jemand Hijackt meinen PC

#0
10.05.2006, 22:02
...neu hier

Beiträge: 5
#1 Hallo Leute...

Zuerst möchte ich ein riesen Lob aussprechen !!!
Wie ihr den Leuten hilft, ist einfach klasse. Vorallem wenn man null Ahnung von PC hatt und zudem noch beim Hersteller wie beim Antivirus Hersteller auf taube Ohren stosst...wie ich !

Nun zu meinen Problemen:

1) Ich muss mein PC, bevor ich ihn benutzen kann, vier bis fünf mal aufstarten. Sobald sich in meinen Profil sich windows hochfährt bleibt er mitten bei der Arbeit stehen. Soll heissen : Die "Taskbar" lädt sich nicht. Da ist anstelle von meinen "Ikonen" wie die von Word und Excell ist da ein blauer Balken. Ich kann auch danach nichts mehr öffnen. Wenn ich dann noch den Mausepfeil auf die "Taskbar" bewege erscheint da die Sanduhr die auch nicht mehr weggeht...auch nach stunden nicht !!¨
Das einzige was mir dann noch übrig bleibt, ist auf den "AUS" knopf zu drücken. Das ganze muss ich dann vier bis fünf mal wiederholen bis ich mein PC benutzen kann.

2) Als ich neulich in meinem "FIREWALL" rumstöberte fand ich volgendes:

"Ein Computer mit IP 213.244.183.210 hat versucht eine verbindung zu ihrem Computer über Port TCP2078 herzustellen"

Auserdem listete Firewall eine Europakarte auf auf der die verbindung zu sehen war. Demnach soll sich die oben genannte IP Adresse in "KOBENHAVN" (Schweden) befinden. Dann fürt die verbindung über drei Standorte: Amsterdam, Frankfurt am Main und Wien.


3) Ist mir wegen Problem Nr 2) aufgefallen. Ich spiele ab und zu ein Online Billiard Game, das "CADOM 3D" heisst. Da ich in der Schweiz wohne, ist in diesem Spiel auch automatisch die Schweizer Fahne angegeben. Doch seit einiger Zeit ist da anstelle der Schweizer- die Schwedische Fahne abgebildet...

Da ist nun mein PC skan :

---------------------------------------------------------------------------
Windows\System32

09.05.2006 20:38 78'432 Status.MPF
29.04.2006 11:36 2'206 wpa.dbl
27.04.2006 00:55 126'976 Agent.dll
25.04.2006 01:43 455'590 perfh00C.dat
25.04.2006 01:43 391'020 perfh009.dat
25.04.2006 01:43 67'414 perfc00C.dat
25.04.2006 01:43 56'200 perfc009.dat
25.04.2006 01:43 981'416 PerfStringBackup.INI
25.04.2006 00:56 4'104 ikhcore.log
20.04.2006 20:32 131'072 datestamp.dll
19.04.2006 02:38 151'584 FNTCACHE.DAT
10.04.2006 13:00 555'824 LegitCheckControl.DLL
06.04.2006 21:48 5'143'456 MRT.exe
30.03.2006 11:26 1'492'992 shdocvw.dll
30.03.2006 03:16 17'920 xpsp3res.dll
23.03.2006 22:35 3'074'560 mshtml.dll
18.03.2006 13:09 615'424 urlmon.dll
17.03.2006 11:11 679'424 inetcomm.dll
17.03.2006 06:07 8'508'416 shell32.dll
17.03.2006 02:38 28'672 verclsid.exe

---------------------------------------------------------------------------

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 6868-694F

R‚pertoire de C:\DOCUME~1\TONY~1.PRI\LOCALS~1\Temp

09.05.2006 20:48 206 jusched.log
1 fichier(s) 206 octets
0 R‚p(s) 130'641'035'264 octets libres


---------------------------------------------------------------------------

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 6868-694F

R‚pertoire de C:\

09.05.2006 20:53 0 sys.txt
09.05.2006 20:52 8'119 system.txt
09.05.2006 20:51 306 systemtemp.txt
09.05.2006 20:49 97'197 system32.txt
09.05.2006 20:42 3'207 smitfiles.txt
09.05.2006 20:37 1'071'796'224 hiberfil.sys
09.05.2006 20:37 1'610'612'736 pagefile.sys
01.05.2006 14:09 3'375 LGSInst.Log
25.04.2006 01:40 16 h.txt
09.10.2005 02:13 4'128 INFCACHE.1
07.10.2005 23:55 192 BcBtRmv.log
07.10.2005 12:32 216 boot.ini
29.09.2005 11:32 4'322 dell.sdr
20.08.2004 11:37 0 IO.SYS
20.08.2004 11:37 0 CONFIG.SYS
20.08.2004 11:37 0 MSDOS.SYS
20.08.2004 11:37 0 AUTOEXEC.BAT
05.08.2004 13:00 4'952 Bootfont.bin
05.08.2004 13:00 47'564 NTDETECT.COM
05.08.2004 13:00 251'712 ntldr
20 fichier(s) 2'682'834'266 octets
0 R‚p(s) 130'640'936'960 octets libres

---------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 19:56:34, on 09.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sitecom\Logiciel Bluetooth\bin\btwdins.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Program Files\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\McAfee.com\VSO\mcvsshld.exe

?????????????????????

---------------------------------------------------------------------------

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 6868-694F

R‚pertoire de C:\WINDOWS

09.05.2006 20:43 1'436 setupact.log
09.05.2006 20:38 1'329'125 WindowsUpdate.log
09.05.2006 20:38 0 0.log
09.05.2006 20:37 159 wiadebug.log
09.05.2006 20:37 50 wiaservc.log
09.05.2006 20:37 2'048 bootstat.dat
09.05.2006 20:35 32'366 SchedLgU.Txt
01.05.2006 20:18 606'539 setupapi.log
27.04.2006 01:29 45'514 iis6.log
27.04.2006 01:29 111'147 comsetup.log
27.04.2006 01:29 126'491 tsoc.log
27.04.2006 01:29 68'218 ntdtcsetup.log
27.04.2006 01:29 1'374 imsins.log
27.04.2006 01:29 17'400 ocmsn.log
27.04.2006 01:29 11'773 KB900485.log
27.04.2006 01:29 174'178 ocgen.log
27.04.2006 01:29 16'113 msgsocm.log
27.04.2006 01:29 319'846 FaxSetup.log
27.04.2006 01:29 29'145 KB908531.log
24.04.2006 23:42 1'917 imsins.BAK
24.04.2006 21:47 26 NeoSetup.INI
23.04.2006 03:12 9'743 WGA.log
22.04.2006 20:41 4'419 HPOins07.log
22.04.2006 20:30 2'728 DevMgr.ini
20.04.2006 03:04 2'181 spupdsvc.log
20.04.2006 03:04 40'924 wmsetup.log
20.04.2006 03:01 27'542 updspapi.log
20.04.2006 03:01 18'438 KB911562.log
20.04.2006 03:01 19'831 KB912812.log
20.04.2006 03:00 19'541 KB911565.log
20.04.2006 03:00 12'085 KB911567.log
20.04.2006 00:22 919 win.ini
15.04.2006 04:58 1'460 IE4 Error Log.txt
10.04.2006 14:04 6'400 balloon.wav
25.02.2006 03:25 11'894 KB911927.log
25.02.2006 03:25 8'176 KB911564.log
25.02.2006 03:24 8'023 KB913446.log
03.02.2006 14:53 478'720 WRUninstall.dll
12.01.2006 04:00 9'988 KB908519.log
06.01.2006 14:12 10'948 KB912919.log
27.12.2005 18:42 121 GEARInstall.log
27.12.2005 18:12 1'065 winamp.ini
16.12.2005 04:00 10'411 KB910437.log
16.12.2005 04:00 16'426 KB905915.log
27.11.2005 21:22 380 wmsetup10.log



Ich Hoffe dass ich nichts vergessen habe...bin eben nicht so der Champ mit Computer....Ach ja, mein Windows ist in Französisch, gibt mir bescheid wenn ihr etwas nicht versteht.

