Laptop arbeitet nur noch sehr (!) langsam

#0
28.03.2006, 09:19
...neu hier

Beiträge: 10
#1 Hallo,
bin zufällig auf dieses Forum gekommen, und hoffe hier kann mir endlich jemand helfen:

Mein Laptop (1/2 Jahr alt) läuft seit ca einer Woche ungewöhnlich langsam. Es braucht schon mal ca. eine 1/2 Stunde bis er übehaupt komplett hochgefahren ist. Und wenn ich dann auf ein Programm klicke dauert das nochmal 10 min. bis er reagiert. Man kann so zusagen nicht wirklich mit ihm arbeiten.
Leider hab ich nicht viel Ahnung von Computern (Frau ;o)
Ich hab's auch schonmal geschafft verschiedene Virenscanner durchlaufen zu lassen, der zeigt aber "nur" irgendwelche "Warnungen", keine direkten Viren. Und wie ich diese "Warnung" wegbekomme weiß ich auch nicht.
Also, wie ihr seht, alles Mist!
Hoffe es kann mir jemand (verständlich) erklären, was ich tun kann (außer wegschmeisen) ;o)
Seitenanfang Seitenende
31.03.2006, 01:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo zweety ;)

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.03.2006, 19:56
...neu hier

Themenstarter

Beiträge: 10
#3 OK, und wird daraus jemand schlau? ;o)

Logfile of HijackThis v1.99.1
Scan saved at 19:54:39, on 31.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\acer\epm\epm-dm.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
D:\Programme\ICQ\ICQLite.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Vodafone\Vodafone Mobile Connect\VMConnect.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Sonstiges\spyware\highjack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQ\ICQLite.exe -minimize
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DasV] C:\WINDOWS\nxhcnd.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Skjtnc] C:\Program Files\Ynmh\Utvnbrc.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Sonic CinePlayer Quick Launch.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.billingnow.com
O15 - Trusted Zone: http://*.reliablestats.com
O15 - Trusted Zone: http://*.winantispyware.com
O15 - Trusted Zone: http://*.winantivirus.com
O15 - Trusted Zone: http://*.winantiviruspro.com
O15 - Trusted Zone: http://*.winfixer.com
O15 - Trusted Zone: http://*.winnanny.com
O15 - Trusted Zone: http://*.winsoftware.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1D6AAFA-257B-40DF-9908-4612D523B9E1}: NameServer = 139.7.30.125 139.7.30.126
O18 - Protocol: t-mobile - (no CLSID) - (no file)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
Seitenanfang Seitenende
31.03.2006, 23:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 zweety

Einzelne Dateien scannen

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html
http://virusscan.jotti.org/de/

C:\WINDOWS\nxhcnd.exe
C:\Program Files\Ynmh\Utvnbrc.exe

Ergebnisse hier posten

-------------------------------------------------------------------------

1.
deinstalliere oder C:\Programme\AntiVir PersonalEdition Classic oder Symantec...zwei oder drei Virenscanner legen das System lahm.

2.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [DasV] C:\WINDOWS\nxhcnd.exe
O4 - HKLM\..\Run: [Skjtnc] C:\Program Files\Ynmh\Utvnbrc.exe

fixe Spybot, damit es aus dem autostart kommy

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O15 - Trusted Zone: http://*.billingnow.com
O15 - Trusted Zone: http://*.reliablestats.com
O15 - Trusted Zone: http://*.winantispyware.com
O15 - Trusted Zone: http://*.winantivirus.com
O15 - Trusted Zone: http://*.winantiviruspro.com
O15 - Trusted Zone: http://*.winfixer.com
O15 - Trusted Zone: http://*.winnanny.com
O15 - Trusted Zone: http://*.winsoftware.com

PC neustarten

3.
loeschen:
C:\WINDOWS\nxhcnd.exe
C:\Program Files\Ynmh\Utvnbrc.exe
C:\Program Files\Ynmh

4.
stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

5.
Scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.04.2006, 21:26
...neu hier

Themenstarter

Beiträge: 10
#5 Danke, bist super! :o)
Hab das alles so gemacht, wie beschrieben. Hoffe du kannst etwas damit anfangen:


Incident Status Location

Adware:adware/dyfuca Not disinfected C:\Dokumente und Einstellungen\Anne\Internet Optimizer
Potentially unwanted tool:application/winantivirus2006 Not disinfected C:\PROGRAMME\WinAntiVirus Pro 2006
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Anne\Cookies\anne@atwola[1].txt
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Anne\Cookies\anne@2o7[1].txt
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Anne\Cookies\anne@atwola[1].txt
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Anne\Cookies\anne@2o7[1].txt
Potentially unwanted tool:Application/Processor Not disinfected D:\Sonstiges\spyware\smitRem4.exe[Process.exe]
Potentially unwanted tool:Application/Processor Not disinfected D:\Sonstiges\spyware\smitRem\Process.exe
Viele Grüße, Zweety
Seitenanfang Seitenende
02.04.2006, 23:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 zweety ;)

Mit laden von WinAntiVirus Pro 2006 hast du dir den Lappi zerschossen...denn das ist kein Antivirentool, sondern ein Faketool, was dir die Viren/Trojaner erst auf den Rechner schaufelt..............

0.
Gehe in die Registry
Start-Ausfuehren - regedit
bearbeiten - suchen - WA6P_is1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WA6P_is1 - loeschen

Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

bearbeiten - suchen - FWSVC

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_FWSVC\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FWSvc]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FWSVC\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FWSvc]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FWSVC\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FWSvc]

bearbeiten - suchen - FOPN

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FOPN\log]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\FOPN]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN\log]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN\log]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN]

bearbeiten - suchen - WinAntiVirus Pro 2006

alles loeschen, was du findest.

bearbeiten - suchen - WinSoftware

alles loeschen, was du findest.

PC neustarten
----------------------------------------------------------------------------

1.
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

2.
C:\Dokumente und Einstellungen\Anne\Internet Optimizer <--loeschen
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006 <--loeschen

3.
deinstallieren...loeschen
C:\PROGRAMME\WinAntiVirus Pro 2006
http://virus-protect.org/artikel/spyware/winantiviruspro2006.html

4.
counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove --> Status: Deleted
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.04.2006, 20:50
...neu hier

Themenstarter

Beiträge: 10
#7 Alles so gemacht, wie beschrieben.
Hier die results:

Spyware Scan Details
Start Date: 03.04.2006 19:59:18
End Date: 03.04.2006 20:13:38
Total Time: 14 mins 20 secs

Detected spyware

Hotbar Adware (General) more information...
Details: Hotbar Web Tools is a collection of browser and system enhancements. The primary application is the Hotbar toolbar, a which is a "skinable" browser toolbar for Internet Explorer.
Status: Deleted

Infected files detected
c:\persist.dbs
C:\System Volume Information\_restore{37D33619-F280-4C12-ABE8-150D572E846E}\RP66\A0009595.dll
C:\System Volume Information\_restore{37D33619-F280-4C12-ABE8-150D572E846E}\RP66\A0009604.exe
C:\System Volume Information\_restore{37D33619-F280-4C12-ABE8-150D572E846E}\RP66\A0009605.exe

Infected registry entries detected
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping {946B3E9E-E21A-49c8-9F63-900533FAFE14}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping {946B3E9E-E21A-49c8-9F63-900533FAFE15}


IST.PowerScan Adware (General) more information...
Details: PowerScan is advertised through in ordinary web pop-ups, but recently it started to install with help from the the ISTBar adware.
Status: Deleted

Infected files detected
C:\System Volume Information\_restore{37D33619-F280-4C12-ABE8-150D572E846E}\RP60\A0009325.exe


AvenueMedia.InternetOptimizer Browser Plug-in more information...
Details: Internet Optimizer, also known as DyFuCA, is an adware application that hijacks the user's browser error page.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Internet Optimizer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Internet Optimizer SlowInfoCache
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Internet Optimizer Changed 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Internet Optimizer Active Alert
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Internet Optimizer Active Alert SlowInfoCache
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Internet Optimizer Active Alert Changed 0
Seitenanfang Seitenende
04.04.2006, 00:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 zweety

wenn du nun noch mal mit Panda scannst, muesste alles (ausser den Cookies, die nicht so wichtig sind) sauber bleiben ;)
wie laeuft der Rechner ? Schneller ?

TuneUp 2006 (30 Tage free) Shareware
http://virus-protect.org/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.04.2006, 21:11
...neu hier

Themenstarter

Beiträge: 10
#9 Ja, echt, vielen vielen Dank. Er läuft wieder recht gut.
Echt, 10000000 Dank!

Hier nochmal der Scan-Report von Panda:

Da ist noch was außer die cookies, is das noch was?

Incident Status Location

Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Anne\Cookies\anne@atwola[2].txt
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Anne\Cookies\anne@2o7[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Anne\Cookies\anne@as-eu.falkag[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Anne\Cookies\anne@as1.falkag[1].txt
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Anne\Cookies\anne@atwola[2].txt
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Anne\Cookies\anne@2o7[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Anne\Cookies\anne@as-eu.falkag[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Anne\Cookies\anne@as1.falkag[1].txt
Potentially unwanted tool:Application/Processor Not disinfected D:\Sonstiges\spyware\smitRem4.exe[Process.exe]
Potentially unwanted tool:Application/Processor Not disinfected D:\Sonstiges\spyware\smitRem\Process.exe
Seitenanfang Seitenende
05.04.2006, 00:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 zweety

es ist alles in ordnung, dennoch scanne bitte noch mal mit bitdefender (ScanOnline neu) - und poste das log
http://virus-protect.org/onlinescan.html

und berichte, ob es nun besser laueft ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.04.2006, 21:09
...neu hier

Themenstarter

Beiträge: 10
#11 Hast du noch ein anderen Tipp für ein guten Online-Scan, weil der Bitdefender spinnt irgendwie, das get nicht so richtig mit dem.
Seitenanfang Seitenende
05.04.2006, 22:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 auf der seite gibt es noch genug andere scanner ;)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.04.2006, 22:16
...neu hier

Themenstarter

Beiträge: 10
#13 Sieht das jetzt gut aus?:

Also laufen tut er jetzt eigentlich wieder normal!
Bis auf was noch komisch ist: Manche Web-Sites bauen sich nur teilweise auf (speziell ebay) Da fehlt dann eben die Hälfte, aber man kann mit ihr arbeiten. Komisch...

Results vom Onlinescan:

C:\Dokumente und Einstellungen\Tilo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\09FE467R\send_car_int[1].htm Exploit.HTML.CodeBaseExec(?)

C:\System Volume Information\_restore{37D33619-F280-4C12-ABE8-150D572E846E}\RP79\A0019139.exe Trojan-Downloader.Win32.Dyfuca.ei

C:\System Volume Information\_restore{37D33619-F280-4C12-ABE8-150D572E846E}\RP79\A0019140.exe Trojan.Win32.Small.cy

C:\System Volume Information\_restore{37D33619-F280-4C12-ABE8-150D572E846E}\RP79\A0019142.exe Trojan-Downloader.Win32.Dyfuca.dp

C:\System Volume Information\_restore{37D33619-F280-4C12-ABE8-150D572E846E}\RP79\A0019143.exe Trojan-Downloader.Win32.Dyfuca.ei

C:\System Volume Information\_restore{37D33619-F280-4C12-ABE8-150D572E846E}\RP79\A0019146.exe Trojan-Downloader.Win32.Dyfuca.ei

C:\System Volume Information\_restore{37D33619-F280-4C12-ABE8-150D572E846E}\RP79\A0019147.exe Trojan-Downloader.Win32.Dyfuca.ei

C:\System Volume Information\_restore{37D33619-F280-4C12-ABE8-150D572E846E}\RP79\A0019148.exe Trojan-Downloader.Win32.Dyfuca.ei

C:\System Volume Information\_restore{37D33619-F280-4C12-ABE8-150D572E846E}\RP79\A0019149.dll Trojan-Downloader.Win32.Dyfuca.gen

C:\System Volume Information\_restore{37D33619-F280-4C12-ABE8-150D572E846E}\RP79\A0019150.exe Trojan-Downloader.Win32.IstBar.gen

C:\System Volume Information\_restore{37D33619-F280-4C12-ABE8-150D572E846E}\RP79\A0019151.exe Trojan-Downloader.Win32.IstBar.ij

C:\System Volume Information\_restore{37D33619-F280-4C12-ABE8-150D572E846E}\RP79\A0019152.exe Trojan-Downloader.Win32.IstBar.oe

C:\System Volume Information\_restore{37D33619-F280-4C12-ABE8-150D572E846E}\RP79\A0019153.exe Trojan-Downloader.Win32.IstBar.oe
Seitenanfang Seitenende
07.04.2006, 00:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 zweety

1.
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

2.
loesche:
C:\Dokumente und Einstellungen\Tilo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\09FE467R

3.
noch mal mit Cleanup arbeiten...im abgesicherten Modus anwenden !
http://virus-protect.org/cleanup.html

4.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

5.
dann scanne mit Panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.04.2006, 17:10
...neu hier

Beiträge: 4
#15 Hab zwar nen PC, aber das gleiche Problem und denke, dass es gleich funktionieren sollte..

@Sabina
Hoffe, du kannst mir auch helfen..;)

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 17:07:09, on 18.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit 2006\AVKService.exe
C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Simone\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de-ch\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de-ch\msntb.dll
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126172588921
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128345888578
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2006\AVKWCtl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
BIG THX im Voraus!

so far
Dieser Beitrag wurde am 18.04.2006 um 18:46 Uhr von xakio editiert.
Seitenanfang Seitenende