Viren Probleme!

#0
15.03.2006, 18:51
Member

Beiträge: 11
#1 Logfile of HijackThis v1.99.1
Scan saved at 18:07:25, on 15.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\Um9iZXJ0\command.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\MrobeService.exe
C:\Programme\outlook\outlook.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\System32\winlog.exe
C:\mousepad1.exe

C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\GEMEIN~1\omfw\omfwm.exe
C:\PROGRA~1\GEMEIN~1\omfw\omfwa.exe

C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\OLYMPUS\m-trip\Bin\m-tripLauncher.exe
C:\Programme\Wireless LAN Utility\SiWake.exe
C:\Programme\Wireless LAN Utility\SISCFG.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Eigene Dateien\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: XBTB04715 - {A8B0BDED-64A5-495b-97DA-42C0301E229B} - C:\PROGRA~1\TOOLBA~1\TOOLBA~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programme\Toolbar888\ToolBar888.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\Run: [keyboard] C:\\keyboard1.exe
O4 - HKLM\..\Run: [mousepad] C:\\mousepad1.exe
O4 - HKLM\..\Run: [gimmysmileys] C:\\gimmysmileys1.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [omfw] C:\PROGRA~1\GEMEIN~1\omfw\omfwm.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: m-trip Launcher.lnk = C:\Programme\OLYMPUS\m-trip\Bin\m-tripLauncher.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TL-WN320G 1.0 Utility.lnk = C:\Programme\Wireless LAN Utility\SiWake.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Um9iZXJ0\command.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: MrobeService - OLYMPUS IMAGING CORP. - C:\WINDOWS\system32\MrobeService.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe

bitte Helft mir!!
Seitenanfang Seitenende
15.03.2006, 19:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Stephi05

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.03.2006, 08:04
Member

Themenstarter

Beiträge: 11
#3 warum diese 4 text dateine? und wohin kopieren?
blicke nciht durch.
den clean up habe ich gemacht, aber die kommen trotzdem imemr wieder, diese pop ups. ...:-(
Seitenanfang Seitenende
17.03.2006, 10:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 die 4 Textdateien musst du hier kopieren, damit ich die viren raussuchen kann......
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.03.2006, 12:56
Member

Themenstarter

Beiträge: 11
#5 achso....und wofür war dann der clean up.. weil geändert hat der nix... sorry, dass ich da nicht so durchblicke :-)
also, ich bin erst wieder in der woche an dem "viren-pc". hoffe du hilfst mir dann wieter...ich werde direkt die 4 dateien kopieren. wenn ich das nicht hinkriege, oder fragen habe, bist du ja immer für mich da.. das ist so super das forum.. danke schonmal!!!
GLG, Stephi*
Seitenanfang Seitenende
18.03.2006, 15:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 der cleanup hat die temporaeren dateien geloescht, dann sehe ich die viren mit hilfe der datfindbat und hijackthis...dann beginnt die reinigung
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.03.2006, 17:48
Member

Themenstarter

Beiträge: 11
#7 Datfind.bat ergebnisse (nur zur info, der viren stress begann am 12.03, als wir was anderes außer lieder und videos bei limewire runtergeladen haben, sone dj mixstation, natürlich schon wieder gelöscht)

1.Log
Verzeichnis von C:\WINDOWS\system32

21.03.2006 17:23 122.928 FNTCACHE.DAT
21.03.2006 10:46 2.206 wpa.dbl
12.03.2006 21:07 2 ping.com
12.03.2006 21:07 2 regedit.com
12.03.2006 21:07 2 netstat.com
12.03.2006 21:07 2 cmd.com
12.03.2006 21:07 2 taskkill.com
12.03.2006 21:07 2 tasklist.com
12.03.2006 21:07 2 tracert.com
12.03.2006 21:06 687.592 atmtd.dll
12.03.2006 21:06 687.592 atmtd.dll._
12.03.2006 21:05 32.768 setup.exe.tmp
12.03.2006 21:05 62.464 bszip.dll
01.02.2006 17:19 33 wunilog.ini
29.01.2006 19:07 256 QuickTime.qtp
26.01.2006 19:36 716.800 divxdec.ax
26.01.2006 19:36 574.976 DivX.dll
26.01.2006 19:35 679.936 divx_xx07.dll
26.01.2006 19:35 679.936 divx_xx0c.dll
26.01.2006 19:35 663.552 divx_xx11.dll
24.01.2006 19:08 12.288 DivXWMPExtType.dll
09.01.2006 20:32 86.016 dpl100.dll
09.01.2006 20:32 593.920 dpuGUI11.dll
09.01.2006 20:32 200.704 dtu100.dll
09.01.2006 20:32 339.968 dpus11.dll
09.01.2006 20:32 57.344 dpv11.dll
09.01.2006 20:32 294.912 dpu10.dll
09.01.2006 20:32 294.912 dpu11.dll
12.12.2005 18:20 3.534 jupdate-1.5.0_03-b07.log
05.12.2005 21:51 10.716 dsm_ja.qm
05.12.2005 21:51 15.331 dsm_de.qm
05.12.2005 21:51 15.172 dsm_fr.qm

2.Log
Verzeichnis von C:\DOKUME~1\Robert\LOKALE~1\Temp

21.03.2006 17:33 32.768 ~DFF1F9.tmp
21.03.2006 17:33 206 jusched.log
21.03.2006 17:33 16.384 ~DF65E8.tmp
21.03.2006 17:23 32.768 ~DFC495.tmp
21.03.2006 17:23 16.384 ~DF5BE8.tmp
5 Datei(en) 98.510 Bytes

3.Log
Verzeichnis von C:\WINDOWS

21.03.2006 17:24 667.441 setupapi.log
21.03.2006 17:23 159 wiadebug.log
21.03.2006 17:23 50 wiaservc.log
21.03.2006 17:23 0 0.log
21.03.2006 17:23 2.048 bootstat.dat
21.03.2006 11:17 32.618 SchedLgU.Txt
19.03.2006 14:27 155 winamp.ini
16.03.2006 19:52 34 cdplayer.ini
12.03.2006 21:06 43 drsmartload2.dat
12.03.2006 21:05 40 teller2.chk
08.03.2006 19:49 197 wmsetup.log
13.02.2006 16:55 185.903 setupact.log
01.02.2006 17:19 1.670 Windows Update.log
29.01.2006 17:11 618 win.ini
27.01.2006 18:59 76.967 DirectX.log
22.01.2006 12:19 2.024 ModemLog_Bluetooth LAP Modem #2.txt
22.01.2006 12:19 2.028 ModemLog_Bluetooth DUN Modem.txt
22.01.2006 12:19 2.024 ModemLog_Bluetooth LAP Modem.txt
22.01.2006 12:19 2.022 ModemLog_Bluetooth Fax Modem.txt
03.01.2006 17:45 1.989 uninstall_nmon.vbs
05.12.2005 17:29 250 accessdll.log
05.12.2005 17:10 1.507 avmadd32.log
05.12.2005 17:05 107 avmsysnet.log

4.Log
Verzeichnis von C:\

21.03.2006 17:47 0 sys.txt
21.03.2006 17:47 5.114 system.txt
21.03.2006 17:45 483 systemtemp.txt
21.03.2006 17:45 97.887 system32.txt
21.03.2006 17:23 1.610.612.736 pagefile.sys
12.03.2006 21:05 65.536 mousepad1.exe
30.06.2005 21:17 194 boot.ini
30.06.2005 19:59 0 AUTOEXEC.BAT
30.06.2005 19:59 0 MSDOS.SYS
30.06.2005 19:59 0 IO.SYS
30.06.2005 19:59 0 CONFIG.SYS
29.08.2002 00:05 235.296 ntldr
28.08.2002 20:08 47.580 NTDETECT.COM
23.08.2001 13:00 4.952 bootfont.bin
14 Datei(en) 1.611.069.778 Bytes

So, dann bin ich ja mal auf deine antwort gespannt :-)
GLG, Stephi*
Seitenanfang Seitenende
22.03.2006, 00:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Stephi05

Click Start>> Ausfuehren>> reinschreiben--> Services.msc und Click OK!

"Eigenschaften" >> Click "Stop">> Starttyp "deaktiviert"

Command Service (cmdService)
Network Monitor

Start --> Ausfuehren --> reinkopieren ..in das kleine geoeffnete Fenster...(wenn eine Fehlermeldung kommt...ignorieren) --> klicke nach jedem O.K.

sc delete Command Service
sc delete Network Monitor

--------------------------------------------------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService]
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............ (von hier aus)...eins nach dem anderen...

C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\winlog.exe
C:\PROGRA~1\GEMEIN~1\omfw\omfwm.exe
C:\PROGRA~1\GEMEIN~1\omfw\omfwa.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\uninstall_nmon.vbs
C:\WINDOWS\Um9iZXJ0\command.exe
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\system32\setup.exe.tmp
C:\WINDOWS\system32\bszip.dll
C:\Programme\Toolbar888\ToolBar888.dll
C:\WINDOWS\drsmartload2.dat
C:\keyboard1.exe
C:\gimmysmileys1.exe
C:\WINDOWS\teller2.chk
C:\mousepad1.exe

PC neustarten


öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

O2 - BHO: XBTB04715 - {A8B0BDED-64A5-495b-97DA-42C0301E229B} - C:\PROGRA~1\TOOLBA~1\TOOLBA~1.DLL
O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programme\Toolbar888\ToolBar888.dll
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\Run: [keyboard] C:\\keyboard1.exe
O4 - HKLM\..\Run: [mousepad] C:\\mousepad1.exe
O4 - HKLM\..\Run: [gimmysmileys] C:\\gimmysmileys1.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [omfw] C:\PROGRA~1\GEMEIN~1\omfw\omfwm.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Um9iZXJ0\command.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe

PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

weiterhin im abgesicherten Modus:

loeschen
C:\Programme\Toolbar888
C:\Programme\Gemeinsame Dateien\omfw
C:\Programme\Network Monitor
C:\WINDOWS\Um9iZXJ0

--------------------------------------------------------------------------------

scanne mit ewido und berichte ;) --> kopiere hier den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.03.2006, 01:37
Member

Beiträge: 20
#9 Hallo Sabina,
Habe meinen Rechner heute auch mit dem Virus W32/Nsag.B infiziert.
Habe Spyware Stormer und AntiVir Guard auf dem Rechner, bekomme ständig Meldungen von AntiVir dass die Datei wininet.dll mit diesem Virus infiziert ist. Kann die Datei nicht löschen. Spyware Stormer schmeist mir auf den Desktophintergrund, dass es Spyware gefunden hat.

Habe schon, dass Programm hijackthis installiert und laufen lassen,
dieses ist der Inhalt des hijackthis Logfiles:

Logfile of HijackThis v1.99.1
Scan saved at 17:33:38, on 21.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\VERITAS Software\Update Manager\sgtray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\iISystem Wiper\SystemWiper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ThinkPad\ConnectUtilities\QCTRAY.EXE
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Spyware Stormer\SpywareStormer.Exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\IBM\Messages By IBM\ibmmessages.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\IBM\Bluetooth Software\BTTray.exe
C:\WINDOWS\twain_32\CANON\FB310\Scaner32.exe
C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
c:\Programme\Intuwave Ltd\Shared\mRouterRunTime\mRouterRuntime.exe
C:\Programme\IBM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\lotus\notes\ntmulti.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\80211abg\acs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\ThinkPad\CONNEC~1\QCWizard.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\Dokumente und Einstellungen\Thälmann\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w3g.gkss.de/staff/storch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://w3g.gkss.de/staff/storch
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\Real\Toolbar\realbar.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\Real\Toolbar\realbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKLM\..\Run: [StorageGuard] "c:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [iIWiper] C:\Programme\iISystem Wiper\SystemWiper.exe m
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QCTray] C:\Programme\ThinkPad\ConnectUtilities\QCTRAY.EXE
O4 - HKLM\..\Run: [QCWLIcon] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Spyware Stormer] C:\Programme\Spyware Stormer\SpywareStormer.Exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [intell321.exe] C:\WINDOWS\system32\intell321.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: CanoScan FB310 Utilities.lnk = C:\WINDOWS\twain_32\CANON\FB310\Scaner32.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Telefonverbindungsmonitor.lnk = C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ieSpell - {0E17D5B7-9F5D-4fee-9DF6-CA6EE38B68A8} - C:\Programme\ieSpell\ieSpell.dll
O9 - Extra 'Tools' menuitem: ieSpell - {0E17D5B7-9F5D-4fee-9DF6-CA6EE38B68A8} - C:\Programme\ieSpell\ieSpell.dll
O9 - Extra button: (no name) - {1606D6F9-9D3B-4aea-A025-ED5B2FD488E7} - C:\Programme\ieSpell\ieSpell.dll
O9 - Extra 'Tools' menuitem: ieSpell Options - {1606D6F9-9D3B-4aea-A025-ED5B2FD488E7} - C:\Programme\ieSpell\ieSpell.dll
O9 - Extra button: Researcher - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\IBM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\IBM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021205/qtinstall.info.apple.com/drakken/us/win/QuickTimeInstaller.exe
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www-3.ibm.com/pc/support/access/aslibmain/content/IbmEgath.cab
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) -
O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.bgbank.dk/html/activex/e-Safekey/BG/e-Safekey.cab
O16 - DPF: {E598AC61-4C6F-4F4D-877F-FAC49CA91FA3} (acpRunner Class) - https://www-3.ibm.com/pc/support/access/aslibmain/content/AcpControl.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {FCE90474-8B60-445B-A2B5-57E289BCEA42} (SmartDownloader Control) - http://www.downloadcoach.com/SmartDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = gkss.de
O17 - HKLM\Software\..\Telephony: DomainName = gkss.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{2721FD83-B0D2-49C7-BEA6-05B11252F46F}: Domain = gkss.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = gkss.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = gkss.de
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = gkss.de
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O20 - Winlogon Notify: QConGina - C:\WINDOWS\SYSTEM32\QConGina.dll
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\Programme\80211abg\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\IBM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Programme\lotus\notes\ntmulti.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

Hallo Sabina,
habe bereits wie du oben beschrieben hast CleanUp und datfind.bat ausgeführt. Dies sind die 4. Logs

1. Log:

Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: F05B-789E

Verzeichnis von C:\WINDOWS\system32

20.03.2006 08:17 2.278 wpa.dbl
13.03.2006 09:39 342.528 FNTCACHE.DAT
10.03.2006 01:10 4.799.320 MRT.exe
23.02.2006 10:22 57.344 avsda.dll
04.01.2006 04:35 68.096 webclnt.dll
29.12.2005 03:54 280.064 gdi32.dll
22.12.2005 13:43 382.026 perfh009.dat
22.12.2005 13:43 53.770 perfc009.dat
22.12.2005 13:43 393.086 perfh007.dat
22.12.2005 13:43 64.848 perfc007.dat
22.12.2005 13:43 902.540 PerfStringBackup.INI
19.12.2005 19:30 4.730.880 wmp.dll
01.12.2005 04:31 1.492.480 shdocvw.dll

2. Log:

Verzeichnis von C:\DOKUME~1\THLMAN~1\LOKALE~1\Temp

21.03.2006 22:14 16.384 ~DF727D.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 13.026.140.160 Bytes frei


3. Log:

Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: F05B-789E

Verzeichnis von C:\WINDOWS

22.03.2006 01:14 615.974 setupapi.log
21.03.2006 22:14 1.211 win.ini
21.03.2006 22:14 992 Avscan32.ini
21.03.2006 22:14 1.733.013 WindowsUpdate.log
21.03.2006 22:09 159 wiadebug.log
21.03.2006 22:09 3.904 ModemLog_Agere Systems AC'97 Modem.txt
21.03.2006 22:09 50 wiaservc.log
21.03.2006 22:09 0 0.log
21.03.2006 22:09 2.048 bootstat.dat
21.03.2006 19:43 32.564 SchedLgU.Txt
21.03.2006 15:15 29.128 KB905915.log
21.03.2006 14:51 3.584 uninstDsk.exe
21.03.2006 14:51 1.431 warnhp.html

21.03.2006 14:14 344.762 wmsetup.log
21.03.2006 14:14 1.125 Winamp.ini
14.03.2006 10:47 502 ODBC.INI
14.03.2006 09:03 29.680 spupdsvc.log
13.03.2006 16:58 257.853 comsetup.log
13.03.2006 16:58 984.038 iis6.log
13.03.2006 16:58 160.739 ntdtcsetup.log
13.03.2006 16:58 36.656 tabletoc.log
13.03.2006 16:58 34.275 ocmsn.log
13.03.2006 16:58 1.374 imsins.log
13.03.2006 16:58 362.266 tsoc.log
13.03.2006 16:58 10.663 KB911927.log
13.03.2006 16:58 131.003 netfxocm.log
13.03.2006 16:58 23.113 medctroc.Log
13.03.2006 16:58 421.101 ocgen.log
13.03.2006 16:58 37.926 msgsocm.log
13.03.2006 16:58 753.208 FaxSetup.log
13.03.2006 16:58 257.540 msmqinst.log
13.03.2006 16:58 18.652 updspapi.log
13.03.2006 16:58 1.374 imsins.BAK
13.03.2006 16:58 13.200 KB911564.log
13.03.2006 16:57 13.439 KB911565.log
13.03.2006 16:56 6.632 KB913446.log
13.03.2006 13:41 2.899 OEWABLog.txt
31.01.2006 22:25 9.926 ModemLog_Vodafone Mobile Connect - 3G Modem.txt
12.01.2006 12:01 10.127 KB908519.log
09.01.2006 16:58 109 notesnsd.ini
06.01.2006 12:01 11.106 KB912919.log
02.01.2006 09:59 720 nsw.log
23.12.2005 12:07 23.778 KB901017.log
23.12.2005 12:07 24.161 KB896424.log
23.12.2005 12:06 18.323 KB910437.log
23.12.2005 12:06 22.034 KB902400.log
23.12.2005 12:05 14.047 KB899589.log
23.12.2005 12:05 14.365 KB905414.log
23.12.2005 12:05 14.150 KB900725.log
23.12.2005 12:04 11.173 KB904706.log
23.12.2005 12:04 12.278 KB905749.log

4. Log:

Verzeichnis von C:\

22.03.2006 01:56 0 sys.txt
22.03.2006 01:54 16.489 system.txt
22.03.2006 01:53 293 systemtemp.txt
22.03.2006 01:49 112.670 system32.txt
21.03.2006 22:09 535.810.048 hiberfil.sys
21.03.2006 22:09 1.048.576.000 pagefile.sys


Wäre sehr dankbar für euren Rat.
Viele Grüße
Dieser Beitrag wurde am 22.03.2006 um 02:05 Uhr von JorginhoM editiert.
Seitenanfang Seitenende
22.03.2006, 09:17
Member

Themenstarter

Beiträge: 11
#10 "Eigenschaften" >> Click "Stop">> Starttyp "deaktiviert"

Command Service (cmdService)

habe bei starttyp deaktiviert angeklickt, aber auf starten beenden und so habe ich bei dieser datei keinen zugriff.. ist das ein problem? bei der networkmonitor hat es so geklappt wie du meintest.
naja ich mnach jetzt erstmal alles so wieetr, wie du geschrieben hast.
so, habe alle sgemacht, bis zu dem neustarten..dann kam ein 2. problem:
komme nicht in den abgesichten modus.....:-(
was jetzt???? alles nochmal, wenn du mir gleich schreibst wie ich da rein komme?
scheiß pc, könnte heulen.
soll ich nich einfach die festplatte neu formatieren? mein freund hatte sowas erwähnt? wenn ja wie? wenn nciht, wieso?
danke...
ich heul noch ne runde...

AN JORGINHOM:
KANNSTE NICHT DEINEN EIGENEN THREAD ERÖFFNEN... DAS VERWIRRT MICH ECHT TOTAL WENN DU DEINEN DATENBALAST AUCH NOCH HIER ABLÄST.
DANKE.
Dieser Beitrag wurde am 22.03.2006 um 09:45 Uhr von Stephi05 editiert.
Seitenanfang Seitenende
22.03.2006, 11:54
Member

Beiträge: 20
#11 Hallo Stephi05,
war nicht meine Absicht dich zu verwirren.

Ich habe in einem früheren Thread gelesen, das du durch drücken von F8 beim Starten des Computers in den abgesicherten Modus kommst.

Ich habe mich an dem Thread beteiligt, weil in den Benutzerregeln stand man solle nach einem aktuellen Thread zum Thema suchen und sich bei gleicher Problematik daran beteiligen, so hatte ich das zumindestens verstanden. Ich poste aber zum ersten Mal in meinem Leben. Wenn ich was mache, was hier im Forum gegen die Regeln ist oder nicht üblich, dann sagt mir das bitte (Sabina).

Stephi05, ich kann deine Verzweiflung aber gut nachvollzuziehen. Das ist echt ein nerviges Problem.
Viele Grüße
JorginhoM
Seitenanfang Seitenende
22.03.2006, 11:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Stephi05

warum kommst du nicht in den abgesicherten Modus ? F8 druecken, wenn der PC hochfaehrt, dann abgesicherter Modus waehlen --> man muss immer ein bisschen warten, bis es sich oeffnet.
Ansonsten mache alles im Normalmodus...geht auch.
Arbeite einfach alles ab, soweit es klappt und den Rest besorgen dann die Viren- scanner .
Nicht verzweifeln... sooo schlimm ist es nicht ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.03.2006, 12:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 JorginhoM

es ist Platz fuer alle... klar ein eigener Thread waere auch nett gewesenen, aber nun bleib hier ;)

----------------------------------------------------------------------------------

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Spyware Stormer

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

----------------------------------------------------------------------------

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AlfaCleaner.com_is1]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ALFACLEANER]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ALFACLEANERSERVICE]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\System\AlfaCleanerService]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\alfacleaner]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AlfaCleanerService]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_ALFACLEANERSERVICE]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\alfacleaner]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\AlfaCleanerService]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\System\AlfaCleanerService]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ALFACLEANER]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ALFACLEANERSERVICE]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\alfacleaner]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AlfaCleanerService]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System\AlfaCleanerService]
2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\uninstDsk.exe
C:\WINDOWS\warnhp.html
C:\Windows\System32\drivers\hesvc.sys
c:\winstall.exe
C:\WINDOWS\system32\intell321.exe
klicke die "gruene" Ampel im Avenger

das Sript wird nun ausgeführt, dann wird der PC automatisch neustarten

3.
öffne das HijackThis -- Button "scan" -- vor Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [Spyware Stormer] C:\Programme\Spyware Stormer\SpywareStormer.Exe
O4 - HKLM\..\Run: [intell321.exe] C:\WINDOWS\system32\intell321.exe

4.
PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

5.
loeschen/deinstallieren
C:\Programme\AlfaCleaner
C:\Programme\Spyware Stormer

--------------------------------------------------------------------------
6.
- poste den scanbericht vom Avenger

7.
-arbeite bitte smitfraud.fix ab. poste mir das Log von Option 1, dann boote in den abgesicherten Modus, fuehre Option 2 aus und poste mir dann wieder den scanbericht
http://virus-protect.org/artikel/tools/smitfrautfix.html

dann sehen wir weiter (was die Virenscanner berifft)
------------------------------------------------------------------------------

C:\WINDOWS\system32\intell321.exe Infected: Trojan.Win32.Small.ev
http://virus-protect.org/artikel/spyware/alfacleaner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.03.2006, 13:48
Member

Beiträge: 20
#14 Hallo Sabina,
vielen Dank für die Antwort.

Das Ergebnis von regsearch mit search string Spyware Stormer:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 22.03.2006 13:17:53 for strings:
; 'spyware stormer'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Spyware Stormer]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpywareStormer.exe]
@="C:\\Programme\\Spyware Stormer\\SpywareStormer.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Spyware Stormer"="C:\\Programme\\Spyware Stormer\\SpywareStormer.Exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spyware Stormer]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spyware Stormer]
"DisplayName"="Spyware Stormer 1.4.7"
"UninstallString"="C:\\Programme\\Spyware Stormer\\uninst.exe"
"DisplayIcon"="C:\\Programme\\Spyware Stormer\\SpywareStormer.exe"
"NSIS:StartMenuDir"="Spyware Stormer"
"Publisher"="Spyware Stormer Inc."

[HKEY_USERS\S-1-5-21-3730504423-3504440390-693102046-1010\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\Spyware Stormer\\SpywareStormer.Exe"="Spyware Stormer"

; End Of The Log...

1. fixme.reg habe ich angelegt
2. avenger habe ich wie angegeben gestartet, PC-Neustart erfolgte, sagte dann aber, dass er irgendwas nicht finden kann. Das ist das avenger-Log.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\myaeghuw

*******************

Script file located at: vsdesmil

Could not open script file! Error

Could not open script file! Status: 0xc000003b Abort!


Ist das so o.k.?



Ist es später bei Schritt 5 wirklich nötig Spyware Stormer und AlfaCleaner zu löschen? Kann ich das später wieder rückgängig machen?

Viele Grüße
JorginhoM
Seitenanfang Seitenende
22.03.2006, 14:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 JorginhoM

die beiden Tools zerschiessen dir den PC, denn es sind Faketools, die Viren --> W32/Nsag.B und Trojaner !!! mitinstallieren. Ich weiss noch nicht, ob du ums Formatieren drumrumkommst... weil du diesen Muell geladen hast.....

C:\WINDOWS\system32\intell321.exe Infected: Trojan.Win32.Small.ev
http://virus-protect.org/artikel/spyware/alfacleaner.html
Spyware Stormer-->
http://www.spywarewarrior.com/rogue_anti-spyware.htm
--------------------------------------------------------------------------

gehe in die Registry
Start-->Ausfuehren--> regedit
bearbeiten --> suchen --> SpywareStormer

loesche das und alles andere, was du findest.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spyware Stormer

---------------------------------------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .....

C:\WINDOWS\uninstDsk.exe
C:\WINDOWS\warnhp.html
C:\Windows\System32\drivers\hesvc.sys
c:\winstall.exe
C:\WINDOWS\system32\intell321.exe

PC neustarten


3.
öffne das HijackThis -- Button "scan" -- vor Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [Spyware Stormer] C:\Programme\Spyware Stormer\SpywareStormer.Exe
O4 - HKLM\..\Run: [intell321.exe] C:\WINDOWS\system32\intell321.exe

4.
PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

5.
loeschen/deinstallieren
C:\Programme\AlfaCleaner
C:\Programme\Spyware Stormer

6.
-arbeite bitte smitfraud.fix ab. poste mir das Log von Option 1, dann boote in den abgesicherten Modus, fuehre Option 2 aus und poste mir dann wieder den scanbericht
http://virus-protect.org/artikel/tools/smitfrautfix.html

dann sehen wir weiter (was die Virenscanner berifft)
------------------------------------------------------------------------------
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: