Home » Viren, Trojaner & Malware Forum » Problem mit AntiVir und MediketA und shadow provider bei XP home » Themenansicht
Problem mit AntiVir und MediketA und shadow provider bei XP home |
||
|---|---|---|
| #0
| ||
|
28.11.2005, 11:40
...neu hier
Beiträge: 6 |
||
 
|
|
|
|
28.11.2005, 12:05
Member
 Beiträge: 4730 |
#2
Der Shadow Copy Provider ist für die Systemsicherung zuständig, der ist also gutartig
 Mit fehlt eine Übersicht zu Deinem System. Bitte fertige ein HijackThis-Log an, damit ich einen Ansatzpunkt habe: http://managor.de/hjt.htm __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
|
28.11.2005, 12:10
...neu hier
Themenstarter Beiträge: 6 |
#3
Hey Managor,
vielen Dank, und ich dachte, Shadow Copier hört sich so finster an :-D Also, hab den Hijacker gemacht: Logfile of HijackThis v1.99.1 Scan saved at 12:07:34, on 28.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Winamp\Winampa.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\WINDOWS\system32\P2P Networking\P2P Networking.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\AOL 9.0a\aoltray.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\AOL 9.0a\waol.exe C:\Programme\AOL 9.0a\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Mozilla Firefox\plugins\GetFlash.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\helpctr.exe C:\DOKUME~1\BESITZ~1.KIT\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fwalerts.zonelabs.com/fwalerts/fwanalyze.jsp?V103=AVA1Hn6stjJfkRcAAFAAAAABAAAAAQA AAAEAAAABAAAAooYBADAxMDIHBAMAAQANAQAdKgAAAAAAAAACQAAA//8Q+ZLN32096358746003-4901, ,,,Windows+XP-5.1.2600-Service+Pack+1-SP,5.1.033.000,ExtBlockAll2,j5hvqhisiu 3s4he7bhx644bu4g0,1,,&CL=de&LICFLAG=1&OEM=1079&SKU=0&Mode=1&Product=ZoneAlarm (obfuscated) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O17 - HKLM\System\CCS\Services\Tcpip\..\{9087EA4F-B8D6-4853-B93D-D1C6CDA79B86}: NameServer = 205.188.146.145 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Und nun???? |
|
|
|
|
|
|
28.11.2005, 12:20
Member
Beiträge: 4730 |
#4
Häkchen setzen und "fix checked" anklicken:
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - Mit Killbox (http://managor.de/killbox.htm) folgende Dateien löschen: C:\WINDOWS\system32\P2P Networking\P2P Networking.exe C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL Der PC startet neu. Lösche die Verzeichnisse c:\windows\p2p networking\ c:\programme\need2find\ Säubere Dein System mit Spybot S&D (http://spybot.de) Deaktiviere das Microsoft HelpCenter (weiß jetzt gerade nicht, wie das geht, kann auch nicht nachschauen, da ich gerade in Linux bin ). ich schätze, dass das über Systemsteuerung -> Verwaltung -> Dienste geht __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
|
|
|
|
28.11.2005, 12:41
...neu hier
Themenstarter Beiträge: 6 |
#5
okay, alles gemacht bis aus das hier:
Der PC startet neu. Lösche die Verzeichnisse c:\windows\p2p networking\ c:\programme\need2find\ Wie soll ich die löschen? Im Explorer mit Shift-Entf.? Den Windowsordner gibts gar nicht und den programme\need2find macht folgende Meldung: N2Plugin kannn icht gelöscht werden...bla bla.... Oder muß ich das auch mit der Killbox machen? |
|
|
|
|
|
|
28.11.2005, 12:43
Ehrenmitglied
 Beiträge: 29434 |
#6
Langenberger
du musst das mit hijackThis fixen und den PC neustarten, wie erklaert wurde... O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - PC neustarten wende Cleanup an http://virus-protect.org/cleanup.html counterspy loescht dir diesen Schrott fein saeuberlich http://virus-protect.org/counterspy.html nach dem Scan muss man sich entscheiden für: *Ignore *Remove *Quarantaine wähle immer Remove und starte den PC neu __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
28.11.2005, 12:45
...neu hier
Themenstarter Beiträge: 6 |
#7
ja wie, soll ich das eine oder das andere machen? oder beides? bin verwirrt... :-D
|
|
|
|
|
|
|
28.11.2005, 12:46
Ehrenmitglied
Beiträge: 29434 |
#8
Zitat Wie soll ich die löschen? Im Explorer mit Shift-Entf.? Den Windowsordner gibts gar nicht und den programme\need2find macht folgende Meldung: N2Plugin kannn icht gelöscht werden...bla bla....ich habe dir den Counterspy gepostet, weil du mit der Killbox nicht zurechtkommst. arbeite also mit dem Tool...das ist einfacher __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
28.11.2005, 12:50
...neu hier
Themenstarter Beiträge: 6 |
#9
okay, hab die Killbos doch geschnallt, fahr emal eben nochma runter und bin sofort zurück. Hab jetzt alles gelöscht, wie beschrieben. Und jetzt nochmal mit Counterspy oder bin ich dann fertig?
also AntiVir heult immernoch wegen des Mediket rum, da steht Datei: C\ied_s7m.cab....start7.inf Dieser Beitrag wurde am 28.11.2005 um 13:00 Uhr von Langenberger editiert.
|
|
|
|
|
|
|
28.11.2005, 13:40
Ehrenmitglied
Beiträge: 29434 |
#10
Countersy muesste das loeschen
C:\ied_s7m.cab wenn nicht, loesche es manuell __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
28.11.2005, 19:49
...neu hier
Themenstarter Beiträge: 6 |
#11
Guten Abend zusammen!!!
Also, ich hab die C:\ied_s7m.cab Datei jetzt gerade mal mit der Killbox getötet, dann neugestartet und den Antivir laufen lassen, und siehe da, die Datei C:\ied_s7m.cab ist wieder da, und zwar in einem Ordner: C:\!Submit Ja was soll der Schei... denn jetzt?!?! Aber schlau wie ich dank Euch mal werden will, hab ich einfach den Ordner !Submit mit der Killbox gekillt, aber das ging nur mit dieser Delete on Reeboot einstellung. Okay, gesagt, getan. Der Rechner ist neu gestartet, aber der Ordner C:\!Submit war immernoch da.... Tja, und das ist jetzt der Stand. Antivir heult rum, MediketA ist immernoch da und ich lade gerade parallel dieses Counterspy runter....Was soll ich tun jetzt? |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
bin (leider) noch ein Newbie daher bitte ich im vorhinein um Nachsicht ;-)
Also, habe XP home und zur Absicherung Zone Alarm und AntiVir.
Aber beim test sagst Antivir immer was von TR/Dldr.MediketA kann nicht gelöscht werden usw.
Hab mich dann mal etwas reingelesen hier bei Euch und hab diesen Service Filter bei mir durchlaufen lassen.
Hier das Ergebnis:
########################################
ServiceFilter 1.1
by rand1038
Microsoft Windows XP Home Edition
Version: 5.1.2600 Service Pack 2
Nov 28, 2005 11:21:01
---> Begin Service Listing <---
Unknown Service # 1
Service Name: AntiVirService
Display Name: AntiVir Service
Start Mode: Manual
Start Name: LocalSystem
Description: Permanenter Virenschutz mit der H+BEDV AntiVir ...
Service Type: Own Process
Path: "c:\programme\avpersonal\avguard.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch
Unknown Service #2
Service Name: AOL ACS
Display Name: AOL Connectivity Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\aol\acs\aolacsd.exe"
State: Running
Process ID: 1228
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr
Unknown Service # 3
Service Name: AVWUpSrv
Display Name: AntiVir Update
Start Mode: Auto
Start Name: LocalSystem
Description: Hilfsdienst fuer AntiVir Personal ...
Service Type: Own Process
Path: "c:\programme\avpersonal\avwupsrv.exe"
State: Running
Process ID: 1248
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr
Unknown Service #4
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{9027fd6f-0760-4232-b2f8-05c01032f1b4}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch
---> End Service Listing <---
There are 80 Win32 services on this machine.
4 were unrecognized.
Script Execution Time: 1,8125 seconds.
Und, was sagen die Experten, was ist denn das für ein Shadow Provider krams da??? Ist das dieses Mediket?
Bedanke mich im Voraus für Eure Hilfe!!!
Daniel