Home » Viren, Trojaner & Malware Forum » Hilfe: Bekomme Trojaner ConHook.L nicht los » Themenansicht
Hilfe: Bekomme Trojaner ConHook.L nicht los |
||
|---|---|---|
| #0
| ||
|
15.11.2005, 20:02
...neu hier
Beiträge: 7 |
||
 
|
|
|
|
16.11.2005, 12:52
Moderator
Beiträge: 7805 |
#2
Das ist dein groesseres Problem:
C:\WINDOWS\System32\sys64mnger.exe http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=39437 Dies ist wahrscheinlich nur passiert, da dein Windows nicht auf dem aktuellen Stand ist. Du solltest dir nach dem studieren der Anleitung ernsthaft ueberlegen, ob du den PC nicht lieber gleich neu aufsetzen willst...... __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
17.11.2005, 19:12
...neu hier
Themenstarter Beiträge: 7 |
#3
Hallo,
danke, ich denke, ich werde das System neu aufsetzen müssen.... Bis ich hierfür ein paar Tage frei machen kann, würde ich trotzdem gerne den ConHook loswerden. Was ist diese sys64mnger.exe für ein Virus?? Ich habe in der Registry alle Werte, in denen das drin steht löschen können, auch im Setup und Running Processes....ich glaube (hoffe) , der ist weg... Allerdings bekomme ich den ConHook nicht weg: O20 - Winlogon Notify: xxwvu - C:\WINDOWS\SYSTEM32\xxwvu.dll Hier ein aktuelles Log, sieht das jetzt besser aus?? Ich habe im Moment einfach keine Zeit, um mich an das Neu Aufsetzen zu machen...... Logfile of HijackThis v1.99.1 Scan saved at 19:08:01, on 17.11.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRAMME\TOOLS\ANTIVIR\AVGUARD.EXE C:\Programme\Tools\AntiVir\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Tools\AntiVir\AVSCHED32.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Internet\ZoneAlarm\zlclient.exe C:\Programme\Tools\AntiVir\AVGNT.EXE C:\Programme\Tools\Tweak-XP Pro\tranicon.exe C:\Hardware\HP Photosmart\Digital Imaging\bin\hpqtra08.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Internet Explorer\IEXPLORE.EXE F:\Programme\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://europa.eu.int/eurodicautom/Controller R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\xxwvu.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Office\Acrobat Reader 7\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SpyBot\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\Tools\AntiVir\AVSCHED32.EXE /min O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [Zone Labs Client] C:\Internet\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\Tools\AntiVir\AVGNT.EXE" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [TransparentIcons] "C:\Programme\Tools\Tweak-XP Pro\tranicon.exe" -ex O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Hardware\HP Photosmart\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Mountit.lnk = C:\Hardware\Brennen\WinOnCD\MountIt.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O15 - Trusted Zone: http://download.windowsupdate.com O17 - HKLM\System\CCS\Services\Tcpip\..\{D3BCDBEB-12B6-4F0E-84DF-0AC4EE7936B4}: NameServer = 217.237.148.17 217.237.148.49 O20 - Winlogon Notify: xxwvu - C:\WINDOWS\SYSTEM32\xxwvu.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\TOOLS\ANTIVIR\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Tools\AntiVir\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Danke Sonja |
|
|
|
|
|
|
17.11.2005, 20:20
Moderator
Beiträge: 7805 |
#4
Schalte bitte die Widowseigene Firewall ein, sonst kommen diese Bots immer wieder:
http://support.microsoft.com/?scid=kb;de;283673&spid=1173&sid=71 Starte dann den Rechner im abgesicherten Modus, benenne dies Datei C:\WINDOWS\SYSTEM32\xxwvu.dll nach C:\WINDOWS\SYSTEM32\xxwvu.dl um und starte wieder normal. JEtzt kannst du den O20 Eintrag fixen und die umbenannte Datei loeschen. Nutze dann noch www.CCleaner.com und mache einen Kontrollsan mit Kasperskys onlinescanner: http://www.kaspersky.com/virusscanner Wenn noh etwas gemeldet werden solte, schreibe was. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
18.11.2005, 17:58
...neu hier
Themenstarter Beiträge: 7 |
#5
Hallo Raman,
vielen Dank für den Tipp, ich bin jetzt mit dem Rechner im abgesicherten Modus, Firewall hatte ich eben auch wieder aktiviert, aber ich bekomme die Meldung "xxwvu kann nicht umbenannt werden: Die Datei wird von einer anderen Person, bzw. Programm verwendet. Schließen Sie alle Programme, die die Datei evtl. verwenden könnten und wiederholen Sie den Vorgang.." Hmmm.... was könnte ich noch schließen, laufen eh nur folgende Prozesse: csrss.exe explorer.exe Leerlaufprozess lsass.exe services.exe svchost.exe svchost.exe System taskmgr.exe winlogon.exe Ist es was davon, was dsas Umbenennen verhindert?? Nochmal Danke!! Sonja |
|
|
|
|
|
|
18.11.2005, 18:05
Moderator
Beiträge: 7805 |
#6
Ja, die Winlogon.exe verhindert das. Nutze bitte Killbox, wenn du die DAtei nicht umbenennen kannst. Lade es hier herunter, entpacke es nach c:\killbox und starte es
http://www.bleepingcomputer.com/files/killbox.php Kopiere diese Zeile ins weisse Feld C:\WINDOWS\SYSTEM32\xxwvu.dll , hake "delete on reboot" an und druecke das weise X im roten Kreis. Dann starte neu und fix den "O20" Eintrag erneut. Denke an den ONlinescan und melde, was es finet. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
18.11.2005, 19:30
...neu hier
Themenstarter Beiträge: 7 |
#7
Funktioniert nicht :-( ....habe es im normalen und im abgesicherten Modus versucht..
Die Datei steht zwar jetzt in dem Killbox Ordner (ich nehme an das soll sie auch?), aber der Hijack fixed es nicht...ist immer noch im System32-Ordner, ganz schön hartnäckig.... Bei Evido (mit dem hab ich gestern gescannt), heißt er übrigens ConHook.I und bei AntiVir Dldr.ConHook.L, aber die Erkenntnis bringt jetzt auch nichts... Noch ne Frage: Wenn der AntiVir von sich aus immer anhakt "Zugriff verweigern und DAtei belassen" - kann es vielleicht daran liegen, dass sie nicht zu löschen ist? Soll ich den Virenscanner mal deaktivieren und es nochmal probieren... |
|
|
|
|
|
|
18.11.2005, 19:45
Moderator
Beiträge: 7805 |
#8
Hm, starte bitte nochmal im abgesicherten Modus fixe den "O2" und den "O20" Eintrag mit C:\WINDOWS\SYSTEM32\xxwvu.dll, wenn das wirklich nicht hilft, fummeln wir direkt in der Registrierung rum!
 Hake bei Killbopx bitte auch noch replace on reboot an. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
18.11.2005, 20:11
...neu hier
Themenstarter Beiträge: 7 |
#9
Upssss....wollte gerade noch mal im abgesicherten Modus hochfahren. Jetzt kommt das:
Windows konnte nicht gestartet werden, da folgende Datei fehl oder beschädigt ist: <Windows root>system32\ntoskrnl.exe Installieren Sie ein Exemplar der oben angegebenen Datei erneut. Was soll das jetzt ????????? Mist....versuche es mal noch ein paar Mal So, fährt wieder hoch, Windows war wohl leicht verwirrt. Wenn ich jetzt in Killbox "Replace file on reboot" eingebe und einen anderen Namen in das 2. weiße Feld, z.B. xxwvu.dl , bekomme ich die Meldung: "Pending FileRename Operations Registry Data has been Removed by External Process!" Was bedeutet das? Was mache ich jetzt? Dieser Beitrag wurde am 18.11.2005 um 20:23 Uhr von sonja_w editiert.
|
|
|
|
|
|
|
18.11.2005, 20:19
Moderator
Beiträge: 7805 |
||
|
|
|
|
|
18.11.2005, 20:23
...neu hier
Themenstarter Beiträge: 7 |
#11
s.o.,hab Beitrag editiert :-)
Was muss in das 2. weiße Feld, eine existierende Datei??? Was soll ich da reinschreiben? |
|
|
|
|
|
|
18.11.2005, 20:37
Ehrenmitglied
 Beiträge: 6028 |
#12
Mach es so:
http://img508.imageshack.us/my.php?image=xxwvu1sk.jpg Kopiere C:\WINDOWS\system32\xxwvu.dll rein Klicke den roten Knopf>neustart und ein neues Log von HJ __________ MfG Argus Dieser Beitrag wurde am 18.11.2005 um 20:41 Uhr von Arnold editiert.
|
|
|
|
|
|
|
18.11.2005, 20:55
...neu hier
Themenstarter Beiträge: 7 |
#13
keine Chance, alles beim alten :-(
Logfile of HijackThis v1.99.1 Scan saved at 20:52:28, on 18.11.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRAMME\TOOLS\ANTIVIR\AVGUARD.EXE C:\Programme\Tools\AntiVir\AVWUPSRV.EXE F:\Programme\Ewido\security suite\ewidoctrl.exe F:\Programme\Ewido\security suite\ewidoguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Tools\AntiVir\AVSCHED32.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Internet\ZoneAlarm\zlclient.exe C:\Programme\Tools\AntiVir\AVGNT.EXE C:\Programme\Tools\Tweak-XP Pro\tranicon.exe C:\Hardware\HP Photosmart\Digital Imaging\bin\hpqtra08.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe F:\Programme\Hijackthis\HijackThis.exe C:\WINDOWS\System32\HPZinw12.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://europa.eu.int/eurodicautom/Controller R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\xxwvu.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Office\Acrobat Reader 7\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SpyBot\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\Tools\AntiVir\AVSCHED32.EXE /min O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [Zone Labs Client] C:\Internet\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\Tools\AntiVir\AVGNT.EXE" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [TransparentIcons] "C:\Programme\Tools\Tweak-XP Pro\tranicon.exe" -ex O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Hardware\HP Photosmart\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Mountit.lnk = C:\Hardware\Brennen\WinOnCD\MountIt.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O15 - Trusted Zone: http://download.windowsupdate.com O20 - Winlogon Notify: xxwvu - C:\WINDOWS\SYSTEM32\xxwvu.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\TOOLS\ANTIVIR\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Tools\AntiVir\AVWUPSRV.EXE O23 - Service: ewido security suite control - ewido networks - F:\Programme\Ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - F:\Programme\Ewido\security suite\ewidoguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich bin neu hier und hoffe, mir kann jemand helfen. Ich kämpfe seit Tagen mit der Virus-Meldung von AntiVir, die wie folgt lautet:
Die Datei C:\\WINDOWS\SYSTEM32\XXWVU.DLL ist das Trojanische Pferd TR/Dldr.ConHook.L
Ich kann nur die Option "Zugriff verweigern und Datei belassen" wählen. Jedes Mal, wenn ich den IE Browser öffne, bekomme ich erneut die AntiVir-Meldung. Ich kann diese dll weder umbenennen, noch löschen, auch nicht im abgesicherten Modus, da sagt er mir immer, die Datei wird gerade verwendet.... Habe die Systemwiederherstellung schon ausgestellt vor dem Scan...nix, die Datei ist einfach nicht wegzukriegen.
Angefangen hat alles damit, dass mein Rechner einfach runter gefahren ist mit irgendeiner Meldung von "NT-Autoriät/ System/sys64mnger.exe"...weiß nicht mehr genau wie die lautete....Zone Alarm sagt mir bei jedem Start nun, dass sys64mnger.exe auf das Internet zugreifen will.....
Ich weiß nicht, ob das mit dem Trojaner zusammenhängt.
Zur Sicherheit hier ein LogFile, habe schon auswerten lassen bei hijack und 4 Einträge gefixt (die sys64mnger.exe und die Extra button und ExtraTool mit "related links"), aber die xxwvu.dll - MEldung kommt immer noch.
Was kann ich noch tun?????
Vielen vielen Dank!!!
Mein Log aus dem abgesicherten Modus (ich weiß, mein XP braucht ein Update, aber obwohl ich die Update Seiten in die "trusted sites" eingegeben habe, bekomme ich immer eine Fehlermeldung und kann nicht auf XP-SP2 updaten. - Vielleicht weiß auch jemand, warum ich keine Updates machen kann???)
Logfile of HijackThis v1.99.1
Scan saved at 19:31:34, on 15.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\TOOLS\ANTIVIR\AVGUARD.EXE
C:\Programme\Tools\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Tools\AntiVir\AVSCHED32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Internet\ZoneAlarm\zlclient.exe
C:\Programme\Tools\AntiVir\AVGNT.EXE
C:\WINDOWS\System32\fwdmon.exe
C:\Programme\Tools\Tweak-XP Pro\tranicon.exe
C:\WINDOWS\System32\sys64mnger.exe
C:\Hardware\HP Photosmart\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Office\Ms Office 2000\Office\WINWORD.EXE
F:\Programme\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://europa.eu.int/eurodicautom/Controller
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\xxwvu.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Office\Acrobat Reader 7\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SpyBot\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\Tools\AntiVir\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [Zone Labs Client] C:\Internet\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\Tools\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [FWDMON.EXE] C:\WINDOWS\System32\fwdmon.exe
O4 - HKLM\..\Run: [sysmngr32] sys64mnger.exe
O4 - HKLM\..\RunServices: [sysmngr32] sys64mnger.exe
O4 - HKCU\..\Run: [TransparentIcons] "C:\Programme\Tools\Tweak-XP Pro\tranicon.exe" -ex
O4 - HKCU\..\Run: [sysmngr32] sys64mnger.exe
O4 - HKCU\..\RunServices: [sysmngr32] sys64mnger.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Hardware\HP Photosmart\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Mountit.lnk = C:\Hardware\Brennen\WinOnCD\MountIt.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://download.windowsupdate.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3BCDBEB-12B6-4F0E-84DF-0AC4EE7936B4}: NameServer = 217.237.148.17 217.237.148.49
O20 - Winlogon Notify: xxwvu - C:\WINDOWS\SYSTEM32\xxwvu.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\TOOLS\ANTIVIR\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Tools\AntiVir\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Kleine Ergänzung:
Ich habe ein bißchen weitergeforscht und die Registry-Einträge mit denen meinen Notebooks verglichen und hierbei festgestellt, dass ich unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CirrentVersion\Winlogon\Notify einen Ordner xxwvu habe .
Ich kann zwar den Ordner in der Registry löschen oder auch die Schlüssel einzeln, aber wenn ich die Registry dann wieder öffne, ist alles wieder da...
WIE BEKOMME ICH DIESES SCH...ORDNER AUS DER REGISTRY WIEDER RAUS??
Wenn der Bildschirmschoner an war und ich weiterarbeiten will, kann ich kein Benutzerkonto mehr öffnen. Immer werde ich nach meinem Passwort gefragt, dabei hab ich gar keins vergeben. Ich komme dann nicht mehr rein und muss den Rechner ausschalten...
Was kann ich noch machen???
Danke!!!
Sonja