Internet sehr langsam und lsass.exe in Prozesse

#0
10.02.2006, 16:54
Member

Beiträge: 12
#1 Hallo,

ich hab grad ein erhebliches PC-Problem:

1. Mein Internet Explorer geht sehr langsam und gelegentlich öffnen sich (auf garantiert Popup-freien Seiten) zusätzliche komplette Seiten... (meistens die: http://apply.blinko.com/chat/?affil=5021)
2. Ich hab in meinen Prozessen im task manager eine lsass.exe - wat is dat? Ich hoffe nicht das, nach was es sich anhört...

Kann mir evtl jemand helfen??? Hier mein Hijackthis-Report:

Logfile of HijackThis v1.99.1
Scan saved at 16:38:02, on 10.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\STOPzilla!\szntsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\spss_lmd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\STOPzilla!\Stopzilla.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Outlook Express\msimn.exe
C:\Meine Downloads\hijackthis_1991\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.gophersearch.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.gophersearch.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.gophersearch.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.gophersearch.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.gophersearch.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.oldorf.swh.mhn.de:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ohb - {22DFEAE8-9AD2-4FC6-9CBA-A6566CA3B6EB} - C:\WINDOWS\system32\gpstool.dll
O2 - BHO: (no name) - {8D8A99E4-81AE-45A0-903D-7C01869048F9} - C:\WINDOWS\system32\acleditd.dll

O2 - BHO: STOPzilla Browser Helper Object - {E3215F20-3212-11D6-9F8B-00D0B743919D} - C:\WINDOWS\System32\StopzillaBHO.dll
O4 - HKLM\..\Run: [STOPzilla] "C:\Programme\STOPzilla!\Stopzilla.exe" /autorun
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\WINDOWS\System32\shdocvw.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/03c4392c2e4501428516/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100204121265
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c10.cab
O16 - DPF: {DAB941D8-BC94-4819-AB4D-5598C65FA3FE} - http://gpstool.globaladserver.com/v30/gpstool.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4555/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{43D13F55-143D-43D7-8D8F-18A4F263D780}: NameServer = 10.150.128.2
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Spss License Manager (SpssLM) - Unknown owner - C:\WINDOWS\system32\spss_lmd.exe
O23 - Service: STOPzilla Local Service - International Software Systems Solutions - C:\Programme\STOPzilla!\szntsvc.exe


Wär super wenn mir jemand helfen könnte...

und was jetzt noch dazu kommt:

zu Punkt 1: Wenn so ein neues Fenster aufgeht, wird zunächst die Seite "http://c.azjmp.com/az/ch.php?f=1544&i=5021" geöffnet - die startet dann irgendeinen Download und dann kommt wie gesagt meistens die "apply.blinko..."

Außerdem kommen jedesmal wenn das passiert neue Oedner wie "Credit Card" Adult Dating" "Games" etc. zu meinen Favoriten!

Bitte bitte helft mir!
Dieser Beitrag wurde am 10.02.2006 um 19:01 Uhr von MichBeck10 editiert.
Seitenanfang Seitenende
11.02.2006, 01:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 MichBeck10

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.02.2006, 08:13
Member

Themenstarter

Beiträge: 12
#3 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5804-FC9A

Verzeichnis von C:\WINDOWS\system32

11.02.2006 08:01 4.286 kill all spyware1234.ico
11.02.2006 08:01 3.262 websearch1.ico
11.02.2006 08:01 2.238 doll612345678910111213141516171819202122.ico
11.02.2006 08:01 1.078 phone12345678910111213.ico
11.02.2006 08:01 2.238 doll10123456789101112131415161718192021222324252627282930.ico
10.02.2006 14:43 24.626 scrrnde.dll

09.02.2006 17:53 2.422 wpa.dbl
08.02.2006 15:29 354 lsprst7.tgz
08.02.2006 15:29 16 servdat.slm
08.02.2006 15:29 340 lsprst7.dll
08.02.2006 15:28 73 ssprs.dll
08.02.2006 15:28 87 ssprs.tgz

02.02.2006 09:45 121.336 FNTCACHE.DAT
01.02.2006 17:20 1.025 sysprs7.dll
01.02.2006 17:20 1.025 sysprs7.tgz
01.02.2006 17:20 1.025 clauth2.dll
01.02.2006 17:20 1.025 clauth1.dll
29.01.2006 19:42 28.235 acleditd.dll
05.01.2006 04:41 2.836.320 MRT.exe
29.12.2005 03:54 280.064 gdi32.dll
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 1.022.464 browseui.dll
24.11.2005 00:58 3.013.632 mshtml.dll
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5804-FC9A

Verzeichnis von C:\DOKUME~1\MichBeck\LOKALE~1\Temp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5804-FC9A

Verzeichnis von C:\WINDOWS

11.02.2006 08:08 0 0.log
11.02.2006 08:08 1.387.990 WindowsUpdate.log
11.02.2006 08:08 237 wiadebug.log
11.02.2006 08:08 50 wiaservc.log
11.02.2006 08:07 2.048 bootstat.dat
11.02.2006 08:06 32.186 SchedLgU.Txt
10.02.2006 22:00 132 winamp.ini
10.02.2006 12:40 40.334 setupapi.log
04.02.2006 20:21 12.261 wmsetup.log
25.01.2006 14:36 150 setupact.log
24.01.2006 15:28 668 win.ini
24.01.2006 15:28 253 system.ini
11.01.2006 12:15 33.576 iis6.log
11.01.2006 12:15 1.374 imsins.log
11.01.2006 12:15 10.329 comsetup.log
11.01.2006 12:15 6.258 ntdtcsetup.log
11.01.2006 12:15 14.105 tsoc.log
11.01.2006 12:15 1.555 tabletoc.log
11.01.2006 12:15 1.710 ocmsn.log
11.01.2006 12:15 10.196 KB908519.log
11.01.2006 12:15 2.125 MedCtrOC.log
11.01.2006 12:15 14.580 ocgen.log
11.01.2006 12:15 5.415 netfxocm.log
11.01.2006 12:15 1.515 msgsocm.log
11.01.2006 12:15 30.914 FaxSetup.log
11.01.2006 12:15 9.458 msmqinst.log
06.01.2006 15:02 1.355 imsins.BAK
06.01.2006 15:02 11.068 KB912919.log
06.01.2006 15:02 3.652 updspapi.log
15.12.2005 10:24 10.399 KB910437.log
15.12.2005 10:24 16.314 KB905915.log
03.12.2005 22:38 6.494 DirectX.log
30.11.2005 15:39 219 cdplayer.ini
09.11.2005 08:15 11.822 KB896424.log
09.11.2005 08:15 0 setuperr.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5804-FC9A

Verzeichnis von C:\

11.02.2006 08:16 0 sys.txt
11.02.2006 08:15 6.646 system.txt
11.02.2006 08:15 136 systemtemp.txt
11.02.2006 08:11 105.792 system32.txt
11.02.2006 08:07 402.653.184 pagefile.sys
Dieser Beitrag wurde am 11.02.2006 um 08:19 Uhr von MichBeck10 editiert.
Seitenanfang Seitenende
11.02.2006, 09:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Spss License Manager .. Kennst du diese Software/Dienst ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.02.2006, 13:04
Member

Themenstarter

Beiträge: 12
#5 SPSS License Manager geht in Ordnung... brauchst du die Registry Search trotzdem?
Seitenanfang Seitenende
11.02.2006, 20:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 MichBeck10

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .........

C:\WINDOWS\system32\kill all spyware1234.ico
C:\WINDOWS\system32\websearch1.ico
C:\WINDOWS\system32\doll612345678910111213141516171819202122.ico
C:\WINDOWS\system32\phone12345678910111213.ico
C:\WINDOWS\system32\doll10123456789101112131415161718192021222324252627282930.ico
C:\WINDOWS\system32\scrrnde.dll
C:\WINDOWS\system32\gpstool.dll
C:\WINDOWS\system32\acleditd.dll

PC neustarten

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.gophersearch.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.gophersearch.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.gophersearch.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.gophersearch.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.gophersearch.com/

O2 - BHO: ohb - {22DFEAE8-9AD2-4FC6-9CBA-A6566CA3B6EB} - C:\WINDOWS\system32\gpstool.dll
O2 - BHO: (no name) - {8D8A99E4-81AE-45A0-903D-7C01869048F9} - C:\WINDOWS\system32\acleditd.dll

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\WINDOWS\System32\shdocvw.dll

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

Loesche:
C:\Programme\PartyPoker

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

scanne mit ewido und kopiere den sanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.02.2006, 23:19
Member

Themenstarter

Beiträge: 12
#7 ---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 23:19:08, 11.02.2006
+ Report-Checksumme: 6BCEFF91

+ Scanergebnis:

HKLM\SOFTWARE\Classes\dsktrf.amo -> Adware.DesktopTraffic : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\dsktrf.amo\CLSID -> Adware.DesktopTraffic : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\dsktrf.amo\CurVer -> Adware.DesktopTraffic : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\dsktrf.amo.1 -> Adware.DesktopTraffic : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\dsktrf.iiittt -> Adware.DesktopTraffic : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\dsktrf.iiittt\CLSID -> Adware.DesktopTraffic : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\dsktrf.iiittt\CurVer -> Adware.DesktopTraffic : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\dsktrf.iiittt.1 -> Adware.DesktopTraffic : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\dsktrf.momo -> Adware.Begin2Search : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\dsktrf.momo\CLSID -> Adware.Begin2Search : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\dsktrf.momo\CurVer -> Adware.Begin2Search : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\dsktrf.momo.1 -> Adware.Begin2Search : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\dsktrf.ohb -> Adware.DesktopTraffic : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\dsktrf.ohb\CLSID -> Adware.DesktopTraffic : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\dsktrf.ohb\CurVer -> Adware.DesktopTraffic : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\dsktrf.ohb.1 -> Adware.DesktopTraffic : Gesäubert mit Backup
HKU\S-1-5-21-854245398-1844823847-725345543-1003\Software\Microsoft\Windows\
CurrentVersion\Ext\Stats\{22DFEAE8-9AD2-4FC6-9CBA-A6566CA3B6EB} -> Adware.Begin2search : Gesäubert mit Backup
C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@adtech[2].txt -> TrackingCookie.Adtech : Gesäubert mit Backup
C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@advertising[1].txt -> TrackingCookie.Advertising : Gesäubert mit Backup
C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@as1.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@revenue[2].txt -> TrackingCookie.Revenue : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-854245398-1844823847-725345543-1003\Dc10.dll -> Adware.Beginto : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-854245398-1844823847-725345543-1003\Dc7.dll -> Downloader.Small.cgu : Gesäubert mit Backup


::Report Ende
Seitenanfang Seitenende
12.02.2006, 00:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 MichBeck10

nun mache noch einen Onlinescan mit panda ...;) + berichte
http://virus-protect.org/onlinescan.html
+
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.02.2006, 15:12
Member

Themenstarter

Beiträge: 12
#9 So, erstmal der Panda:


Incident Status Location

Spyware:spyware/betterinet Not disinfected C:\WINDOWS\INF\biini.inf
Adware:adware/ncase Not disinfected C:\WINDOWS\didduid.ini
Spyware:spyware/altnet Not disinfected C:\PROGRAM FILES\Altnet
Adware:adware/gator Not disinfected C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMEN\PROGRAMME\GAIN Publishing
Spyware:spyware/bridge Not disinfected Windows Registry
Potentially unwanted tool:application/zango Not disinfected HKEY_CLASSES_ROOT\CLSID\{8FCDF9D9-A28B-480F-8C3D-581F119A8AB8}
Adware:adware/dyfuca Not disinfected Windows Registry
Potentially unwanted tool:application/myway Not disinfected HKEY_CLASSES_ROOT\Interface\{0494D0D4-F8E0-41AD-92A3-14154ECE70AC}
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@atdmt[1].txt
Spyware:Cookie/Azjmp Not disinfected C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@azjmp[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@doubleclick[1].txt
Spyware:Cookie/fe.lea.lycos Not disinfected C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@fe.lea.lycos[1].txt
Spyware:Cookie/Adserver Not disinfected C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@z1.adserver[1].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@atdmt[1].txt
Spyware:Cookie/Azjmp Not disinfected C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@azjmp[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@doubleclick[1].txt
Spyware:Cookie/fe.lea.lycos Not disinfected C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@fe.lea.lycos[1].txt
Spyware:Cookie/Adserver Not disinfected C:\Dokumente und Einstellungen\MichBeck\Cookies\michbeck@z1.adserver[1].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Meine Downloads\Winfixer Problem\VundoFix\process.exe
Spyware:Spyware/BetterInet Not disinfected C:\WINDOWS\inf\bi.inf
Spyware:Spyware/BetterInet Not disinfected C:\WINDOWS\inf\biini.inf
Dann der Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 15:09:20, on 12.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\STOPzilla!\szntsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\STOPzilla!\Stopzilla.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\spss_lmd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Meine Downloads\hijackthis_1991\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.oldorf.swh.mhn.de:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: STOPzilla Browser Helper Object - {E3215F20-3212-11D6-9F8B-00D0B743919D} - C:\WINDOWS\System32\StopzillaBHO.dll
O4 - HKLM\..\Run: [STOPzilla] "C:\Programme\STOPzilla!\Stopzilla.exe" /autorun
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/03c4392c2e4501428516/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100204121265
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Zango/ie/bridge-c10.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {DAB941D8-BC94-4819-AB4D-5598C65FA3FE} - http://gpstool.globaladserver.com/v30/gpstool.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4555/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{43D13F55-143D-43D7-8D8F-18A4F263D780}: NameServer = 10.150.128.2
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Spss License Manager (SpssLM) - Unknown owner - C:\WINDOWS\system32\spss_lmd.exe
O23 - Service: STOPzilla Local Service - International Software Systems Solutions - C:\Programme\STOPzilla!\szntsvc.exe


