065B99C6} - http://www.dialerzona.com/cuadruple.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {5E8FD788-C323-4357-AB76-7CBCEFBA573C} (SpyBouncer.SBDownloader) - http://spybouncer.com/downloader.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107426850882
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://autos.msn.com/components/ocx/survid/MSSurVid.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{13261591-E0F5-47E5-BC6B-A38BB0B16183}: NameServer = 193.152.63.197,194.179.1.192
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Apache2 - Unknown owner - D:\Programme\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - D:\WINDOWS\System32\ImapiRox.exe (file missing)
O23 - Service: MySql - Unknown owner - D:/Programme/mysql/bin/mysqld-nt.exe


Erstellungsdatum der Reportdatei: Donnerstag, 5. Mai 2005 21:13

AntiVir®/XP (2000 + NT) PersonalEdition Classic Build 1035, 16.03.2005
Hauptptogramm 6.30.00.17 vom 07.03.2005
VDF-Datei 6.30.0.138 (0) vom 27.04.2005


Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.


Es wird nach 160943 Viren bzw. unerwünschten Programmen gesucht.

Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149996-ADJIE-0001
FUSE: Grundlizenz

Bitte tragen Sie in dieses Formular den Rechnerstandort und
den zuständigen Ansprechpartner mit Telefonnummer ein:

Name ___________________________________________

Straße ___________________________________________

PLZ/Ort ___________________________________________

Telefon/Fax ___________________________________________

Email ___________________________________________

Plattform: Windows NT Workstation
Windows-Version: 5.1 Build 2600 ()
Benutzername: marc
Prozessor: Pentium
Arbeitsspeicher: 130612 KB frei

Versionsinformationen:
AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26
AVEWIN32.DLL : 6.30.0.7 815616 11.03.2005 12:40:48
AVGNT.EXE : 6.30.00.01 163943 17.02.2005 11:52:50
AVGUARD.EXE : 6.30.00.06 240168 01.03.2005 15:19:20
GUARDMSG.DLL : 6.30.00.02 98344 01.02.2005 10:23:32
AVGCMSG.DLL : 6.30.00.01 295029 02.02.2005 09:46:26
AVGNTDW.SYS : 6.30.00.04 32640 28.01.2005 11:55:26
AVPACK32.DLL : 6.30.0.9 319568 12.04.2005 10:16:50
AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 17:10:10
AVWIN.DLL : 6.30.00.17 528424 08.03.2005 15:04:26
AVSHLEXT.DLL : 6.30.00.01 40960 16.03.2005 10:17:42
AVSched32.EXE : 6.30.00.00 110632 01.02.2005 10:23:32
AVSched32.DLL : 6.30.00.00 122880 01.02.2005 10:23:32
AVREG.DLL : 6.30.00.03 41000 10.02.2005 17:47:18
AVRep.DLL : 6.30.00.133 1077288 25.04.2005 14:27:58
INETUPD.EXE : 6.30.00.17 266299 08.03.2005 15:04:26
INETUPD.DLL : 6.30.00.17 159744 08.03.2005 15:04:26
CTL3D32.DLL : 2.31.000 27136 18.08.2001 12:00:00
MFC42.DLL : 6.00.8665.0 995383 18.08.2001 12:00:00
MSVCRT.DLL : 7.0.2600.0 (xpclient.010817-1148
MSVCRT.DLL : 7.0.2600.0 (xp 322560 18.08.2001 12:00:00
CTL3DV2.DLL : Keine Information

Konfigurationsdaten:

Name der Konfigurationsdatei: D:\Programme\AVPersonal\AVWIN.INI
Name der Reportdatei: D:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Startpfad: D:\Programme\AVPersonal
Kommandozeile:
Startmodus: unbekannt

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[ ] Alle Dateien
[X] Programmdateien
Endungen: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> D:\DOKUME~1\marc\LOKALE~1\Temp
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[ ] AVWin®/NT Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Laufwerke:
A: Diskettenlaufwerk
C: Festplatte
D: Festplatte
E: CDRom
F: CDRom

Start des Suchlaufs: Donnerstag, 5. Mai 2005 21:13

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK




D:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
D:\WINDOWS
sdkrv32.exe
Die Datei enthält Signatur des PMS/stroyIn-Programmes und wurde vom Benutzer unterdrückt.
D:\WINDOWS\system32\config
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SYSTEM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SOFTWARE
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
DEFAULT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
Winpup.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
URLSearchHookAtlpz.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
D:\Dokumente und Einstellungen\marc\Lokale Einstellungen\Temp
JET5B76.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
D:\Dokumente und Einstellungen\marc\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTM3GDAJ
´¥¡Ì
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x0002
WARNUNG! Zugriffsfehler/Datei gesperrt!
D:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)



Ende des Suchlaufs: Donnerstag, 5. Mai 2005 22:13
Benötigte Zeit: 60:05 min


2489 Verzeichnisse wurden durchsucht
36670 Dateien wurden geprüft
8 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden
Seitenanfang Seitenende
06.05.2005, 10:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@@lamovea

Mache unbedingt die WindowsUpdates (lade SP2)
http://virus-protect.org/seite1.html

D:\Dokumente und Einstellungen\marc\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTM3GDAJ<--loeschen

CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp



Lade: rkfiles.zip
-->entpacken-->Gehe in den abgesicherten
Modus-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.05.2005, 17:00
...neu hier

Themenstarter

Beiträge: 5
#5 ich habe da noch so ein kl. problem!
die datei: D:\Dokumente und Einstellungen\marc\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTM3GDAJ
kann ich nicht löschen...kommt immer die meldung>>die quelldatei oder vom quellträger kann nicht gelesen werden


dann hab ich noch ein problem :-)
ich kann mir das service pack2 nicht laden, da mein produkt key nicht akzeptiert wird...ist aber ein original programm...war auch schon auf der website von microsoft um dieses problem zu lösen aber bisher ohne erfolg...gibt es da ne andere möglichkeit?

Lade: rkfiles.zip -->entpacken-->Gehe in den abgesicherten
Modus-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
habe ich ausgeführt aber funktioniert auch nicht...kommt die meldung im dos fenster konnte den pfad nicht finden und passiert nichts...

sorry für die umstände, aber irgendwie bekomme ich es nicht hin...und total vertrottelt bin ich nun auch wieder nicht im umgang mit meinem rechner...lach

gruss marcus
Seitenanfang Seitenende
07.05.2005, 16:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 das Programm funktioniert, du musst nur schoen lange warten, denn es wird der komplette PC durchgescannt und das kann eine Weile dauern ;)

Gehe in die registry

Start-->Ausfuehren-->regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

was findest du unter diesem Schluessel?

eventuell:"DoNotAllowXPSP2" = "01, 00, 00, 00" ???
+
hast du XP-Antispy geladen ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.05.2005, 23:50
...neu hier

Themenstarter

Beiträge: 5
#7 D:\Dokumente und Einstellungen\marc\Desktop

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
D:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
D:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
D:\WINDOWS\SMS-Stadt[sst-12579,de,1].exe: UPX!
D:\WINDOWS\languard.exe: UPX!
D:\WINDOWS\Bewerbung.exe.exe: UPX!
D:\WINDOWS\Bewerbung.exe41.exe: UPX!
Finished
bye
Seitenanfang Seitenende
09.05.2005, 23:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 lamovea

Loesche:

D:\WINDOWS\languard.exe

Zitat

und

Gehe in die registry

Start-->Ausfuehren-->regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

was findest du unter diesem Schluessel?
eventuell:"DoNotAllowXPSP2" = "01, 00, 00, 00" ???
+
hast du XP-Antispy geladen ?

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.05.2005, 23:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Hallo@lamovea

Welche Fehlermeldung kommt,wenn du das WindowsUpdate nicht machen kannst ??
(Beschreibe mir bitte GANZ GENAU die Fehlermeldung ,) (und bitte nicht per PM...poste hier in den Thread)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende