winfixer 2005 problem

#196 Ichthys

versuche es mal so:

in den Editor kopieren:

@echo off
cd\
cd %windir%\system
dir /a:-d /o:-d > %systemdrive%\system.txt
cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\win.txt
cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
exit

abspeichern als: findit.bat

'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

dann doppeltklicken.

funktioniert es ?
__________
MfG Sabina

rund um die PC-Sicherheit

#197 Super! Das hätten wir mal geschafft!!! Aber 1 Textdatei (system) ist zu groß, um im Editor geordnet zu erscheinen! (Kann ich die nicht ganz löschen, oder soll ich alle Einträge der letzten 2 Monate raussuchen?)

Das Zitat von deiner vorletzten Antwort hab ich nicht ganz getscheckt. Ich weiß jetzt nicht, ob ich die Einträge der letzten 2 Monate irgendwo hin vom Zitat kopieren soll, oder ich es dir auflisten soll? Deshalb schick ich dir einfach mal das von 3 Text-Dateien:

Verzeichnis von C:\WINDOWS

SYSTEM DAT 6.426.656 04.11.05 17:35 SYSTEM.DAT
USER DAT 770.080 04.11.05 17:35 USER.DAT
WIN386 SWP 125.829.120 04.11.05 17:34 WIN386.SWP
HSPMIC~1 LOG 1.912 04.11.05 17:34 HSP MicroModem 56.log
STEFAN PWL 828 04.11.05 17:26 STEFAN.PWL
SCHEDLOG TXT 10.245 04.11.05 17:23 SchedLog.Txt
SYSTEM INI 2.538 04.11.05 17:23 system.ini
NDISLOG TXT 0 04.11.05 17:23 NDISLOG.TXT
SHELLI~1 914.894 04.11.05 14:55 ShellIconCache
WIN INI 8.699 04.11.05 12:35 win.ini
TWAIN001 MTX 3 03.11.05 11:05 Twain001.Mtx
WININIT BAK 74 03.11.05 10:20 WININIT.BAK
WAVEMIX INI 54 02.11.05 19:31 WAVEMIX.INI
POWERPNT INI 60 02.11.05 19:31 POWERPNT.INI
TTFCACHE 25.287 02.11.05 19:24 ttfCache
WINDOW~1 LOG 13.534 02.11.05 19:04 Windows Update.log
DAHOTFIX LOG 1.620 02.11.05 18:19 dahotfix.log
VMINST LOG 2.148 02.11.05 18:19 vminst.log
REGSAV~1 TXT 2.196 02.11.05 18:18 Reg Save Log.txt
ACTIVE~1 TXT 11.731 02.11.05 17:16 Active Setup Log.txt
CONTROL INI 1.332 02.11.05 9:39 CONTROL.INI
LEXSTAT INI 1.556 02.11.05 9:33 LEXSTAT.INI
MDACSET LOG 123.476 02.11.05 9:18 MDACSET.log
ODBC INI 1.383 02.11.05 9:18 ODBC.INI
ODBCINST INI 3.111 02.11.05 9:18 ODBCINST.INI
MUMA2003 INI 199 01.11.05 23:51 MUMA2003.INI
QTFONT QFN 54.156 01.11.05 18:18 QTFont.qfn
QTFONT FOR 1.308 01.11.05 18:18 QTFont.for
NDNUNI~1 EXE 182.272 31.10.05 17:52 NDNuninstall6_98.exe
PAPERP~1 BMP 6.774.934 29.10.05 17:43 PaperPort Hintergrund.bmp
TWAIN LOG 709 29.10.05 17:26 TWAIN.LOG
MSINFO32 INI 0 29.10.05 16:41 MSINFO32.INI
MXCDR INI 84 29.10.05 15:55 MXCDR.INI
MUSICE~1 INI 787 29.10.05 14:18 MUSICEDITOR.INI
WMSETUP LOG 26.364 27.10.05 15:45 wmsetup.log
RESMNGR INI 0 23.10.05 20:25 RESMNGR.INI
DASETUP LOG 25.035 17.10.05 16:55 dasetup.log
BEATBOX INI 426 14.10.05 19:26 BEATBOX.INI
SAMPLER INI 426 14.10.05 19:26 SAMPLER.INI
QTW INI 228 12.10.05 19:25 QTW.INI
RESULT QTW 30 12.10.05 19:25 RESULT.QTW
WININI QTW 8.643 12.10.05 19:24 WININI.QTW
SYSINI QTW 2.538 12.10.05 19:24 SYSINI.QTW
QTW QTW 28 12.10.05 19:24 QTW.QTW
MATHET~1 INI 196 09.10.05 18:48 MatheTiger3.ini
ORG99 INI 0 09.10.05 14:27 ORG99.INI
ACTIVE~1 BAK 3.525 09.10.05 14:25 Active Setup Log.BAK
MAGIX INI 201 09.10.05 14:03 magix.ini
WMSYSPR9 PRX 316.640 09.10.05 14:03 WMSysPr9.prx
LEXHBP INI 204 05.10.05 15:26 LEXHBP.INI
TWUNK003 MTX 0 05.10.05 13:37 TWUNK003.MTX
TWUNK002 MTX 0 05.10.05 13:37 Twunk002.MTX
NACHHILF INI 90 04.10.05 20:04 nachhilf.INI
FPXPRESS INI 68 04.10.05 18:30 FPXPRESS.INI
OEWABLOG TXT 3.258 04.10.05 18:30 OEWABLog.txt
BRNDLOG TXT 5.069 04.10.05 18:30 brndlog.txt
RUNONC~1 TXT 24.995 04.10.05 18:30 RunOnceEx Log.txt
BRNDLOG BAK 239 04.10.05 18:30 brndlog.bak
BINDLI~1 TXT 20.991 04.10.05 18:28 Bind List Log.txt
MSOWS407 DLL 127.032 04.10.05 18:27 msows407.dll
CHANNE~1 SCR 78.080 04.10.05 18:25 Channelbildschirmschoner.SCR
IESETU~1 TXT 95.370 04.10.05 18:25 IE Setup Log.Txt
WPLOG TXT 0 04.10.05 18:07 wplog.txt
MSIMGSIZ DAT 16.384 03.10.05 21:43 MSIMGSIZ.DAT
PPSETUP LOG 72.229 03.10.05 21:11 PPSETUP.LOG
MAXLINK INI 828 03.10.05 21:11 maxlink.ini
STI_TR~1 LOG 0 03.10.05 21:05 Sti_Trace.log
CALERA INI 95 03.10.05 21:05 calera.ini
SYSTEM$$ VIZ 2.136 03.10.05 21:02 SYSTEM$$.VIZ
WIN$$ VIZ 6.916 03.10.05 21:01 WIN$$.VIZ
IUN3404 EXE 216.064 03.10.05 21:00 iun3404.exe
IEUNIN~1 TXT 75.525 03.10.05 19:57 IE Uninstall Log.Txt
UNENG EXE 36.864 03.10.05 19:47 uneng.exe
INSTLOG TXT 709 03.10.05 19:47 INSTLOG.TXT
WSCRIPT EXE 118.834 03.10.05 19:40 WSCRIPT.EXE
TRUESOFT DAT 1.532 03.10.05 19:37 TRUESOFT.DAT
DIRECTX LOG 95.882 03.10.05 19:35 DirectX.log
WININIT SAV 9.010 03.10.05 19:34 WININIT.SAV
EDLOG DAT 32 03.10.05 19:32 EdLog.dat
TELEPHON INI 225 03.10.05 19:30 TELEPHON.INI
PTHSP DAT 456 03.10.05 19:30 PTHSP.DAT
TMPDELIS BAT 122 03.10.05 19:22 tmpdelis.bat
DEFAULT SFC 74.376 03.10.05 19:05 Default.sfc
HWINFO DAT 176.160 03.10.05 19:04 HWINFO.DAT
FOLDER HTT 13.085 03.10.05 19:03 folder.htt
DESKTOP INI 266 03.10.05 19:03 desktop.ini
SYSTEM CB 86 03.10.05 19:01 SYSTEM.CB
PROGMAN INI 0 03.10.05 19:01 progman.ini
PROTOCOL INI 120 03.10.05 18:59 PROTOCOL.INI
SETVER EXE 19.131 03.10.05 18:57 SETVER.EXE
MSOFFICE INI 26 03.10.05 18:57 MSOFFICE.INI
HIDCI DLL 3.216 03.10.05 18:55 HIDCI.DLL
PIDGEN DLL 27.616 03.10.05 18:54 PIDGEN.DLL
WINSOCK DLL 21.504 03.10.05 18:54 WINSOCK.DLL

Verzeichnis von C:\WINDOWS\TEMP

~DF43BC TMP 0 04.11.05 17:34 ~DF43BC.TMP
~DF40D2 TMP 0 04.11.05 17:34 ~DF40D2.TMP
~DFA72F TMP 0 04.11.05 13:14 ~DFA72F.TMP
FBE141 TMP 1.536 04.11.05 13:14 fbE141.TMP
WWWE0D5 TMP 188 04.11.05 11:14 wwwE0D5.TMP
~DFDE4 TMP 16.384 03.11.05 10:23 ~DFDE4.TMP
FBD163 TMP 1.536 02.11.05 19:29 fbD163.TMP
~DFF567 TMP 0 02.11.05 19:29 ~DFF567.TMP
MSIUTI~1 LOG 3.485 02.11.05 18:19 msiutil(1).log
~WINFI~1 EXE 2.375.816 02.11.05 17:19 ~WinFixer2005ScannerSetup.exe
WECERR TXT 264 02.11.05 17:17 wecerr.txt
~DF5D1A TMP 0 02.11.05 16:18 ~DF5D1A.TMP
~DF5E1C TMP 0 02.11.05 16:18 ~DF5E1C.TMP
~DFE82 TMP 0 02.11.05 16:05 ~DFE82.TMP
TRB1232 TMP 0 02.11.05 9:33 trb1232.TMP
TRBA353 TMP 0 02.11.05 9:26 trbA353.TMP
MSIEVENT LOG 14.359 02.11.05 9:19 msievent.log
war*hier nicht!*_~1 EXE 2.772.193 31.10.05 12:44 war*hier nicht!*_p2p_setup.exe
CXTPLS~1 EXE 172.072 31.10.05 12:18 cxtpls_loader.exe
IDE21201 VXD 4.720 31.10.05 12:18 ide21201.vxd
IINSTALL EXE 26.112 31.10.05 12:17 iinstall.exe
DSC914~1 JPG 338.972 29.10.05 17:41 Dsc9141.TMP.jpg
ICO32D4 TMP 0 28.10.05 12:03 ICO32D4.TMP
ICO84 TMP 0 28.10.05 12:00 ICO84.TMP
~DFC99 TMP 0 28.10.05 11:59 ~DFC99.TMP
ICOB115 TMP 0 28.10.05 11:59 ICOB115.TMP
ICOF1D4 TMP 0 28.10.05 10:47 ICOF1D4.TMP
ICO3030 TMP 0 22.10.05 12:19 ICO3030.TMP
SYS_RW16 DLL 12.800 19.10.05 16:48 SYS_RW16.DLL
MSI52B6 TMP 6.954 17.10.05 18:05 MSI52B6.TMP
~DF14CA TMP 0 17.10.05 17:11 ~DF14CA.TMP
~DFA3F8 TMP 0 17.10.05 17:11 ~DFA3F8.TMP
~DF1059 TMP 0 17.10.05 17:10 ~DF1059.TMP
MSI2FDF5 LOG 4.947 17.10.05 16:53 MSI2fdf5.LOG
THESAUR DAT 0 16.10.05 13:53 THESAUR.DAT
STEMMING DAT 0 16.10.05 13:53 STEMMING.DAT
MSI1E45B LOG 690 14.10.05 16:38 MSI1e45b.LOG
TMP22322 FOT 1.326 12.10.05 17:15 tmp22322.FOT
AAXF253 TMP 30.996 12.10.05 17:15 AAXF253.TMP
CRS92D1 TMP 3.940.672 12.10.05 16:09 CRS92D1.TMP
CRS8305 TMP 3.940.672 12.10.05 16:08 CRS8305.TMP
ICO8170 TMP 0 12.10.05 16:08 ICO8170.TMP
SIGMAT~1 LOG 3.169 12.10.05 14:05 SigmaTel MSCN Audio Player.log
TRB5040 TMP 0 11.10.05 9:21 trb5040.TMP
TRB5041 TMP 0 11.10.05 9:21 trb5041.TMP
MSI59B78 LOG 193 11.10.05 9:20 MSI59b78.LOG
MSI59B74 LOG 193 11.10.05 9:20 MSI59b74.LOG
ICO1115 TMP 0 09.10.05 19:01 ICO1115.TMP
ICO83B5 TMP 0 09.10.05 18:57 ICO83B5.TMP
IMT93 AVI 25.975 09.10.05 14:32 IMT93.avi
GLI1002 TMP 568 09.10.05 14:02 GLI1002.TMP
GLC81D3 TMP 160.768 09.10.05 13:56 GLC81D3.TMP
PTD32E1 TMP 900.296 05.10.05 15:19 PTD32E1.TMP
PTD52B2 TMP 102.600 05.10.05 13:37 PTD52B2.TMP
WORD20~1 TXT 139.280 04.10.05 18:07 Word 2000 Setup (0002)_MsiExec.txt
OFFCLN9 LOG 29.626 03.10.05 21:35 offcln9.log
WORD20~2 TXT 1.625 03.10.05 21:35 Word 2000 Setup (0002).txt
SENDMAIL LOG 32 03.10.05 21:34 SendMail.Log
CLICK WAV 5.924 03.10.05 19:16 Click.wav
GIGAAVI1 AVI 360.448 03.10.05 19:16 Gigaavi1.avi
GIGAAVI2 AVI 338.432 03.10.05 19:16 Gigaavi2.avi
PLF83B4 TMP 3.472 03.10.05 19:09 plf83B4.TMP
MSNMGSR1 LOG 15.280 03.10.05 19:06 msnmgsr1.log
SETUP MSI 8.036.352 23.05.05 21:22 setup.msi
ORGDATA TMP 0 23.05.05 20:51 orgdata.tmp
INSTAL~1 PDF 270.299 17.02.05 16:18 InstallGuide.pdf
HIJACK~1 EXE 218.112 16.02.05 11:06 HijackThis.exe

Verzeichnis von C:\

SYSTEM TXT 99.111 04.11.05 17:36 system.txt
SYSTEM~1 TXT 4.876 04.11.05 17:36 systemtemp.txt
WIN TXT 17.048 04.11.05 17:36 win.txt
SYS TXT 0 04.11.05 17:36 sys.txt
PERFORM LOG 71 04.11.05 17:23 perform.log
SCANDISK LOG 19.127 04.11.05 14:42 SCANDISK.LOG
AUTOEXEC PIF 967 04.11.05 14:29 AUTOEXEC.PIF
AUTOEXEC BAT 171 03.11.05 10:18 AUTOEXEC.BAT
SETUPXLG TXT 233 12.10.05 14:02 SETUPXLG.TXT
AUTOEXEC 001 152 03.10.05 21:24 AUTOEXEC.001
PCCHECK LOG 1.860 03.10.05 19:32 PCcheck.LOG
CONFIG SYS 100 03.10.05 19:22 CONFIG.SYS
BOOTLOG TXT 53.014 03.10.05 19:12 BOOTLOG.TXT
BOOTLOG PRV 55.183 03.10.05 19:09 BOOTLOG.PRV
AUTOEXEC BIT 134 03.10.05 19:05 AUTOEXEC.BIT
SETUPLOG TXT 111.777 03.10.05 19:04 SETUPLOG.TXT
NETLOG TXT 5.841 03.10.05 19:04 NETLOG.TXT
MSDOS SYS 1.676 03.10.05 19:01 MSDOS.SYS
DETLOG TXT 72.104 03.10.05 19:00 DETLOG.TXT
FRUNLOG TXT 1.009 03.10.05 18:58 FRUNLOG.TXT
SUHDLOG DAT 5.166 03.10.05 18:57 SUHDLOG.DAT
SYSTEM 1ST 552.992 03.10.05 18:57 SYSTEM.1ST
MSDOS --- 22 03.10.05 18:53 MSDOS.---

PS: (gehört eigentlich nicht in den Thread, aber hängt vielleicht mit dem anderen zusammen)
- Vor kurzem (höchsten 2 Monate) habe ich erst meine Festplatte neu formatieren lassen, aber in den Ordnern waren auch noch Daten bis 1996. Ich dachte die Festplatte müsste restlos gelöscht sein??
- Nach kurzer Zeit im Internet (ca. 1 min) zeigt mir der Internet Explorer keine Seite mehr an (wie , als hätte ich keine Verbindung mehr)!
- AntiVir erscheint plötzlich nicht mehr als Autostart! Da ist doch bestimmt was faul?

#198 Ichthys

Troj/Ptsnoop ist ein Backdoor-Trojaner. Er kopiert sich nach \windows\system\ptsnoop.exe und ändert die win.ini, indem zur Zeile 'load = ' 'c:\windows\system\ptsnoop.exe' hinzufügt.
http://www.sophos.de/virusinfo/analyses/trojptsnoop.html

mit dem Texteditor oeffnen--> kopiere ab, was drin steht :

win.ini
WININIT.BAK
tmpdelis.bat

das habe ich rausgesucht, muss also geloescht werden.
Ich empfehle dir jedoch, Win98 neu zu installieren und in Zukunft bestimmte Programme nicht zu laden und auch mit mehr Vorsicht zu surfen.

C:\Programme\SurfAccuracy
C:\WINDOWS\NDNuninstall6_98.exe
C:\WINDOWS\TEMP\cxtpls_loader.exe
C:\WINDOWS\TEMP\war*hier nicht!*_p2p_setup.exe
C:\WINDOWS\TEMP\WinFixer2005ScannerSetup.exe
C:\WINDOWS\TEMP\ide21201.vxd
C:\WINDOWS\TEMP\iinstall.exe

new.net deinstallieren

viele Tools, die ich zur Verfuegung habe, funktionieren nicht auf Win98, aber versuche es mal:

CCleaner
http://www.ccleaner.com/ccdownload.asp
lösche alle temp-Dateien



OnlineVirenscanner (dann muss manuell geloescht werden, was angezeigt wird)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#199 hallo sabina,

seit kurzem öffnet sich bei mir auch dieser winfixer 2005 pop-up, ich habe den thread mal durchgelesen und es scheint so als wärst du die einzige, die dieses problem im griff hat.

kannst du mir bitte auch helfen, ich poste mal meine hijack_log_datei

Logfile of HijackThis v1.99.1
Scan saved at 11:51:15, on 06.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Software\JAVAJAVA\bin\jusched.exe
C:\Software\DEAMON TOOLS\daemon.exe
D:\Program Files\Internet Optimizer\optimize.exe
C:\Software\ITunes6\iTunesHelper.exe
D:\Programme\QuickTime\qttask.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\OpenOffice.org 2.0\program\soffice.exe
D:\Programme\OpenOffice.org 2.0\program\soffice.BIN
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Software\NAV\navapsvc.exe
D:\WINDOWS\system32\netdde.exe
C:\Software\NAV\AdvTools\NPROTECT.EXE
D:\WINDOWS\System32\tcpsvcs.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Program Files\Internet Optimizer\actalert.exe
D:\WINDOWS\System32\svchost.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Dokumente und Einstellungen\who are you\Desktop\HijackThis.exe
D:\Programme\Messenger\msmsgs.exe

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - D:\WINDOWS\nem220.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Software\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - D:\WINDOWS\wsem303.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Software\NAV\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Software\NAV\NavShExt.dll
O4 - HKLM\..\Run: [removecpl] RemoveCpl.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\Software\NAV\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SAHBundle] D:\DOKUME~1\WHOARE~1\LOKALE~1\Temp\sahagent.exe run
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Software\JAVAJAVA\bin\jusched.exe
O4 - HKLM\..\Run: [Xaglrwav] C:\Program Files\Pyeu\Wnovzw.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Software\DEAMON TOOLS\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [system] regsvr32.exe /s D:\WINDOWS\system32\XXXDownloader.ocx
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Software\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [Internet Optimizer] "D:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Software\ITunes6\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OpenOffice.org 2.0.lnk = D:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Software\Adobe\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://D:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000
O8 - Extra context menu item: Backward &Links - res://D:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://D:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download über Download &Express - C:\Software\DownloadExpress\Download Express\Add_Url.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Software\Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://D:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Software\NAV\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Software\NAV\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

nun ich hoffe du kannst mir auch die einzelnen schritte zur beseitigung schildern, und sonst alles was ich dazu brauche, danke im voraus

#200 daewoo

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - D:\WINDOWS\nem220.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - D:\WINDOWS\wsem303.dll
O4 - HKLM\..\Run: [SAHBundle] D:\DOKUME~1\WHOARE~1\LOKALE~1\Temp\sahagent.exe run
O4 - HKLM\..\Run: [Xaglrwav] C:\Program Files\Pyeu\Wnovzw.exe
O4 - HKLM\..\Run: [system] regsvr32.exe /s D:\WINDOWS\system32\XXXDownloader.ocx
O4 - HKLM\..\Run: [Internet Optimizer] "D:\Program Files\Internet Optimizer\optimize.exe"
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

PC neustarten

CCleaner
http://www.ccleaner.com/ccdownload.asp
lösche alle temp-Dateien



hier muss man behutsam vorgehen, wenn man den PC wirklich sauber bekommen will.
Bevor ich also Virenscanner und andere Anweisungen gebe, will ich folgendes sehen:

die 4 Logs
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#201 hier mal die datfind.bat:

Datentr„ger in Laufwerk D: ist Datentr„ger
Volumeseriennummer: 88E6-6A9B

Verzeichnis von D:\WINDOWS\system32

05.11.2005 16:20 283.720 FNTCACHE.DAT
05.11.2005 00:09 2.206 wpa.dbl
03.11.2005 17:49 5.547 jupdate-1.5.0_05-b05.log
30.10.2005 14:59 52.900 perfc009.dat
30.10.2005 14:59 380.486 perfh009.dat
30.10.2005 14:59 391.330 perfh007.dat
30.10.2005 14:59 63.778 perfc007.dat
30.10.2005 14:59 897.954 PerfStringBackup.INI
23.10.2005 13:34 5.120 Thumbs.db
18.10.2005 17:32 65.536 svchst.exe
17.10.2005 20:58 65.536 QuickTimeVR.qtx
17.10.2005 20:57 49.152 QuickTime.qts
07.10.2005 00:07 1.047.552 mfc71u.dll
06.10.2005 23:50 264 winsusrm.dll
05.10.2005 03:09 2.301.792 MRT.exe
04.10.2005 16:26 3.013.120 mshtml.dll
23.09.2005 04:06 8.491.520 shell32.dll
19.09.2005 14:13 90 spupdwxp.log
10.09.2005 02:54 2.067.968 cdosys.dll
03.09.2005 00:53 664.064 wininet.dll
03.09.2005 00:53 530.432 mstime.dll
03.09.2005 00:53 1.484.288 shdocvw.dll
03.09.2005 00:53 605.696 urlmon.dll
03.09.2005 00:53 39.424 pngfilt.dll
03.09.2005 00:53 55.808 extmgr.dll
03.09.2005 00:53 251.392 iepeers.dll
03.09.2005 00:53 96.768 inseng.dll
03.09.2005 00:53 448.512 mshtmled.dll
03.09.2005 00:53 205.312 dxtrans.dll
03.09.2005 00:53 146.432 msrating.dll
03.09.2005 00:53 474.112 shlwapi.dll
03.09.2005 00:53 1.055.744 danim.dll
03.09.2005 00:53 152.064 cdfview.dll
03.09.2005 00:53 1.019.904 browseui.dll
01.09.2005 02:44 292.352 winsrv.dll
01.09.2005 02:44 19.968 linkinfo.dll
30.08.2005 04:55 1.292.800 quartz.dll
26.08.2005 18:14 127.078 javaws.exe
26.08.2005 18:14 49.265 jpicpl32.cpl
26.08.2005 15:55 49.250 javaw.exe
26.08.2005 15:55 49.248 java.exe
23.08.2005 04:39 124.416 umpnpmgr.dll
22.08.2005 19:31 197.632 netman.dll
20.08.2005 19:49 16.832 amcompat.tlb
20.08.2005 19:49 23.392 nscompat.tlb
11.08.2005 22:28 3.799 jupdate-1.5.0_04-b05.log
11.08.2005 16:11 65.024 nwwks.dll
01.08.2005 21:02 15.360 XXXDownloader.ocx

hier die systemtemp:

Datentr„ger in Laufwerk D: ist Datentr„ger
Volumeseriennummer: 88E6-6A9B

Verzeichnis von D:\DOKUME~1\WHOARE~1\LOKALE~1\Temp

06.11.2005 12:44 56.649 jusched.log
06.11.2005 11:38 0 cfout.txt
06.11.2005 11:38 17 cfin
06.11.2005 00:23 0 8yr5.tmp
05.11.2005 14:27 0 08b7F.tmp
05.11.2005 14:18 2 Datei1.java
05.11.2005 14:08 0 error.txt
05.11.2005 14:00 3.044 QTInstallCode.log
05.11.2005 14:00 1.660 qtplugin.log
05.11.2005 14:00 450.048 14a73d.mst
05.11.2005 13:57 396.288 122f28.mst
05.11.2005 01:35 0 85h11.tmp
05.11.2005 00:39 36.188 java_install_reg.log
05.11.2005 00:34 697 TWAIN.LOG
05.11.2005 00:34 156 Twunk001.MTX


hier die systemtxt:

Datentr„ger in Laufwerk D: ist Datentr„ger
Volumeseriennummer: 88E6-6A9B

Verzeichnis von D:\WINDOWS

06.11.2005 12:44 0 0.log
06.11.2005 12:44 1.876.532 WindowsUpdate.log
06.11.2005 12:44 159 wiadebug.log
06.11.2005 12:44 50 wiaservc.log
06.11.2005 12:44 2.048 bootstat.dat
06.11.2005 12:43 32.628 SchedLgU.Txt
06.11.2005 12:39 479.158 setupapi.log
05.11.2005 13:57 121 GEARInstall.log
05.11.2005 00:19 249.856 Setup1.exe
05.11.2005 00:19 73.216 ST6UNST.EXE
01.11.2005 19:25 615 win.ini
01.11.2005 19:25 277 system.ini
26.10.2005 13:16 685.351 iis6.log
26.10.2005 13:16 129.908 comsetup.log
26.10.2005 13:16 231.583 tsoc.log
26.10.2005 13:16 83.759 ntdtcsetup.log
26.10.2005 13:16 4.625 imsins.log
26.10.2005 13:16 23.241 tabletoc.log
26.10.2005 13:16 17.472 ocmsn.log
26.10.2005 13:16 21.209 medctroc.Log
26.10.2005 13:16 280.258 ocgen.log
26.10.2005 13:16 24.773 msgsocm.log
26.10.2005 13:16 462.345 FaxSetup.log
26.10.2005 13:15 82.907 netfxocm.log
26.10.2005 13:15 176.834 msmqinst.log
23.10.2005 13:42 411.028 ntbtlog.txt
22.10.2005 13:28 1.393 imsins.BAK
22.10.2005 13:28 11.293 KB896688.log
22.10.2005 13:17 24.987 updspapi.log
22.10.2005 11:38 19.573 KB901017.log
22.10.2005 11:38 22.181 KB902400.log
22.10.2005 11:37 13.903 KB899589.log
22.10.2005 11:37 14.228 KB905414.log
22.10.2005 11:37 14.183 KB900725.log
22.10.2005 11:37 11.355 KB904706.log
22.10.2005 11:36 11.989 KB905749.log
21.10.2005 16:59 209.535 wmsetup.log
21.10.2005 12:53 63.232 wsem303.dll
20.10.2005 12:53 865 sysdata.pbk
17.10.2005 15:30 23 BCMWL.DMR
09.10.2005 22:50 235 IfoEdit.INI
08.10.2005 14:06 192 winamp.ini
05.10.2005 00:00 188.854 setupact.log
04.10.2005 17:32 245 Omega Drivers Log.txt
04.10.2005 17:30 1.440.054 Firefox Wallpaper.bmp
03.10.2005 01:01 8.309 mozver.dat
26.09.2005 00:16 99.970 UninstallFirefox.exe
19.09.2005 16:48 14.581 KB885250.log
19.09.2005 16:48 16.767 KB896727.log
19.09.2005 16:48 12.045 KB887742.log
19.09.2005 16:48 11.579 KB887472.log
19.09.2005 16:48 7.838 KB886185.log
19.09.2005 16:47 13.178 KB894391.log
19.09.2005 14:17 494 wmsetup10.log
19.09.2005 14:15 1.174 OEWABLog.txt
19.09.2005 14:15 728.317 setuplog.txt
19.09.2005 14:14 28.950 spupdsvc.log
19.09.2005 14:14 360 DtcInstall.log
19.09.2005 14:14 316.640 WMSysPr9.prx

19.09.2005 13:08 200 cmsetacl.log
19.09.2005 13:07 1.330 sessmgr.setup.log
16.09.2005 12:18 100 cdplayer.ini
10.09.2005 23:42 1.313 xpsp1hfm.log
10.09.2005 23:42 13.327 KB828741.log
10.09.2005 23:42 9.034 KB835732.log
10.09.2005 23:41 3.478 KB833407.log
10.09.2005 23:41 2.072 vminst.log
02.09.2005 12:56 1.435 IE4 Error Log.txt
02.09.2005 12:11 27.594 KB896426.log
02.09.2005 12:04 20.328 KB892944.log
02.09.2005 12:02 13.197 KB896727-IE6SP1-20050719.165959.log
02.09.2005 00:15 1.440 COM+.log
01.09.2005 22:52 156.910 WMSysPr8.prx
25.08.2005 18:48 6.874 KB898461.log
17.08.2005 23:40 266 phedit.ini
14.08.2005 21:02 1.518 ST5UNST.000
09.08.2005 12:26 6.258 KB842773.log
09.08.2005 12:26 8.810 KB893803v2.log
09.08.2005 12:17 10 smdat32m.sys
09.08.2005 12:07 2.972.831 setupapi.log.0.old
09.08.2005 11:24 227.491 DirectX.log
05.08.2005 21:13 8.774 SYMEVENT.LOG
01.08.2005 21:04 37 acct.dta
01.08.2005 18:33 0 smdat32a.sys-->adware/twain-tech

Zitat

%Windir%\smdat32m.sys
TopSearch file %Windir%\smdat32a.sys
TopSearch file %Windir%\Fonts\acrsec.fon
TopSearch file %Windir%\Fonts\acrsecI.fon
TopSearch file %Windir%\Fonts\acrsecB.fon
TopSearch file %System%\TopSearch.dll

hier die systxt:

Datentr„ger in Laufwerk D: ist Datentr„ger
Volumeseriennummer: 88E6-6A9B

Verzeichnis von D:\

06.11.2005 12:55 0 sys.txt
06.11.2005 12:54 8.601 system.txt
06.11.2005 12:53 27.862 systemtemp.txt
06.11.2005 12:52 99.444 system32.txt
06.11.2005 12:44 805.306.368 pagefile.sys
5 Datei(en) 805.442.275 Bytes
0 Verzeichnis(se), 6.879.907.840 Bytes frei

so ich hoffe das ist das was du sehen wolltest

#202 Hoffe mir kann auch jemand weiterhelfen..

Logfile of HijackThis v1.99.1
Scan saved at 12:58:15, on 06.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\UltraMon\UltraMon.exe
C:\Programme\The Bat!\thebat.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\UltraMon\UltraMonTaskbar.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Neuer Ordner (18)\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Verknüpfung mit thebat.lnk = C:\Programme\The Bat!\thebat.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: UltraMon.lnk = C:\Programme\UltraMon\UltraMon.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.moviegroup.tv/activex/DownloadMgr.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

#203 daewoo

wenn du nicht ausfuehrst, was ich anweise...wird es schwierig....

CCleaner
http://www.ccleaner.com/ccdownload.asp
lösche alle temp-Dateien

muss leer sein
Verzeichnis von D:\DOKUME~1\WHOARE~1\LOKALE~1\Temp

also poste nach dem loeschen der temp-Dateien noch mal das Log Nr. 2
__________
MfG Sabina

rund um die PC-Sicherheit

#204 Hallo.

Wahrscheinlich bin ich der X-te, der zu diesem Problem postet aber auch bei mir öffnet sich im IE ständig dieses WinFixer Fenster und danach noch 2 oder 3 weitere. Breche oder Lehne ich alles ab, schließt sich auch der IE. Habe schon verschiedene Postings gelesen und es scheint mir als wenn das Problem sich immer in Details unterscheidet. Meine Frau findet das gar nicht mehr witzig, denn wenn sie in Ihrem Forum ist und sich der IE schließt, kann sie die letzten Beiträge nicht mehr sehen.

Hier auch mal mein Logfile, vielleicht könnt ihr ja auch mir helfen.

Logfile of HijackThis v1.99.1
Scan saved at 13:00:37, on 06.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Saitek\Software\SaiSmart.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SurfAccuracy\SAcc.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\PC-TV\WinManager\WinManager.exe
C:\Programme\Gemeinsame Dateien\Windows\services32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Andy\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [] winlog.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [] winlog.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000137.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinManager.lnk = C:\Programme\PC-TV\WinManager\WinManager.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c10.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

#205 sabina, ok sorry, hab´s nochmal geamcht aber leer ist es nicht geworden:

Datentr„ger in Laufwerk D: ist Datentr„ger
Volumeseriennummer: 88E6-6A9B

Verzeichnis von D:\DOKUME~1\WHOARE~1\LOKALE~1\Temp

06.11.2005 12:44 56.649 jusched.log
06.11.2005 11:38 17 cfin
06.11.2005 11:38 0 cfout.txt
06.11.2005 00:23 0 8yr5.tmp
05.11.2005 14:27 0 08b7F.tmp
05.11.2005 14:18 2 Datei1.java
05.11.2005 14:08 0 error.txt
05.11.2005 14:00 3.044 QTInstallCode.log
05.11.2005 14:00 1.660 qtplugin.log
05.11.2005 14:00 450.048 14a73d.mst
05.11.2005 13:57 396.288 122f28.mst
05.11.2005 01:35 0 85h11.tmp
05.11.2005 00:39 36.188 java_install_reg.log
05.11.2005 00:34 697 TWAIN.LOG
05.11.2005 00:34 156 Twunk001.MTX
05.11.2005 00:34 4 Twain001.Mtx
05.11.2005 00:31 798.234 IMT42.xml
05.11.2005 00:31 426 IMT41.xml
05.11.2005 00:31 2.036 IMT40.xml
19 Datei(en) 1.745.449 Bytes
0 Verzeichnis(se), 10.880.126.976 Bytes frei

#206 daewoo

mache es noch mal, aber schliesse alle Browser dabei und merke dir die Anmeldung fuers Forum, denn es werden auch die Cookies, alles geloescht.

FindIts (Nail.exe/Software-aurora /Sahagent)-->poste das Log vom Scan
http://virus-protect.org/artikel/tools/FindIts.html
__________
MfG Sabina

rund um die PC-Sicherheit

#207 daewoo

KILLBOX
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:

D:\WINDOWS\nem220.dll
D:\WINDOWS\wsem303.dll
D:\WINDOWS\system32\svchst.exe
D:\DOKUME~1\WHOARE~1\LOKALE~1\Temp\sahagent.exe
D:\WINDOWS\System32\SahAgent.exe
C:\Program Files\Pyeu\Wnovzw.exe
D:\WINDOWS\system32\XXXDownloader.ocx
D:\WINDOWS\smdat32a.sys
D:\WINDOWS\smdat32m.sys

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

KILLBOX
DelTree (include SubDirectories)
Man will zum Beispiel einen Ordner löschen . Nun muss man nicht alle Dateien im Ordner einzeln eingeben, sondern klickt die Option DelTree (include subdirectories).
Hierbei wird ein komplettes Archiv mitsamt der Unterordner gelöscht.

C:\Program Files\Pyeu
D:\Program Files\Internet Optimizer

PC neustarten

ewido (poste den scanreport
http://virus-protect.org/ewido.html

counterspy
http://virus-protect.org/counterspy.html

nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)
__________
MfG Sabina

rund um die PC-Sicherheit

#208 tranceheart

ich kann nichts im Log sehen, und ehe ich mit totsuche, scanne mit Counterspy und poste den Scanreport

Zitat

ist dir das bekannt ? kommt das von einer sicheren Seite????
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.moviegroup.tv/activex/DownloadMgr.cab

counterspy
http://virus-protect.org/counterspy.html

nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)
__________
__________
MfG Sabina

rund um die PC-Sicherheit

#209 Oreon Vaal

das sieht nicht gut aus..... ich muss tiefer graben....

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [] winlog.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\RunServices: [] winlog.exe
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c10.cab

PC neustarten

CCleaner
http://www.ccleaner.com/ccdownload.asp
lösche alle temp-Dateien

sandbox
http://sandbox.norman.no/live_4.html lade die Dateien hoch und berichte

C:\WINDOWS\system32\winlog.exe
oder:
C:\WINDOWS\winlog.exe
C:\Programme\Gemeinsame Dateien\Windows\services32.exe

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://virusscan.jotti.org/de/
C:\WINDOWS\system32\winlog.exe
oder:
C:\WINDOWS\winlog.exe
C:\Programme\Gemeinsame Dateien\Windows\services32.exe

die 4 Logsbitte hier posten
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#210 Was meinst du mit

Zitat

kopiere ab, was drin steht :
win.ini
WININIT.BAK
tmpdelis.bat

und wo soll ich
C:\Programme\SurfAccuracy
C:\WINDOWS\NDNuninstall6_98.exe
C:\WINDOWS\TEMP\cxtpls_loader.exe
C:\WINDOWS\TEMP\war*hier nicht!*_p2p_setup.exe
C:\WINDOWS\TEMP\WinFixer2005ScannerSetup.exe
C:\WINDOWS\TEMP\ide21201.vxd
C:\WINDOWS\TEMP\iinstall.exe
löschen?