Kann mit HijackThis 3 Dateien nicht fixen.

#1 Hallo,

erstmal danke an alle die dieses tolle Forum betreuen.

Nachdem ich gestern ein Programm downgeloadet habe, hat sich mein Virenscanner förmlich überschlagen.
Es war eine gepackte Datei, die mir beim ersten Scan mit AntiVir als "sauber" gemeldet wurde. Die Schaddateien konnte ich entfernen, das Prog SpybotSD-Resident verhinderte(so hoffe ich) das Einträge in der Registry verändert wurden. Nachdem ich im abgesicherten Modus alle temporären Dateien entfernt habe, und mit Spybot gemeldete Probleme behoben habe dachte ich wieder einigermaßen clean zu sein.
Nach dem Scan mit Hijackthis habe ich automatisch ausgewertet und die mit "!" gekennzeichneten Dateien gefixed. Nach dem Neustart sind aber 3 Dateien noch vorhanden.
Ich habe diese 3 Dateien im angehängten Logfile rot markiert(O23 nach AntiVir). Wie bekomme ich diese files aus meinem System bzw. kann mir jemand sagen ob ich noch was übersehen habe.

Vielen Dank schon mal im voraus für eure Mühe.

Gruß, Andi.

Logfile of HijackThis v1.99.1
Scan saved at 17:24:26, on 01.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Andi`s
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1092171033671
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{08C18E0A-D9B2-4079-BBF9-B9B3B0330F3C}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{222D1C93-7FE9-4547-BDD8-10460FA83958}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{5402B4CB-8A4D-4708-89E1-A97771C87AC6}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C78A3657-AA4C-41AB-91C0-7C7B11430822}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{08C18E0A-D9B2-4079-BBF9-B9B3B0330F3C}: NameServer = 192.168.1.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
ddO23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe (file missing)
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe (file missing)
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

#2 Sind reste von deinen früheren Virenscanner http://www.ca.com/de/
C:\Programme\CA löschen
__________
MfG Argus

#3 Hallo Arnold,

danke für deinen Hinweis. Leider komme ich damit nicht weiter.

Trotz intemsiever Suche(versteckte und schreibgeschützte) kann ich die Dateien nicht finden. Weder im abgesicherten Modus als auch im Normalen fand sich bei keinem Benutzer eine Spur der Dateien. Ich hab sogar versucht durch auslagern meines Systemimage auf DVD`s die files zu bannen. Auch das erfolglos.
Momentan bin ich daher recht ratlos.

Hat vielleicht jemand eine Idee, bin für jede Hilfe dankbar.

Grüße, Andi.

#4 Lade Dir das Programm Delsrv.exe herunter: http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/delsrv-o.asp

Nach der Installation findest Du die delsrv.exe im Verzeichnis C:\Programme\Resource Kit

Start -> Ausführen -> cmd

gib ein:

cd "\Programme\Resource Kit"

(die Anführungszeichen müssen gesetzt sein!)

gib ein:

delsrv CA_LIC_CLNT
delsrv CA_LIC_SRVR
delsrv LogWatch

Dann sollten die Dienste gelöscht sein.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#5 Problem bereinigt.
Ich sags ja, super Forum, super Hilfe!

Danke an Managor und Arnold