bei Hijackthis is zudem noch ne Menge so Kodak-Zeug drin - da war mal ne Software für ne Kamera, die ich aber schon lang deinstalliert, gelöscht und eigentlich auch aus der reg entfernt hab...
Seitenanfang Seitenende
12.02.2006, 17:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 loesche:

C:\WINDOWS\INF\biini.inf
C:\WINDOWS\INF
C:\WINDOWS\didduid.ini
C:\PROGRAM FILES\Altnet
C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMEN\PROGRAMME\GAIN Publishing

---------------------------------------------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

Zitat

REGEDIT4

[-HKEY_CLASSES_ROOT\CLSID\{8FCDF9D9-A28B-480F-8C3D-581F119A8AB8}]
[-HKEY_CLASSES_ROOT\Interface\{0494D0D4-F8E0-41AD-92A3-14154ECE70AC}]

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.02.2006, 18:27
Member

Themenstarter

Beiträge: 12
#11 C:\WINDOWS\INF\biini.inf
C:\WINDOWS\INF

Die beiden kann ich nicht löschen (Ordner hat so ne verblasste Farbe und kann nicht gelöscht werden, weil sie verwendet wird...)

C:\WINDOWS\didduid.ini

kann ich nicht finden!
Seitenanfang Seitenende
12.02.2006, 23:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

C:\WINDOWS\INF\biini.inf
C:\WINDOWS\INF
C:\WINDOWS\didduid.ini

PC neustarten ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.02.2006, 09:21
Member

Themenstarter

Beiträge: 12
#13 So, ich hab die drei Dateien/ Ordner mit Killbox gelöscht und die fixme im abgesicherten Modus doopelgelickt, also zur Registry hinzugefügt!
Und nü? (hab ich eigentlich schon mal erwähnt, wie geil ich das finde, was du hier machst?? Merci schon mal!)
Seitenanfang Seitenende
13.02.2006, 11:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 nun buegel noch mit diesen 4 Scannern drueber, und berichte, falls noch was gefunden wurde...aber ich denke, es muesste eigentlich alles sauber sein ;)
http://virus-protect.org/multiavtool.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.02.2006, 13:35
Member

Themenstarter

Beiträge: 12
#15 na super, sophos ist grad fertig: nachdem der scan report das ganze hier sprengen würde nur mal den Schluss:

Could not check c:\WINDOWS\Registration\R000000000003.clb (corrupt)
Could not check c:\WINDOWS\Registration\R000000000006.clb (corrupt)
Could not check c:\WINDOWS\Registration\R000000000007.clb (corrupt)
>>> Virus fragment 'Micro-128' found in file c:\WINDOWS\system32\ActiveScan\pskavs.dll
Removal successful
Could not open c:\WINDOWS\system32\config\SYSTEM.LOG
Could not open c:\WINDOWS\system32\drivers\dtscsi.sys
Could not open c:\WINDOWS\system32\drivers\sptd.sys
Could not open c:\WINDOWS\system32\drivers\sptd7485.sys
Could not check c:\WINDOWS\system32\emptyregdb.dat (corrupt)

2 master boot records swept.
58602 files swept in 1 hour, 11 minutes and 14 seconds.
2489 errors were encountered.
1 virus was discovered.
1 file out of 58602 was infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
2408 encrypted files were not checked.
Ending Sophos Anti-Virus.

ich kann leider in dem Wust von Zahlen und Buchstaben nicht erkennen was er da jetzt gefunden hat...

Trend und McAfee haben nichts gefunden (außer ne Menge Dateien, die sie nicht öffnen konnten) und Kaspersky war schon nach 10 Sekunden mit Scannen fertig...gefunden hat er aber auch nichts! Bleibt nur der Virus den Sophos (s.o.) gefunden hat...
Dieser Beitrag wurde am 13.02.2006 um 16:23 Uhr von MichBeck10 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: