TR/Qhost.QR TR/Click.526 Wie kann man die entfernen?

Thema ist geschlossen!
Thema ist geschlossen!
#0
20.09.2005, 08:50
Member

Beiträge: 16
#1 Hallo zusammen!

Ich weiß, dass hier bereits nach Problemlösungen für die Trojaner TR/Qhost.QR TR/Click.526 gefragt wurde und auch schon Hilfen gegeben wurden.

Ich brauche aber dringend jemanden, der das sehr einfach erklären kann. Bei den bisherigen Versuchen blieb ich immer auf der Hälfte hängen, weil ich einfach nicht mehr wußte, wovon die Rede ist.

Kann mir also jemand (sozusagen für Doofe) einfach (oder langsam Schritt für Schritt) erklären, wie ich die Trojaner loswerde? Es ist dringend, denn sie fangen an, Schaden anzurichten. Der PC fährt nur noch jedes 5. bis 10. Mal fehlerfrei hoch.

Viele Grüße
Ela

Nun traut Euch doch bitte! Keine Angst, ich bin nicht total verblödet! :-)
Dieser Beitrag wurde am 20.09.2005 um 11:51 Uhr von Ela1969 editiert.
Seitenanfang Seitenende
20.09.2005, 12:01
Member
Avatar Gool

Beiträge: 4730
#2 Hallo Ela,

hast Du denn bereits schon irgendwelche Schritte durchgeführt, die hier empfohlen wurden? Wenn ja, welche?

Poste bitte ein HijackThis (HJT) Log:
http://virus-protect.org/hjtkurz.html
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
20.09.2005, 12:14
Member

Themenstarter

Beiträge: 16
#3 Hallo und danke, dass Du Dich traust. Frag mich nicht, was ich versucht habe, ich weiß es nicht. Es war etwas mit abgesichertem Modus und Logfile und dass ich dort drei Dateien entfernen sollte, wovon aber zwei gar nicht vorhanden waren. Dann sollte ich irgendeinen Online-Scan durchführen, der aber auch nichts anderes gezeigt hat. Mehr weiß ich leider auch nicht mehr, da ich für eine Weile resigniert hatte.

Hier der Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 09:00:27, on 20.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\Outlook Express\msimn.exe
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Meister\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = ,
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ,
R3 - URLSearchHook: (no name) - {B3958058-4258-7E7A-2A15-A26149FDE555} - prgsys0984.dll (file missing)
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ParisM] NopeZ.exe
O4 - HKLM\..\Run: [LOPTCON] Brong32.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKCU\..\Run: [JAguAr] WTFCTF.exe
O4 - HKCU\..\Run: [newbreed] iesetupdll.exe
O4 - HKCU\..\Run: [scanSYS] newbreed.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{211BBCDB-B370-4CEA-87D8-8871D885378F}: NameServer = 195.95.218.18,85.255.112.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B14074F-7987-4ABA-B1CB-F01151E79ACC}: NameServer = 217.237.151.225 217.237.150.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{71A286F6-C927-49CA-AED2-93C8812BC183}: NameServer = 195.95.218.18,85.255.112.11
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
20.09.2005, 17:42
Member
Avatar Gool

Beiträge: 4730
#4 Oh, da ist aber mehr als nur Dein beschriebenes Problem drauf.

HJT -> "do a system scan only" -> Häkchen setzen -> "fix checked"

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = ,
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ,
R3 - URLSearchHook: (no name) - {B3958058-4258-7E7A-2A15-A26149FDE555} - prgsys0984.dll (file missing)
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe

O4 - HKLM\..\Run: [ParisM] NopeZ.exe
O4 - HKLM\..\Run: [LOPTCON] Brong32.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\System32\msmsgs.exe
O4 - HKCU\..\Run: [JAguAr] WTFCTF.exe
O4 - HKCU\..\Run: [newbreed] iesetupdll.exe
O4 - HKCU\..\Run: [scanSYS] newbreed.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{211BBCDB-B370-4CEA-87D8-8871D885378F}: NameServer = 195.95.218.18,85.255.112.11
O17 - HKLM\System\CCS\Services\Tcpip\..\{71A286F6-C927-49CA-AED2-93C8812BC183}: NameServer = 195.95.218.18,85.255.112.11

Killbox: http://virus-protect.org/killbox.html
Aktiviere "Delete on Reboot". Füge in das Eingabefeld ein und klicke jew. rechts auf das Kreuz (die Abfrage, ob jetzt neugestartet werden soll, erst nach der letzten Datei mit JA beantworten):

c:\windows\system32\newbreed.exe
c:\windows\system32\iesetupdll.exe
c:\windows\system32\WTFCTF.exe
c:\windows\system32\msmsgs.exe
c:\windows\system32\NopeZ.exe
c:\windows\system32\Brong32.exe
c:\windows\system32\prgsys0984.dll

PC wird neugestartet.

Danach folge den Anweisungen auf http://virus-protect.org/datfindbat.html und poste uns aus den Log-Dateien die Einträge seit September 2005 (vor jedem Eintrag steht ein Datum).

Dann sehen wir weiter.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
20.09.2005, 18:03
Member

Themenstarter

Beiträge: 16
#5 Hallo!
Das mit HJT habe ich erledigt.

Problem: Killbox: http://virus-protect.org/killbox.html
kann ich nicht öffnen. Dann werde ich jedesmal aus dem Netz geschmissen.

Neuer Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:04:15, on 20.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Meister\LOKALE~1\Temp\Rar$EX00.609\HijackThis.exe
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B14074F-7987-4ABA-B1CB-F01151E79ACC}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
20.09.2005, 18:29
Member
Avatar Gool

Beiträge: 4730
#6 Na ja, wenigstens ist der Müll nicht mehr aktiv.
Lade Killbox von http://www.bleepingcomputer.com/files/killbox.php

Alternativ versuche, die Dateien im abgesicherten Modus manuell zu löschen. Killbox ist hier aber der stärkere Partner, da es die Dateien während des Systemstarts löscht, also wenn sie auf keinen Fall mehr aktiv sind und sich deshalb löschen lassen.

Lade http://virus-protect.org/bat/datFind.bat und führe die Datei aus. Es wird sich pro Schritt ein Notepad-Fenster öffnen. Poste uns die Einträge seit September 2005 (vor jedem Eintrag steht ein Datum).

Wenn Du die Datei nicht runterladen kannst, dann (und nur dann) mache folgendes.
Öffne Notepad (Start -> Ausführen -> notepad) und kopiere folgendes rein:

Zitat

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
pause

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
pause

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
pause

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
Speichere es als datfind.bat. Klicke dazu auf Datei -> "Speichern unter" und gebe dort "Alle Dateitypen" an. Gib "datfind.bat" ein und speichere es auf dem Desktop.
Dann nur noch ausführen und Du hast dasselbe Ergebnis wie als wenn Du sie heruntergeladen hättest ;)

---
Notiz für mich:

Zitat

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Dieser Beitrag wurde am 20.09.2005 um 18:31 Uhr von Managor editiert.
Seitenanfang Seitenende
20.09.2005, 18:55
Member

Themenstarter

Beiträge: 16
#7 Ist es dies?


Volumeseriennummer: 0CC0-6883

Verzeichnis von C:\WINDOWS\system32

20.09.2005 18:54 238 vsconfig.xml
20.09.2005 18:53 21.828 nvapps.xml
20.09.2005 18:53 23.687 FFASTLOG.TXT
15.09.2005 07:18 2.184 wpa.dbl
07.09.2005 12:47 2.550 Uninstall.ico
07.09.2005 12:47 1.406 Help.ico
07.09.2005 12:47 1.718 Open.ico
07.09.2005 12:47 1.406 AddQuit.ico
07.09.2005 12:47 5.350 IE.ico
07.09.2005 12:47 9.470 Desktop.ico
07.09.2005 12:46 1.718 Quick.ico
07.09.2005 11:24 0 asfiles.txt
Seitenanfang Seitenende
20.09.2005, 20:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 einzige moeglichkeit den Warout zu loeschen:

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach den Check klicke --> next
(suche die textdatei vom scan auf dem Desktop und poste sie mir)

poste alle 4 Logs + Pfadangabe (einen monat vom Datum her posten)
http://virus-protect.org/datfindbat.html

rkfiles.zip
http://skads.org/special/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/softwar.../savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

winpfind
http://virus-protect.org/winpfind.html

silentrunners
http://virus-protect.org/silentrunner.html
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.

damit loesche ich dir alles, was boese ist ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.09.2005, 20:20
Member

Themenstarter

Beiträge: 16
#9 Hi Sabina!

Ich komme hier nicht rein http://virus-protect.org/temp.html
immer, wenn ich versuche es zu öffnen, schließt sich die Seite automatisch.
Alternativen?

Gruß
Ela
Seitenanfang Seitenende
20.09.2005, 22:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 http://virus-protect.org/virusprotect/temp.html
CCleaner--> loesche alle *temp-Datein
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.09.2005, 08:14
Member

Themenstarter

Beiträge: 16
#11

Zitat

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

Zitat

mit ccleaner erledigt (hoffe ich)

Zitat

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach den Check klicke --> next
(suche die textdatei vom scan auf dem Desktop und poste sie mir)
Habe ich gemacht, aber da ist keine Textdatei (oder ich weiß mal wieder nicht, was gemeint ist.) Nach dem Scan stand da folgendes:
CSVmx.exe
loadctr32.exe
ntfsnlpa.exe
wbemtest.exe


Zitat

poste alle 4 Logs + Pfadangabe (einen monat vom Datum her posten)
http://virus-protect.org/datfindbat.html
Den "eddy" kann ich doch nicht.

Zitat

rkfiles.zip
http://skads.org/special/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/softwar.../savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt
Kann ich das nochmal langsam zum mitschreiben haben?:-)

Zitat

winpfind
http://virus-protect.org/winpfind.html
s.o.

Zitat

silentrunners
http://virus-protect.org/silentrunner.html s.o.
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.
Bitte langsam, eines nach dem anderen ja? Ich weiß ja überhaupt nicht, was ich tue.....

Danke Sabina!

LG
Ela
Dieser Beitrag wurde am 21.09.2005 um 08:17 Uhr von Ela1969 editiert.
Seitenanfang Seitenende
21.09.2005, 11:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Ela1969

poste alle 4 Logs + Pfadangabe (einen monat vom Datum her posten)
http://virus-protect.org/datfindbat.html

den eddy oder nikita musst du auch nicht kennen, du sollst einfach nur meine Seite anklicken und dort ist die datfind -Datei zum laden und erklaert, wie man sie anwendet. die 4 Logs brauche ich hier, also abkopieren.

den Rest habe ich erklaert oder auf meiner Seite wie die Winfind und das anderen Sachen sind ebenfalls erklaert. Wenn du nicht zurechtkommst frage, oder formatiere den PC ....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.09.2005, 11:28
Member

Themenstarter

Beiträge: 16
#13 Hallo Sabina!

Ich hab doch nicht gesagt, dass ich eddy oder nikita nicht kenne, sondern dass sich die Seite nicht öffnen lässt bzw. dass die Seite sich sofort selbst wieder schließt. Deshalb kann ich da nix machen.

Gruß
Ela
Seitenanfang Seitenende
21.09.2005, 11:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Lade die datFind.bat : http://virus-protect.org/bat/datFind.bat
- Suche auf dem Desktop die datfind.bat

- doppelklick auf die bat-Datei , der Editor öffnet sich
- nun kopiere zusammen mit dem Pfad ca. 30 Tage ab

das DOS-Fenster ist geöffnet, klicke "enter"
nun wird sich wieder der Editor öffnen, kopiere ca. 30 Tage (ist nach Datum geordnet ) ab und kopiere es in deinen Thread.

das machst du 4 Mal
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.09.2005, 11:54
Member

Themenstarter

Beiträge: 16
#15 Irgendwie kommt da was anderes. Es geht erst ein Dos Fenster auf und dann erscheint dies in einem weiteren Fenster:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CC0-6883

Verzeichnis von C:\WINDOWS\system32

21.09.2005 08:33 45.568 ntfsnlpa.exe
21.09.2005 07:45 238 vsconfig.xml
21.09.2005 06:23 21.828 nvapps.xml
21.09.2005 06:23 23.719 FFASTLOG.TXT
15.09.2005 07:18 2.184 wpa.dbl
07.09.2005 12:47 2.550 Uninstall.ico
07.09.2005 12:47 1.406 Help.ico
07.09.2005 12:47 1.718 Open.ico
07.09.2005 12:47 1.406 AddQuit.ico
07.09.2005 12:47 5.350 IE.ico
07.09.2005 12:47 9.470 Desktop.ico
07.09.2005 12:46 1.718 Quick.ico
07.09.2005 11:24 0 asfiles.txt
28.08.2005 15:14 705 msexnpfi.exe
28.08.2005 11:26 643.471 loadctr32.exe
27.08.2005 13:26 54.792 csvmx.exe
09.08.2005 22:41 13.581 hnocc.txt
29.07.2005 21:07 73.728 asuninst.exe
05.07.2005 10:57 335.872 mgxoschk.dll
03.07.2005 17:49 21.840 SIntfNT.dll
03.07.2005 17:49 17.212 SIntf32.dll
03.07.2005 17:49 12.067 SIntf16.dll
23.06.2005 18:39 50.186 QuickTime.qtp
02.06.2005 18:32 317.836 prfh0407.dat
02.06.2005 18:32 48.488 prfc0407.dat

Wenn ich im Dos Fenster auf enter klicke kommt dies:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CC0-6883

Verzeichnis von C:\WINDOWS\Temp

21.09.2005 10:50 16.384 Perflib_Perfdata_2b4.dat
21.09.2005 06:24 256 ZLT0534d.TMP
2 Datei(en) 16.640 Bytes
0 Verzeichnis(se), 12.115.312.640 Bytes frei

Hilft das weiter?
Seitenanfang Seitenende