Nochmalls: Ihr könnt euch gar nicht vorstellen wie sehr ich eure Hilfe schätze und bin sehr Dankbar für jede Antwort ;o)

Herzliche Grüsse Tony
Seitenanfang Seitenende
12.05.2006, 12:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 baila

1.
kopiere bitte das komplette Log vom HijackThis hier. (nicht nur die Haelfte)
hier ist ein Wareout auf dem System..und ich muss alles sehen.

2.
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next

kopiere das Log ab und poste es hier
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.05.2006, 21:59
...neu hier

Themenstarter

Beiträge: 5
#3 Hallo Sabina,

Herzlichen Dank für deine rasche Antwort ;o)

Tut mir leid wegem dem HijackThis Log habe wohl was vermaselt hier ist es nun:



Logfile of HijackThis v1.99.1
Scan saved at 19:56:34, on 09.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Sitecom\Logiciel Bluetooth\bin\btwdins.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Program Files\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\McAfee.com\VSO\mcvsshld.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\system32\rundll32.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Program Files\Nokia\Nokia PC Suite 6\Launch Application 2.exe
C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Program Files\McAfee.com\VSO\oasclnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Program Files\License_Manager\license_manager.exe
C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Sitecom\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Hewlett-Packard\AiO\hp officejet 7100 series\Bin\hpogrp07.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\Program Files\Messenger\msmsgs.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\TONY~1.PRI\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis[1].zip\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: localhost 127.0.0.1
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [DMXLauncher] C:\Program Files\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [BuildBU] c:\dell\bldbubg.exe
O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [License Manager] "C:\Program Files\License_Manager\license_manager.exe " /silent
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\WINSOS\WINSOS.EXE" MINI
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: HPAiODevice(hp officejet 7100 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet 7100 series\Bin\hpogrp07.exe
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Sitecom\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Sitecom\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Program Files\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Program Files\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {21C5F317-4F3F-11D3-AEC7-00C04F610D45} (EDrawingView Class) - http://www.3diw.com/InstantWebsite/CABFiles/eDrawings/eDwControl.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://ssl.tele2.com/inc/accounthelper.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{40BD7782-FE0C-43AE-81F7-A5AAD4D40F6B}: NameServer = 85.255.116.85
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D352AC6-2EE5-4ADB-8C23-2539598542D7}: NameServer = 85.255.116.85
O17 - HKLM\System\CCS\Services\Tcpip\..\{780967F9-CD99-4FD2-BB8E-FEAEF61D05E8}: NameServer = 85.255.116.85
O17 - HKLM\System\CCS\Services\Tcpip\..\{8EAAE454-EEB8-4153-A1CD-7FFE98F4D202}: NameServer = 85.255.116.85
O17 - HKLM\System\CCS\Services\Tcpip\..\{C10B17BD-18EE-4022-80C9-2F055F56F48A}: NameServer = 85.255.116.85

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Program Files\Sitecom\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe



Wegen f-secure Blacklight:

Bei der Instalation vorderte blacklight die desinstalation von McAfee und Firewall...soll ich das wirklich tun ?


Ps: Habe ich letzdes mal vergessen zu erwähnen:

Wen ich bei google z.b. eine suche starte, nach einer Firma z.b. dann lande ich nicht bei der gewünschten Firma, sondern direkt auf ein anderes suchportal...vielleicht kann dier das weiter helfen.

Vielen Herzlichen Dank nochmals für deine grosse Hilfe.
Seitenanfang Seitenende
13.05.2006, 00:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 baila

das ist der UnSpyPC ..ich weiss nicht, was dich gebissen hat, das zu installieren....
deine Internetverbindung geht nun in die Ukraine.............

o
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next (nichts weiter..nichts umbennen, nichts deinstalieren..nur den report posten !

1.
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html
poste dieses Log

2.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

UnSpyPC

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.05.2006, 17:40
...neu hier

Themenstarter

Beiträge: 5
#5 Hallo Sabina,

Hatte in letzter Zeit wieder riessen Schwierigkeiten meinen Pc hochzustarten...



Wie von dier verlangt:


C:\Documents and Settings\Tony.PRITO\Local Settings\Temp\Répertoire temporaire 1 pour RootkitRevealer[1].zip 13.05.2006 18:31 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Tony.PRITO\Local Settings\Temporary Internet Files\Content.IE5\UK6XNC1C\wbk13.tmp 13.05.2006 18:26 1.30 KB Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Tony.PRITO\Local Settings\Temporary Internet Files\Content.IE5\UK6XNC1C\wbk16.tmp 13.05.2006 18:26 1.30 KB Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Tony.PRITO\Local Settings\Temporary Internet Files\Content.IE5\UKSGW9I1\fs2006f[1].exe 13.05.2006 18:26 60.40 MB Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\Tony.PRITO\Local Settings\Temporary Internet Files\Content.IE5\UKSGW9I1\fs2006f[1].exe:Zone.Identifier 13.05.2006 18:26 26 bytes Visible in Windows API, but not in MFT or directory index.





Und:




REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 13.05.2006 19:24:27 for strings:
; 'unspypc'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\McafeeToDel]
"c:\\program files\\UnSpyPC"="TOCLEAN"

[HKEY_LOCAL_MACHINE\SOFTWARE\UnSpyPC]

[HKEY_LOCAL_MACHINE\SOFTWARE\UnSpyPC]
"Install_Dir"="C:\\Program Files\\UnSpyPC"

[HKEY_USERS\S-1-5-21-527289541-378793274-4280154120-1007\Software\Microsoft\Internet Explorer\Extensions\{BF69DF00-4734-477F-8257-27CD04F88779}]
"Icon"="C:\\Program Files\\UnSpyPC\\uns.ico"
"HotIcon"="C:\\Program Files\\UnSpyPC\\uns.ico"
"Exec"="C:\\Program Files\\UnSpyPC\\UnSpyPC.exe"

[HKEY_USERS\S-1-5-21-527289541-378793274-4280154120-1007\Software\UnSpyPC]

[HKEY_USERS\S-1-5-21-527289541-378793274-4280154120-1007\Software\UnSpyPC\Options]

; End Of The Log...




Das mit UnSpyPc ist mir neu...wusste gar nicht das es auf meiner Festplatte war...?!?!


Das mit f-Secure-Beta bekomm ich einfach nicht hin...auf deinem Link find ich kein "Beta", sondern "nur" das f-secure internet security. Wenn ich dann lätzteres downloade, dann gibt es mir die Wahl:

"Drücken sie weiter um McAfee zu desinstallieren und f-secure zu installieren"

Das f-secure gibt mir keine andere wahl...entweder oder...


herzlichen Dank und bis bald.
Seitenanfang Seitenende
20.05.2006, 20:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 baila

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\UnSpyPC]
[-HKEY_USERS\S-1-5-21-527289541-378793274-4280154120-1007\Software\Microsoft\Internet Explorer\Extensions\{BF69DF00-4734-477F-8257-27CD04F88779}]
[-HKEY_USERS\S-1-5-21-527289541-378793274-4280154120-1007\Software\UnSpyPC]
[-HKEY_USERS\S-1-5-21-527289541-378793274-4280154120-1007\Software\UnSpyPC\Options]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UnSpyPC]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=-
"System"=""
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoBandCustomize"=-
-----------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .........

C:\Documents and Settings\Tony.PRITO\Local Settings\Temporary Internet Files\Content.IE5\UK6XNC1C\wbk13.tmp
C:\Documents and Settings\Tony.PRITO\Local Settings\Temporary Internet Files\Content.IE5\UK6XNC1C\wbk16.tmp
C:\Documents and Settings\Tony.PRITO\Local Settings\Temporary Internet Files\Content.IE5\UKSGW9I1\fs2006f[1].exe
C:\WINDOWS\balloon.wav
C:\Program Files\UnSpyPC\uns.ico
C:\Program Files\UnSpyPC\UnSpyPC.exe

PC neustarten..in den abgesicherten Modus

-----------------------------------------------------------------

**
die fixme.reg doppeltklicken und der Registry beifuegen.

**
C:\Program Files\UnSpyPC <<--loeschen

**
Start > Programme > Zubehör > Systemprogramme >
Datenträgerbereinigung
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k


-----------------------------------------------------------------

starte wieder in den normalmodus

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O1 - Hosts: localhost 127.0.0.1
O8 - Extra context menu item: &Search - http://ko.bar.need2find.com/KO/menusearch.html?p=KO
O9 - Extra button: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Program Files\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Scan and protect your PC - {BF69DF00-4734-477F-8257-27CD04F88779} - C:\Program Files\UnSpyPC\UnSpyPC.exe (file missing) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{40BD7782-FE0C-43AE-81F7-A5AAD4D40F6B}: NameServer = 85.255.116.85
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D352AC6-2EE5-4ADB-8C23-2539598542D7}: NameServer = 85.255.116.85
O17 - HKLM\System\CCS\Services\Tcpip\..\{780967F9-CD99-4FD2-BB8E-FEAEF61D05E8}: NameServer = 85.255.116.85
O17 - HKLM\System\CCS\Services\Tcpip\..\{8EAAE454-EEB8-4153-A1CD-7FFE98F4D202}: NameServer = 85.255.116.85
O17 - HKLM\System\CCS\Services\Tcpip\..\{C10B17BD-18EE-4022-80C9-2F055F56F48A}: NameServer = 85.255.116.85

PC neustarten


-----------------------------------------------------------------

**
erstelle eine neue Internetverbindung

**
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

**
Download FixWareout
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt

+
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.06.2006, 17:54
...neu hier

Themenstarter

Beiträge: 5
#7 Hallo Sabina...

Mein Pc Spielt verrückt in letzter Zeit...quasi unmöglich ihn hoch zu starten.

Leider finde ich keinen editor unter: Start...zubehör...nur notepade..meintest du das...?? auch unter "suchen" finde ich keinen Editor. Nur unter "regedit.exe" finde ich so was wie ein "Editor" es sind jedoch mehrere Editoren und ich wüsste auch nicht wo ich dort deinen Text eintragen soll.

Ich weiss...bin heikel, doch leider verstehe ich nicht viel über PC's... bitte hilf mir..

Herzlichen Dank im voraus...

PS: Bin leider gezwungen mein PC 24h/24h anzulassen da es ansonnsten wieder ein dilema wird beim hochstarten..
Seitenanfang Seitenende
28.06.2006, 21:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 der Editor ist das notepad ....

-------------------------------------------------------------------

wenn der Rechner noch nicht gesaeubert ist, dann ist es logisch, dass du schwere Probleme hast.
Das beste in deinem Fall waere, zu formatieren.
Bitte jemanden, der was davon versteht dass er dir hilft.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.07.2006, 23:55
...neu hier

Themenstarter

Beiträge: 5
#9 Hallöchen Sabine...leider kenn ich hier keinen der etwas davon versteht. Na ja ich habe auf jedem fall die schnautze voll von Internet, Hacker, Virus,Troyaner und was sonst noch so rumschleicht mein PC bleibt ne zeit lang tot.

Ich möchte mich trotzem Herzlich bei dir bedanken, ich kann es nur immer wiederholen: was ihr da tut ist absolute klasse !!!

So, ich gehe mal nicely spenden...
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: