topantispyware lässt sich nicht entfernen

Thema ist geschlossen!
Thema ist geschlossen!
#0
24.01.2006, 11:52
Member

Beiträge: 18
#1 Hallo,
ich habe seit ein paar Tagen "topantispyware" auf meinem Notebook (Windows 2000 SP 4) und werde es nicht los.
Ich habe McAfee VirusScan (Version 10.0.27, Engine 4400, DAT Version 4679 created 20.01.2006) drüber laufen lassen, hat zwar einige Trojaner und PUPs gefunden, aber nicht topantispyware.
Dann habe ich Spybot S&D runtergeladen und gescannt. Spybot hat einige Dialer gefunden.
Resultat war aber, dass seither eine Internetverbindung und McAfee Update nicht mehr möglich sind.
Ich habe auch eine Systemwiederherstellung versucht, hat aber nichts gebracht.
Die Thread zum Thema topantispyware habe ich gelesen, haben mich aber nicht weitergebracht.

Der Logfile von Hijack sieht so aus:
Logfile of HijackThis v1.99.1
Scan saved at 10:57:05, on 24.01.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\ati2evxx.exe
C:\WINNT\System32\cisvc.exe
C:\Programme\mcafee.com\VSO\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\faxsvc.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\mqsvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\Atiptaxx.exe
C:\Programme\Apoint\Apoint.exe
C:\WINNT\system32\ICONSPY.EXE
C:\WINNT\system32\PRPCUI.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\McAfee.com\VSO\mcvsshld.exe
C:\Programme\Apoint\Apntex.exe
C:\WINNT\system32\dla\tfswctrl.exe
c:\programme\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\HP CD-DVD\Umbrella\hpcdtray.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\McAfee.com\VSO\oasclnt.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Programme\CleanMyPC\Registry Cleaner\RCScheduler.exe
C:\Programme\Pinnacle\Shared Files\Programs\PCLEScheduler.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\BatteryScope\Batmgr.exe
C:\Programme\Sony\VAIO Action Setup\VAServ.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\System32\cidaemon.exe
C:\WINNT\System32\cidaemon.exe
D:\Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://216.65.101.250/sbms/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://216.65.101.250/sbms/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.intern.helixaustria.com:3128;https=proxy.intern.helixaustria.com:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.intern.helixaustreia.com;192.168.0;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: 66.28.33.54 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: iFinger plugin / Browser helper object - {A114D52B-870C-4F15-8021-B6D7F91A054B} - C:\Programme\iFinger\plugins\IE.ifp
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICONSPY.EXE
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [dla] C:\WINNT\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [DVDBitSet] "C:\Programme\HP CD-DVD\Umbrella\DVDBitSet.exe" /NOUI
O4 - HKLM\..\Run: [HPCDTray] "C:\Programme\HP CD-DVD\Umbrella\hpcdtray.exe"
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [WM_LOGIN] C:\Programme\McAfee\McAfee Firewall\\MSGLOGIN.EXE
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKCU\..\Run: [NCLaunch] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\@
O4 - HKCU\..\Run: [Registry Cleaner Scheduler] "C:\Programme\CleanMyPC\Registry Cleaner\RCScheduler.exe" /startup
O4 - Global Startup: D-Link AirPlus.lnk = C:\Programme\D-Link AirPlus\AirPlus.exe
O4 - Global Startup: Pinnacle PCTV Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\PCLEScheduler.exe
O4 - Global Startup: BatteryScope.lnk = C:\Programme\BatteryScope\Batmgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: VAIO Action Setup (Server).lnk = C:\Programme\Sony\VAIO Action Setup\VAServ.exe
O4 - Global Startup: PowerPanel.lnk = C:\Programme\PowerPanel\Program\PcfMgr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Web Savings - file://C:\Programme\WebSavings_from_Ebates\Sy400\Tp400\scri400a.htm
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINNT\System32\SHDOCVW.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\WINNT\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\WINNT\System32\shdocvw.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O16 - DPF: {00000012-890E-4AAC-AFD9-000000000000} - http://65.89.40.111/stiffy/TeenSex.exe
O16 - DPF: {11111111-1111-1111-1111-111111111111} - http://63.66.136.123/g3/ed/erotic.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,99/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
O18 - Protocol: x-excid - {9D6CC632-1337-4A33-9214-2DA092E776F4} - C:\WINNT\Downloaded Program Files\mimectl.dll
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - (no file)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - C:\Programme\mcafee.com\VSO\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

Würde mich über Hilfe sehr freuen und muss gleich dazu sagen, dass ich nicht besonders erfahren bin mit solchen Problemen.
lg
alex
Seitenanfang Seitenende
24.01.2006, 14:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 aprenninger

kennst du diesen Proxy ??

Zitat

ProxyServer = http=proxy.intern.helixaustria.com:3128
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://216.65.101.250/sbms/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://216.65.101.250/sbms/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: 66.28.33.54 auto.search.msn.com

O4 - HKCU\..\Run: [NCLaunch] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\@
O16 - DPF: {00000012-890E-4AAC-AFD9-000000000000} - http://65.89.40.111/stiffy/TeenSex.exe
O16 - DPF: {11111111-1111-1111-1111-111111111111} - http://63.66.136.123/g3/ed/erotic.exe
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab
O18 - Protocol: x-excid - {9D6CC632-1337-4A33-9214-2DA092E776F4} - C:\WINNT\Downloaded Program Files\mimectl.dll

PC neustarten

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.01.2006, 15:12
Member

Themenstarter

Beiträge: 18
#3 Hallo,
danke mal für die rasche Hilfe.
Den Proxy benutze ich im Büro für das LAN-Netzwerk.
Hab alles so gemacht wie angegeben.
Die 4 Dateien folgen:

Datentr„ger in Laufwerk C: ist VAIONOTE
Datentr„gernummer: 1347-1303

Verzeichnis von C:\WINNT\system32

24.01.2006 14:59 156.864 Status.MPF
24.01.2006 14:48 16.384 Perflib_Perfdata_358.dat
23.01.2006 17:43 16.384 Perflib_Perfdata_36c.dat
23.01.2006 16:03 16.384 Perflib_Perfdata_3a4.dat
23.01.2006 10:34 0 paytime.exe
23.01.2006 10:32 12.288 txfdb32.dll
23.01.2006 10:32 12.288 srpcsrv32.dll

13.01.2006 10:40 16.384 Perflib_Perfdata_328.dat
11.01.2006 10:46 94 msiexec.log
11.01.2006 10:43 349 AddPort.ini
05.01.2006 04:41 2.836.320 MRT.exe
30.12.2005 17:15 233.744 GDI32.DLL
07.12.2005 13:41 235.960 FNTCACHE.DAT
07.12.2005 12:43 101 hptrace.ini
24.11.2005 16:54 163.600 t2embed.dll
24.11.2005 16:54 79.632 fontsub.dll
22.11.2005 17:39 2.700.288 MSHTML.DLL
11.11.2005 16:38 9.216 MpfApi.dll
21.10.2005 16:49 461.312 URLMON.DLL
21.10.2005 16:49 496.640 MSTIME.DLL
21.10.2005 16:49 582.144 WININET.DLL
21.10.2005 15:36 1.339.392 SHDOCVW.DLL
21.10.2005 12:49 192.512 DXTRANS.DLL
20.10.2005 19:08 988.160 DANIM.DLL
18.10.2005 11:08 349.760 mcinsctl.dll
17.10.2005 20:58 65.536 QuickTimeVR.qtx
17.10.2005 20:57 49.152 QuickTime.qts
17.10.2005 10:01 1.715.840 NTKRNLPA.EXE
17.10.2005 10:01 1.693.248 NTOSKRNL.EXE
13.10.2005 11:09 15.072 spmsg.dll
07.10.2005 07:17 1.638.832 WIN32K.SYS


Datentr„ger in Laufwerk C: ist VAIONOTE
Datentr„gernummer: 1347-1303

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

24.01.2006 14:58 201 newtb1handler.log

05.11.2002 15:16 647 Skin.ini
2 Datei(en) 848 Bytes
0 Verzeichnis(se), 1.375.764.480 Bytes frei


Datentr„ger in Laufwerk C: ist VAIONOTE
Datentr„gernummer: 1347-1303

Verzeichnis von C:\WINNT

24.01.2006 14:58 253.664 hpoins07.log
24.01.2006 14:57 742.932 ShellIconCache
24.01.2006 14:48 32.594 SchedLgU.Txt
24.01.2006 14:47 742 ModemLog_Bluetooth Modem.txt
24.01.2006 14:47 746 ModemLog_Bluetooth Fax Modem.txt
24.01.2006 14:47 1.408.540 WindowsUpdate.log
23.01.2006 17:42 87.981 ModemLog_Conexant SoftK56 Data,Fax PCI Modem.txt
23.01.2006 13:35 97.216 ntbtlog.txt
23.01.2006 13:20 12.344 azesearch.bmp
23.01.2006 13:20 7.464 loadadv728.exe

23.01.2006 11:28 54.156 QTFont.qfn
23.01.2006 10:34 0 country.exe
23.01.2006 10:34 0 tool2.exe
23.01.2006 10:34 0 secure32.html
23.01.2006 10:34 0 toolbar.exe
23.01.2006 10:34 0 hosts
23.01.2006 10:34 0 tool1.exe
23.01.2006 10:34 0 tool4.exe
23.01.2006 10:34 0 tool5.exe
23.01.2006 10:34 0 tool3.exe
23.01.2006 10:34 0 kl.exe
23.01.2006 10:32 0 uniq

20.01.2006 14:03 277.658 setupapi.log
19.01.2006 17:53 1.409 QTFont.for
19.01.2006 16:42 46.449 cdplayer.ini
17.01.2006 13:40 2.249 win.ini
13.01.2006 10:54 5.894 KB908519.log
13.01.2006 10:54 380.844 comsetup.log
13.01.2006 10:54 1.322.184 iis5.log
13.01.2006 10:54 1.429 imsins.log
13.01.2006 10:54 374.268 ocgen.log
13.01.2006 10:54 28.425 ockodak.log
13.01.2006 10:54 13.171 KB912919.log
13.01.2006 10:54 1.414 imsins.BAK
13.01.2006 10:53 61.538 updspapi.log
11.01.2006 11:10 13.219 hpclj2550.ini
11.01.2006 11:10 147.787 hpclj2550.his
11.01.2006 10:22 6.964 hpclj2550.bu1
11.01.2006 10:22 49.337 hpclj2550.hi1
22.12.2005 21:47 188 PicView.INI
21.12.2005 13:55 121 GEARInstall.log
21.12.2005 10:20 17.670 KB908523.log
21.12.2005 10:19 6.487 KB905915-IE6SP1-20051122.175908.log
14.12.2005 12:14 681 hpclj2550.bu2
14.12.2005 12:14 3.701 hpclj2550.hi2
17.11.2005 16:47 0 n
10.11.2005 13:49 13.725 KB896424.log
18.10.2005 12:40 25.048 KB905414.log
18.10.2005 12:40 24.508 KB905749.log
18.10.2005 12:39 17.107 KB896688-IE6SP1-20051004.130236.log
18.10.2005 12:37 26.269 KB902400.log
18.10.2005 12:34 15.548 KB901017.log
18.10.2005 12:33 16.917 KB900725.log
18.10.2005 12:32 13.746 KB899589.log
18.10.2005 12:31 5.822 KB904706.log
18.10.2005 12:30 4.787 KB905495-IE6SP1-20050805.184113.log
18.10.2005 12:02 4.809 spupdsvc.log
17.10.2005 18:51 78.461 UpdateRollupPack.log
17.10.2005 18:45 4.783 updcustom.dll.log
07.10.2005 12:38 23.650 KB893756.log
07.10.2005 12:38 23.085 KB901214.log
07.10.2005 12:37 22.553 KB896358.log
07.10.2005 12:36 21.863 KB896423.log
07.10.2005 12:35 19.445 KB894320.log
07.10.2005 12:33 19.810 KB899587.log
07.10.2005 12:32 17.901 KB896422.log
07.10.2005 12:31 10.057 KB896727-IE6SP1-20050719.165959.log
07.10.2005 12:30 14.186 KB899588.log
07.10.2005 12:30 5.608 KB897715-OE6SP1-20050503.210336.log
07.10.2005 12:29 14.167 KB890046.log
05.10.2005 20:52 207.274 Windows Update.log
05.10.2005 20:52 20.851 KB842773.log
05.10.2005 20:52 4.176 setupact.log
05.10.2005 20:50 18.891 KB893803v2.log
05.10.2005 20:48 20.319 KB893086.log
05.10.2005 20:47 18.683 KB890859.log
05.10.2005 20:46 11.911 KB892944.log


Datentr„ger in Laufwerk C: ist VAIONOTE
Datentr„gernummer: 1347-1303

Verzeichnis von C:\

24.01.2006 15:04 0 sys.txt
24.01.2006 15:04 18.653 system.txt
24.01.2006 15:03 348 systemtemp.txt
24.01.2006 15:02 119.970 system32.txt
24.01.2006 15:02 297.651 winzip.log
24.01.2006 14:46 335.544.320 pagefile.sys
23.01.2006 13:46 245 statusclient.log
20.01.2006 13:25 887 agntclient.log
21.10.2004 22:04 929.363 eBay.log
27.09.2003 21:36 216.096 ntldr
22.03.2003 13:59 11.417 N2pInst.log
30.10.2002 17:05 57 comused.dbg
30.10.2002 17:05 57 comreads.dbg
20.09.2002 20:51 0 AdobeWeb.log
12.08.2002 00:51 34.724 ntdetect.com
07.04.2002 18:36 11.974 vso.log
07.01.2002 11:53 0 COMLOG.txt
20.09.2001 20:40 1.454.160 ss8.5s
20.09.2001 20:40 1.454.160 ss8.5t
20.08.2001 13:00 3.495.843 drwtsn32.log
18.07.2001 21:34 13.030 PDOXUSRS.NET
12.12.2000 23:10 0 N2PActiveX.log
11.12.2000 16:12 192 boot.ini
08.09.2000 13:30 0 AUTOEXEC.BAT
08.09.2000 13:30 0 CONFIG.SYS
21.08.2000 14:06 81.920 VIDEOROM.BIN
21.08.2000 12:24 0 IO.SYS
21.08.2000 12:24 0 MSDOS.SYS
21.08.2000 11:59 512 BOOTSECT.DOS
29 Datei(en) 343.685.579 Bytes
0 Verzeichnis(se), 1.375.735.808 Bytes frei

Das Notebook ist wesentlich schneller beim Start. Topantispyware ist noch immer vorhanden. IE öffnet sich nun automatisch und geht zu http://www.topantispyware.com/overview.php?415

Außerdem erscheinen folgende Meldungen:
MSTask.exe - DLL nicht gefunden
Die DLL McRtl32.dll wurde nicht im angegebenen Pfad etc. gefunden
snmp.exe - DLL nicht gefunden
wie oben
msdtc.exe - DLL nicht gefunden
w.o.
services.exe - DLL nicht gefunden
w.o.
mysvc.exe - DLL nicht gefunden
w.o.
MpfService.exe - DLL nicht gefunden
w.o.
StatusClient.exe - DLL nicht gefunden
w.o.
javaw.exe - DLL nicht gefunden
w.o.

lg
Alex
Seitenanfang Seitenende
24.01.2006, 23:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

reinkopieren:

C:\WINNT\azesearch.bmp
C:\WINNT\loadadv728.exe
C:\WINNT\country.exe
C:\WINNT\tool2.exe
C:\WINNT\secure32.html
C:\WINNT\toolbar.exe
C:\WINNT\hosts
C:\WINNT\tool1.exe
C:\WINNT\tool4.exe
C:\WINNT\tool5.exe
C:\WINNT\tool3.exe
C:\WINNT\kl.exe
C:\WINNT\uniq
C:\WINNT\n
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\newtb1handler.log
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Skin.ini
C:\WINNT\system32\paytime.exe
C:\WINNT\system32\txfdb32.dll
C:\WINNT\system32\srpcsrv32.dll

PC neustarten

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

http://virus-protect.org/multiavtool.html
klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.
- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie hier.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.01.2006, 12:04
Member

Themenstarter

Beiträge: 18
#5 Hallo Sabina,
ich hab die ersten Punkte so durchgeführt wie angegeben, d.h. die angegebenen Dateien mit Killbox gelöscht, dann neu gestartet.

Beim Neustart tauchen alle Meldungen die mit McRtl32.dll zu tun haben (siehe oben) wieder auf und am Bildschirm ist wieder Topantispyware.

Ich hab dann Hoster wie angegeben ausgeführt.

Dann Multi_AV gestartet und hier hab ich ein Problem.
Wenn ich "3" klicke bekomme ich die Meldung:

C:\AV-CLS\McAfee\update.ini is not opened for READ, error code: [0]

Es gibt auch keine update.ini in diesem Ordner und auch sonst nirgends.
Eventuell hab ich was falsch gemacht, weil ich Multi_AV zuerst auf den Desktop entzippt habe?

Kannst du mir noch mal weiterhelfen?
lg
Alex

PS:
Ich hab das Programm auf meinem PC mit Windows XP ausprobiert, da funktioniert es ohne Probleme!
Gibt's ev. ein Problem mit Windows 2000?
Dieser Beitrag wurde am 25.01.2006 um 12:49 Uhr von aprenninger editiert.
Seitenanfang Seitenende
25.01.2006, 15:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 smitfrautfix --> laden und arbeite alles ab...poste dann die Logs
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.01.2006, 17:03
Member

Themenstarter

Beiträge: 18
#7 Hallo,
vielen Dank für die Hilfe!!!!

Hab smitfraudfix ausgeführt, voilà die logs:
zu Funktion 1:

SmitFraudFix v2.15

Rapport fait à 16:22:05,60 le Mi 25.01.2006
Executé à partir de D:\Downloads\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\Web

C:\WINNT\Web\desktop.html PRESENT!

»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\WINNT\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau


»»»»»»»»»»»»»»»»»»»»»»»» Recherche C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="C:\\WINNT\\Web\\desktop.html"
"SubscribedURL"="C:\\WINNT\\Web\\desktop.html"
"FriendlyName"="Security"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport


zu Funktion 2:
SmitFraudFix v2.15

Rapport fait à 16:22:48,22 le Mi 25.01.2006
Executé à partir de D:\Downloads\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195]

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINNT\Web\desktop.html supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport

Und der Logfile von Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 16:46:35, on 25.01.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\ati2evxx.exe
C:\WINNT\System32\cisvc.exe
C:\Programme\mcafee.com\VSO\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\faxsvc.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\mqsvc.exe
C:\WINNT\system32\Atiptaxx.exe
C:\Programme\Apoint\Apoint.exe
C:\WINNT\system32\ICONSPY.EXE
C:\WINNT\system32\PRPCUI.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\McAfee.com\VSO\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINNT\system32\dla\tfswctrl.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\HP CD-DVD\Umbrella\hpcdtray.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\McAfee.com\VSO\oasclnt.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Programme\CleanMyPC\Registry Cleaner\RCScheduler.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Pinnacle\Shared Files\Programs\PCLEScheduler.exe
C:\Programme\BatteryScope\Batmgr.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Sony\VAIO Action Setup\VAServ.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
D:\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: iFinger plugin / Browser helper object - {A114D52B-870C-4F15-8021-B6D7F91A054B} - C:\Programme\iFinger\plugins\IE.ifp
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICONSPY.EXE
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [dla] C:\WINNT\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [DVDBitSet] "C:\Programme\HP CD-DVD\Umbrella\DVDBitSet.exe" /NOUI
O4 - HKLM\..\Run: [HPCDTray] "C:\Programme\HP CD-DVD\Umbrella\hpcdtray.exe"
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [WM_LOGIN] C:\Programme\McAfee\McAfee Firewall\\MSGLOGIN.EXE
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKCU\..\Run: [Registry Cleaner Scheduler] "C:\Programme\CleanMyPC\Registry Cleaner\RCScheduler.exe" /startup
O4 - Global Startup: D-Link AirPlus.lnk = C:\Programme\D-Link AirPlus\AirPlus.exe
O4 - Global Startup: Pinnacle PCTV Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\PCLEScheduler.exe
O4 - Global Startup: BatteryScope.lnk = C:\Programme\BatteryScope\Batmgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: VAIO Action Setup (Server).lnk = C:\Programme\Sony\VAIO Action Setup\VAServ.exe
O4 - Global Startup: PowerPanel.lnk = C:\Programme\PowerPanel\Program\PcfMgr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Web Savings - file://C:\Programme\WebSavings_from_Ebates\Sy400\Tp400\scri400a.htm
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing)
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - C:\WINNT\System32\SHDOCVW.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\WINNT\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\WINNT\System32\shdocvw.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,99/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - (no file)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - C:\Programme\mcafee.com\VSO\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

Hab außerdem noch mal datfind laufen lassen und folgende Logs bekommen:

Datentr„ger in Laufwerk C: ist VAIONOTE
Datentr„gernummer: 1347-1303

Verzeichnis von C:\WINNT\system32

25.01.2006 16:45 156.864 Status.MPF
24.01.2006 14:48 16.384 Perflib_Perfdata_358.dat
23.01.2006 17:43 16.384 Perflib_Perfdata_36c.dat
23.01.2006 16:03 16.384 Perflib_Perfdata_3a4.dat
13.01.2006 10:40 16.384 Perflib_Perfdata_328.dat
11.01.2006 10:46 94 msiexec.log
11.01.2006 10:43 349 AddPort.ini
05.01.2006 04:41 2.836.320 MRT.exe
30.12.2005 17:15 233.744 GDI32.DLL
07.12.2005 13:41 235.960 FNTCACHE.DAT
07.12.2005 12:43 101 hptrace.ini
24.11.2005 16:54 163.600 t2embed.dll
24.11.2005 16:54 79.632 fontsub.dll
22.11.2005 17:39 2.700.288 MSHTML.DLL
11.11.2005 16:38 9.216 MpfApi.dll
21.10.2005 16:49 582.144 WININET.DLL
21.10.2005 16:49 461.312 URLMON.DLL
21.10.2005 16:49 496.640 MSTIME.DLL
21.10.2005 15:36 1.339.392 SHDOCVW.DLL
21.10.2005 12:49 192.512 DXTRANS.DLL
20.10.2005 19:08 988.160 DANIM.DLL
18.10.2005 11:08 349.760 mcinsctl.dll
17.10.2005 20:58 65.536 QuickTimeVR.qtx
17.10.2005 20:57 49.152 QuickTime.qts
17.10.2005 10:01 1.693.248 NTOSKRNL.EXE
17.10.2005 10:01 1.715.840 NTKRNLPA.EXE
13.10.2005 11:09 15.072 spmsg.dll
07.10.2005 07:17 1.638.832 WIN32K.SYS

Datentr„ger in Laufwerk C: ist VAIONOTE
Datentr„gernummer: 1347-1303

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

25.01.2006 16:44 201 newtb1handler.log
05.11.2002 15:16 647 Skin.ini
2 Datei(en) 848 Bytes
0 Verzeichnis(se), 1.386.102.784 Bytes frei

Datentr„ger in Laufwerk C: ist VAIONOTE
Datentr„gernummer: 1347-1303

Verzeichnis von C:\WINNT

25.01.2006 16:43 32.594 SchedLgU.Txt
25.01.2006 16:43 253.754 hpoins07.log
25.01.2006 16:42 742 ModemLog_Bluetooth Modem.txt
25.01.2006 16:42 746 ModemLog_Bluetooth Fax Modem.txt
25.01.2006 16:42 1.413.180 WindowsUpdate.log
25.01.2006 16:27 1.284.970 ShellIconCache
23.01.2006 17:42 117.953 ModemLog_Conexant SoftK56 Data,Fax PCI Modem.txt
23.01.2006 13:35 97.216 ntbtlog.txt
23.01.2006 11:28 54.156 QTFont.qfn
20.01.2006 14:03 277.658 setupapi.log
19.01.2006 17:53 1.409 QTFont.for
19.01.2006 16:42 46.449 cdplayer.ini
17.01.2006 13:40 2.249 win.ini
13.01.2006 10:54 1.322.184 iis5.log
13.01.2006 10:54 1.429 imsins.log
13.01.2006 10:54 380.844 comsetup.log
13.01.2006 10:54 5.894 KB908519.log
13.01.2006 10:54 28.425 ockodak.log
13.01.2006 10:54 374.268 ocgen.log
13.01.2006 10:54 13.171 KB912919.log
13.01.2006 10:54 1.414 imsins.BAK
13.01.2006 10:53 61.538 updspapi.log
11.01.2006 11:10 13.219 hpclj2550.ini
11.01.2006 11:10 147.787 hpclj2550.his
11.01.2006 10:22 49.337 hpclj2550.hi1
11.01.2006 10:22 6.964 hpclj2550.bu1
22.12.2005 21:47 188 PicView.INI
21.12.2005 13:55 121 GEARInstall.log
21.12.2005 10:20 17.670 KB908523.log
21.12.2005 10:19 6.487 KB905915-IE6SP1-20051122.175908.log
14.12.2005 12:14 3.701 hpclj2550.hi2
14.12.2005 12:14 681 hpclj2550.bu2
10.11.2005 13:49 13.725 KB896424.log
18.10.2005 12:40 25.048 KB905414.log
18.10.2005 12:40 24.508 KB905749.log
18.10.2005 12:39 17.107 KB896688-IE6SP1-20051004.130236.log
18.10.2005 12:37 26.269 KB902400.log
18.10.2005 12:34 15.548 KB901017.log
18.10.2005 12:33 16.917 KB900725.log
18.10.2005 12:32 13.746 KB899589.log
18.10.2005 12:31 5.822 KB904706.log
18.10.2005 12:30 4.787 KB905495-IE6SP1-20050805.184113.log
18.10.2005 12:02 4.809 spupdsvc.log
17.10.2005 18:51 78.461 UpdateRollupPack.log
17.10.2005 18:45 4.783 updcustom.dll.log
07.10.2005 12:38 23.650 KB893756.log
07.10.2005 12:38 23.085 KB901214.log
07.10.2005 12:37 22.553 KB896358.log
07.10.2005 12:36 21.863 KB896423.log
07.10.2005 12:35 19.445 KB894320.log
07.10.2005 12:33 19.810 KB899587.log
07.10.2005 12:32 17.901 KB896422.log
07.10.2005 12:31 10.057 KB896727-IE6SP1-20050719.165959.log
07.10.2005 12:30 14.186 KB899588.log
07.10.2005 12:30 5.608 KB897715-OE6SP1-20050503.210336.log
07.10.2005 12:29 14.167 KB890046.log
05.10.2005 20:52 207.274 Windows Update.log
05.10.2005 20:52 20.851 KB842773.log
05.10.2005 20:52 4.176 setupact.log
05.10.2005 20:50 18.891 KB893803v2.log
05.10.2005 20:48 20.319 KB893086.log
05.10.2005 20:47 18.683 KB890859.log
05.10.2005 20:46 11.911 KB892944.log

Datentr„ger in Laufwerk C: ist VAIONOTE
Datentr„gernummer: 1347-1303

Verzeichnis von C:\

25.01.2006 16:48 0 sys.txt
25.01.2006 16:48 17.956 system.txt
25.01.2006 16:48 348 systemtemp.txt
25.01.2006 16:48 119.858 system32.txt
25.01.2006 16:41 335.544.320 pagefile.sys
25.01.2006 16:26 506 rapport.txt
25.01.2006 16:19 298.953 winzip.log
23.01.2006 13:46 245 statusclient.log
20.01.2006 13:25 887 agntclient.log

Topantispyware ist nun weg. Desktop ist wieder normal.
Aber ein Problem hab ich noch: Die CPU ist nun völlig ausgelastet von einer Datei svchost.exe!
Ich hab immer noch die McRtl2.exe Meldungen. McAfee sucht aber mit der Update-Funktion nach Updates und bringt die Meldung, dass alles up-to-date ist. Und der IE hat immer noch keine Verbindung.
lg
Alex
Seitenanfang Seitenende
25.01.2006, 17:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 aprenninger

Fixe mit dem HijackThis

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

PC neustarten


http://virus-protect.org/counterspy.html
nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.01.2006, 20:00
Member

Themenstarter

Beiträge: 18
#9 Hallo,
hab alles so gemacht. Hier ist der Scanreport. Unglaublich, was der noch alles entdeckt hat! ich staune, was sich so auf meinem Computer befindet.
Die Meldungen zu McRtl32.dll bekomme ich noch immer und IE findet auch noch keinen Server.
Hab übrigens für das Notebook z.Z. nur eine DFÜ-Verbindung (im Büro LAN) und in den Eigenschaften sind beim Empfang immer Fehlermeldungen. Aufgetaucht ist das Problem ja zusammen mit dem besch... Virus.
Aber bin ja schon froh über die bisherigen Ergebnisse. Aber vielleicht hat jemand eine Idee wo der Fehler liegt.
lg
Alex

PS: Und svchost.exe macht leider auch noch Probleme mit CPU-Auslastung bis 99 %.

Spyware Scan Details
Start Date: 25.01.2006 18:31:00
End Date: 25.01.2006 19:31:10
Total Time: 1 hrs 10 secs

Detected spyware

My Way Speedbar Browser Plug-in more information...
Details: MyWay Speedbar is a search toolbar that installs into Internet Explorer and Netscape Navigator, adding search functions and popup blocking.
Status: Deleted

Infected files detected
c:\programme\myway\srchastt\1.bin\mysrchas.dll


eBates Moe MoneyMaker Adware more information...
Details: Ebates MoneyMaker is an adware program that displays a number of popup adverts. Ebates MoneyMaker tries to disable programs that might interfere with its operation without your consent. This includes popup blockers.
Status: Deleted

Infected files detected
c:\programme\websavings_from_ebates\disp400.exe
c:\programme\websavings_from_ebates\readme.txt
c:\programme\websavings_from_ebates\ap400\ebws400.dat
c:\programme\websavings_from_ebates\ap400\psid401.dat
c:\programme\websavings_from_ebates\ap400\mercexcleb.dat
c:\programme\websavings_from_ebates\ap400\merc401.dat
c:\programme\websavings_from_ebates\sy400\sy400\400_0.dat
c:\programme\websavings_from_ebates\sy400\sy400\400_1.dat
c:\programme\websavings_from_ebates\sy400\sy400\400_2.dat
c:\programme\websavings_from_ebates\sy400\html\pref400a.htm
c:\programme\websavings_from_ebates\sy400\html\scri400a.htm
c:\programme\websavings_from_ebates\sy400\html\spec400a.htm
c:\programme\websavings_from_ebates\sy400\images\ebws_button_submit.gif
c:\programme\websavings_from_ebates\sy400\images\ebws_ebates.gif
c:\programme\websavings_from_ebates\sy400\tp400\log.txt
c:\programme\websavings_from_ebates\sy400\tp400\scri400a.htm
c:\programme\websavings_from_ebates\sy400\tp400\pref400a.htm
c:\programme\websavings_from_ebates\sy400\tp400\spec400a.htm
c:\programme\websavings_from_ebates\da400\413c9e3730aa.dat
c:\programme\websavings_from_ebates\da400\administrator\413c9e3f39da.dat
c:\programme\websavings_from_ebates\da400\400sh.dat

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Web Savings
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Web Savings Contexts 63
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Web Savings file://C:\Programme\WebSavings_from_Ebates\Sy400\Tp400\scri400a.htm


eDonkey2000 P2P more information...
Details: eDonkey2000 is a P2P file sharing program that bundles adware/spyware such as Webhancer, Web Search Toolbar and New.Net.
Status: Deleted


ADBreak Browser Plug-in more information...
Details: AdBreak opens pop-up advertising. It also hijacks your home page.
Status: Deleted

Infected files detected
c:\winnt\liqad.ini

Infected registry entries detected
HKEY_CURRENT_USER\software\opendata
HKEY_CURRENT_USER\software\opendata\MindSearch uid WHZKKHAQCCOFWLULLAYCIKARNCEAXFIP
HKEY_CURRENT_USER\software\opendata\MindSearch sid Q3mBE
HKEY_CURRENT_USER\software\opendata\MindSearch pid A/o09Er
HKEY_CURRENT_USER\software\opendata\MindSearch clb 5
HKEY_CURRENT_USER\software\opendata\MindSearch svhp 1Y.cLdUL3n
HKEY_CURRENT_USER\software\opendata\MindSearch svhm 5
HKEY_CURRENT_USER\software\opendata\MindSearch svpp 1Y.cLdUL3n
HKEY_CURRENT_USER\software\opendata\MindSearch svpm 5
HKEY_CURRENT_USER\software\opendata\MindSearch svrpn1 yhFRbmKM4jPsI5fSH
HKEY_CURRENT_USER\software\opendata\MindSearch svrpu1 1Y.cLdUL3n
HKEY_CURRENT_USER\software\opendata\MindSearch svrpn2 evSRioC6Tm49Inl
HKEY_CURRENT_USER\software\opendata\MindSearch svrpu2 1Y.cLdUL3n
HKEY_CURRENT_USER\software\opendata\MindSearch spm 0
HKEY_CURRENT_USER\software\opendata\MindSearch puv 1020644802
HKEY_CURRENT_USER\software\opendata\MindSearch pur 100
HKEY_CURRENT_USER\software\opendata\MindSearch puk s:w9ezoIJ0,j:BV/,x:qSK4,8:Em9Ig,y:TfyG,d:20HzE7d,6:EcAFZ,1:TFT9/x
HKEY_CURRENT_USER\software\opendata\MindSearch pum 64
HKEY_CURRENT_USER\software\opendata\MindSearch puc 0
HKEY_CURRENT_USER\software\opendata\MindSearch pud 18000
HKEY_CURRENT_USER\software\opendata\MindSearch put 0
HKEY_CURRENT_USER\software\opendata\MindSearch ucd 14
HKEY_CURRENT_USER\software\opendata\MindSearch ucm 5
HKEY_CURRENT_USER\software\opendata\MindSearch pyd 1
HKEY_CURRENT_USER\software\opendata\MindSearch clc 4074571127
HKEY_CURRENT_USER\software\opendata\MindSearch svrpn3 yhFRbmKM4jPsI5fSH
HKEY_CURRENT_USER\software\opendata\MindSearch svrpu3 1Y.cLdUL3n
HKEY_CURRENT_USER\software\opendata\MindSearch svrpn4 evSRioC6Tm49Inl
HKEY_CURRENT_USER\software\opendata\MindSearch svrpu4 1Y.cLdUL3n
HKEY_CURRENT_USER\software\opendata\MindSearch svrpn5 yhFRbmKM4jPsI5fSH
HKEY_CURRENT_USER\software\opendata\MindSearch svrpu5 1Y.cLdUL3n
HKEY_CURRENT_USER\software\opendata\MindSearch hcd 7
HKEY_CURRENT_USER\software\opendata\MindSearch hcc 2
HKEY_CURRENT_USER\software\opendata\MindSearch svhn krMRioC6Tm49Inl
HKEY_CURRENT_USER\software\opendata\MindSearch svpn yhFRbmKM4jPsI5fSH


Private Access Plugin Dialer more information...
Details: Private Access Plugin is a premium-rate dialer that may be installed through pop-up ads, onexit code, browser exploits and more.
Status: Deleted

Infected files detected
c:\winnt\downloaded program files\installer.inf


ABetterInternet.imGiant Adware more information...
Status: Deleted

Infected files detected
c:\winnt\wininit.ini


GXBPlugin Dialer Dialer more information...
Details: Porn dialer to charge phone bill instead of credit card.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D22AC3EF-B7D8-11d5-A281-005056BF0101}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D22AC3EF-B7D8-11d5-A281-005056BF0101} plug Class
Dieser Beitrag wurde am 25.01.2006 um 20:37 Uhr von aprenninger editiert.
Seitenanfang Seitenende
25.01.2006, 21:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Gehe in die Registry
Start-->Ausfuehren--> regedit

ueberpruefe, ob das geloescht ist:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Web Savings
HKEY_CURRENT_USER\software\opendata

------------------------------------------------------------------------
suche in Windows, ob das geloescht ist:
c:\programme\websavings_from_ebates

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

laden --> botte in den abgesicherten Modus --> öffne smitRem folder--> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

---------------------------------------------------------------------------
deinstalliere McAfee, denn die fehlende McRtl32.dll gehoert zu diesem Programm, wahrscheinlich hat sie ein Virus geloescht.
Deinstalliere auch Counterspy wieder.

Wenn alles deinstalliert
ist, lade Antivirus
http://virus-protect.org/antivirus.html
und scanne im abgesicherten Modus und kopiere hier den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.01.2006, 10:53
Member

Themenstarter

Beiträge: 18
#11 Hallo und guten Morgen,
war noch eine lange Nacht...
Folgendes kann ich berichten:
In der Registry und in Windows sind die entsprechenden Einträge gelöscht.

SmitRem hab ich 2 x laufen lassen. Hier die Logs:



smitRem © log file
version 2.8

by noahdfear


Microsoft Windows 2000 [Version 5.00.2195]

Running from
D:\Downloads\SmitRem\smitRem
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present


Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 508 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

wininet.dll is missing!!

Dann habe ich Counterspy und alles was mit McAfee zu tun hatte deinstalliert und Antivir laufen lassen. Hier ist der Report:


Erstellungsdatum der Reportdatei: 26. Jänner 2006 10:40

AntiVir®/XP (2000 + NT) PersonalEdition Classic
Build 1114 vom 04.11.2005
Hauptptogramm 6.32.00.51 vom 03.11.2005
VDF-Datei 6.33.0.162 (0) vom 25.01.2006


Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.


Es wird nach 292684 Viren bzw. unerwünschten Programmen gesucht.

Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149991-WURGE-0001

Bitte tragen Sie in dieses Formular den Rechnerstandort und
den zuständigen Ansprechpartner mit Telefonnummer ein:

Name ___________________________________________

Straße ___________________________________________

PLZ/Ort ___________________________________________

Telefon/Fax ___________________________________________

Email ___________________________________________

Plattform: Windows NT Workstation
Windows-Version: 5.0 Build 2195 (Service Pack 4)
Benutzername: Administrator
Computername: JORMA
Prozessor: Pentium
Arbeitsspeicher: 196080 KB frei

Versionsinformationen:
AVWIN.DLL : 6.32.00.51 532520 04.11.2005 07:48:30
AVEWIN32.DLL : 6.33.0.77 1008128 10.01.2006 12:36:42
AVGNT.EXE : 6.32.00.02 180327 03.11.2005 16:55:56
AVGUARD.EXE : 6.32.00.12 208424 03.11.2005 16:55:56
GUARDMSG.DLL : 6.31.00.01 98344 29.04.2005 08:06:42
AVGCMSG.DLL : 6.32.00.01 299125 03.11.2005 16:55:56
AVGNTDW.SYS : 6.31.00.01 32896 29.04.2005 08:06:40
AVPACK32.DLL : 6.32.00.02 319528 03.11.2005 16:51:22
AVGETVER.DLL : 6.30.00.00 24576 28.01.2005 17:10:12
AVSHLEXT.DLL : 6.30.00.01 40960 28.01.2005 17:10:12
AVSched32.EXE : 6.32.00.01 110632 20.09.2005 14:16:20
AVSched32.DLL : 6.30.00.00 122880 01.02.2005 10:23:32
AVREG.DLL : 6.31.00.05 41000 07.09.2005 16:34:42
AVRep.DLL : 6.33.00.155 1650728 25.01.2006 07:52:06
INETUPD.EXE : 6.32.00.53 262203 04.11.2005 07:50:26
INETUPD.DLL : 6.32.00.53 159744 04.11.2005 07:50:26
CTL3D32.DLL : 2.31.000 27136 10.12.1999 13:00:00
MFC42.DLL : 6.00.9586.0 1015859 19.06.2003 21:05:04
MSVCRT.DLL : 6.10.9844.0 286773 19.06.2003 21:05:04
CTL3DV2.DLL : 2.05 21648 04.02.2004 17:49:58

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI
Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Startpfad: C:\Programme\AVPersonal
Kommandozeile:
Startmodus: Selbsttest

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[ ] Alle Dateien
[X] Programmdateien
Endungen: .386 .?HT* .ACM .ADE .ADP .ANI .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG .PL* .PNG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMF .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[ ] AVWin®/NT Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Initialisierung OK
Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Master-Bootsektor von Festplatte HD1 OK
Master-Bootsektor von Festplatte HD2 OK
Master-Bootsektor von Festplatte HD3
Bootsektor von Laufwerk C: OK
Systemdateien
VIDEOROM.BIN OK
BOOTSECT.DOS OK
ntldr OK
ntdetect.com OK
boot.ini OK
IO.SYS OK
MSDOS.SYS OK
pagefile.sys OK
Thumbs.db OK
Systemtest: OK
Selbsttest: OK

Folgende Probleme sind noch da:
svchost.exe beansprucht bis 99 % der CPU
Beim Start laufende Meldungen, die jetzt aber nicht mehr auf McRtl32.dll bezogen sind, sondern auf sporder.dll. Hängt m.E. mit einer alten McAfee-Firewall (v 2.1.4) zusammen, die zwar nicht mehr lief, aber nicht deinstalliert war.
lg
Alex
Seitenanfang Seitenende
26.01.2006, 11:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 nun, das Problem ist die fehlende wininet.dll (hatte ich mir schon gedacht)


Start -- Ausführen -- cmd
DOS öffnet sich

kopiere rein:

Zitat

dir C:\WINNT\system32\wininet.dll /a h > files.txt
notepad files.txt
der Texteditor wird sich öffnen (kopiere alles ab und poste es hier)


Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:


Zitat

dir %Systemdrive%\wininet.dll /a h /s > files.txt
start notepad files.txt
- Speichern als: wininet.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate wininet.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.01.2006, 11:41
Member

Themenstarter

Beiträge: 18
#13 Hallo,
hab leider ein Problem mit der ersten Aufgabe.
Ich hab folgenden Befehl unter C:\> eingegeben

dir C:\WINNT\system32\wininet.dll /a h > files.txt

und erhalte die Meldung "Datei nicht gefunden". Hab's auch mit Doppelpunkt zwischen a und h sowie ohne Leerraum zwischen a und h versucht.
Mach ich einen dummen Fehler?

----------

Hab's inzwischen weiter versucht und folgendes bekommen:
Ohne "h" erhalte ich folgenden file:

Datentr„ger in Laufwerk C: ist VAIONOTE
Datentr„gernummer: 1347-1303

Verzeichnis von C:\WINNT\system32

21.10.2005 16:49 582.144 WININET.DLL
1 Datei(en) 582.144 Bytes
0 Verzeichnis(se), 1.397.301.248 Bytes frei
Dieser Beitrag wurde am 26.01.2006 um 13:00 Uhr von aprenninger editiert.
Seitenanfang Seitenende
26.01.2006, 12:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 versuche das zweite ;)

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:


dir %Systemdrive%\wininet.dll /a h /s > files.txt
start notepad files.txt

- Speichern als: wininet.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate wininet.bat -- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.01.2006, 13:06
Member

Themenstarter

Beiträge: 18
#15 Sorry!
War mein Fehler.
Hier ist der File:

Datentr„ger in Laufwerk C: ist VAIONOTE
Datentr„gernummer: 1347-1303

Verzeichnis von C:\WINNT\system32

21.10.2005 16:49 582.144 WININET.DLL
1 Datei(en) 582.144 Bytes

Verzeichnis von C:\WINNT\system32\dllcache

21.10.2005 16:49 582.144 WININET.DLL
1 Datei(en) 582.144 Bytes

Verzeichnis von C:\WINNT\ServicePackFiles\i386

19.06.2003 21:05 471.312 wininet.dll
1 Datei(en) 471.312 Bytes

Verzeichnis von C:\WINNT\$NtUninstallKB867282-IE6SP1-20050127.163319$

23.08.2004 20:35 594.432 wininet.dll
1 Datei(en) 594.432 Bytes

Verzeichnis von C:\WINNT\$NtUninstallKB834707-IE6SP1-20040929.091901$

07.07.2004 18:58 593.408 wininet.dll
1 Datei(en) 593.408 Bytes

Verzeichnis von C:\WINNT\$NtUninstallKB896727-IE6SP1-20050719.165959$

07.12.2004 19:16 595.456 wininet.dll
1 Datei(en) 595.456 Bytes

Verzeichnis von C:\WINNT\$NtUninstallKB905915-IE6SP1-20051122.175908$

18.06.2005 00:25 581.632 wininet.dll
1 Datei(en) 581.632 Bytes
Dieser Beitrag wurde am 26.01.2006 um 13:24 Uhr von aprenninger editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »