Download eines Mediacenter codecs... pop-ups im windows etc.

#0
13.05.2006, 15:52
...neu hier

Beiträge: 7
#1 HI! ich habe ein kleines Problem... Mein Rechner war (meines wissens nach) immer sauber, zumindest habe ich alles wegbekommen, was ich hatte.
ABER:
Irgendjemand mustse ja was tolles herunterladen
und zwar irgendein mediacenter-codec (leider habe ich die setup-datei schon gelöscht) aber so hieß das.. (war wohl von einer pron seite... keine ahnung)

weiter erläuterungen siehe ganz unten


hijackthislog

Logfile of HijackThis v1.99.1
Scan saved at 15:28:44, on 13.05.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\dcomcfg.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\cmd.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Steffen\LOKALE~1\Temp\Rar$EX00.406\HijackThis.exe

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hp8E74.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [D066UUtility] C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120838197046
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_04) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDC603C2-6A5C-483A-BEBA-36C4741B3B4C}: NameServer = 212.95.97.144 212.95.108.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5E88968-91DD-4299-9C0E-0ACA29BBA156}: NameServer = 212.95.97.66
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

system32.txt (1.log)
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C38-C52E

Verzeichnis von C:\WINDOWS\system32

13.05.2006 15:22 6.144 simpole.tlb
13.05.2006 15:22 30.208 hp8E74.tmp
13.05.2006 15:22 32.781 ld8E36.tmp

13.05.2006 15:21 384 DVCState-{00000000-00000000-00000006-00001102-00000004-20021102}.dat
13.05.2006 15:21 1.080 settingsbkup.sfm
13.05.2006 15:21 1.080 settings.sfm
13.05.2006 15:21 30.888 BMXState-{00000000-00000000-00000006-00001102-00000004-20021102}.rfx
13.05.2006 15:21 30.888 BMXStateBkp-{00000000-00000000-00000006-00001102-00000004-20021102}.rfx
13.05.2006 15:21 30.528 BMXCtrlState-{00000000-00000000-00000006-00001102-00000004-20021102}.rfx
13.05.2006 15:21 384 DVCStateBkp-{00000000-00000000-00000006-00001102-00000004-20021102}.dat
13.05.2006 15:21 30.528 BMXBkpCtrlState-{00000000-00000000-00000006-00001102-00000004-20021102}.rfx
13.05.2006 15:17 4.976 stdole3.tlb
13.05.2006 11:06 43.573 nvapps.xml

12.05.2006 11:49 2.184 wpa.dbl
10.05.2006 17:42 48.640 dcomcfg.exe
08.05.2006 14:10 3.002 CONFIG.NT
08.05.2006 13:19 4.286 ot.ico
08.05.2006 13:12 41.997 regperf.exe

27.04.2006 19:50 597.504 aswBoot.exe
27.04.2006 19:42 90.112 AVASTSS.scr
27.03.2006 11:06 98.304 CmdLineExt.dll
26.03.2006 13:05 104.624 FNTCACHE.DAT
07.03.2006 10:48 120.872 MSForms.TWD
13.02.2006 14:20 1.919 AUTOEXEC.NT
06.02.2006 14:38 6 reboot.txt


systemtemp.txt (2.log)
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C38-C52E

Verzeichnis von C:\DOKUME~1\Steffen\LOKALE~1\Temp

13.05.2006 15:29 49.152 ~DF93AF.tmp
13.05.2006 15:21 49.152 ~DF6035.tmp
11.05.2006 00:01 49.152 ~DF1D94.tmp
10.05.2006 16:52 122 8A56EAB7.TMP
09.05.2006 21:44 90.112 ~E7.tmp
08.05.2006 20:58 49.152 ~DF1493.tmp
08.05.2006 20:55 90.112 ~10.tmp
08.05.2006 17:31 90.112 ~35.tmp
08.05.2006 15:29 49.152 ~DF251A.tmp
08.05.2006 15:19 49.152 ~DFBDD2.tmp
08.05.2006 13:19 10.036 temp.frAC4C


system.txt (3.log)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C38-C52E

Verzeichnis von C:\WINDOWS

13.05.2006 15:22 4.936.358 {00000000-00000000-00000006-00001102-00000004-20021102}.CDF
13.05.2006 15:22 0 0.log
13.05.2006 15:22 159 wiadebug.log
13.05.2006 15:22 2.048 bootstat.dat
13.05.2006 15:21 50 wiaservc.log
13.05.2006 14:03 1.252.703 setupapi.log
09.05.2006 19:52 4.936.358 {00000000-00000000-00000006-00001102-00000004-20021102}.BAK
09.05.2006 10:09 116 NeroDigital.ini
08.05.2006 11:25 3.287 tm.ini
08.05.2006 11:13 118 tdf.dii
04.05.2006 16:11 165.235 DirectX.log
04.05.2006 11:01 1.404 pstudio.ini
04.05.2006 11:01 28 album.ini
03.05.2006 12:39 569.984 WindowsUpdate.log
03.05.2006 12:34 35 A4W.INI
22.04.2006 14:51 184.365 setupact.log
21.04.2006 18:39 121 GEARInstall.log
18.04.2006 10:01 7.680 Steffen.pcb
16.04.2006 12:54 6.144 ArtGalry.cag
13.04.2006 13:06 22 OP70.INI
13.04.2006 12:50 10 PSTUDIO.SN
03.04.2006 17:01 13.846 ModemLog_Motorola USB Modem #2.txt
06.03.2006 12:42 149 wsdu.log
06.03.2006 12:42 254 UPGRADE.TXT
06.03.2006 12:39 89 WINNT32.LOG
06.03.2006 12:38 178 DHCPUPG.LOG
06.03.2006 12:35 1.476 IE4 Error Log.txt
22.02.2006 17:25 558 SchedLgU.Txt
14.02.2006 08:57 504 win.ini
14.02.2006 08:57 246 system.ini
13.02.2006 14:46 39.925 CFSETUP.TXT
13.02.2006 14:38 3.442 ModemLog_cFos DSL, Internet, PPPoE.txt
12.02.2006 16:43 15.851 Codec Pack - All In 1 Setup Log.txt
12.02.2006 16:41 737.280 iun6002.exe

sys.txt (4.log wenn ich mich nicht irre)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C38-C52E

Verzeichnis von C:\

13.05.2006 15:33 0 sys.txt
13.05.2006 15:32 8.855 system.txt
13.05.2006 15:30 11.681 systemtemp.txt
13.05.2006 15:25 103.929 system32.txt
13.05.2006 15:22 1.207.959.552 pagefile.sys
08.03.2006 09:23 265 boot.ini
14.02.2006 08:57 194 BOOT.BAK
12.02.2006 16:45 71.194 avi_log.txt
11.10.2005 18:55 0 DBS.TXT
02.02.2002 12:40 0 MSDOS.SYS
02.02.2002 12:40 0 CONFIG.SYS
02.02.2002 12:40 0 AUTOEXEC.BAT
02.02.2002 12:40 0 IO.SYS
18.08.2001 14:00 451.339 txtsetup.sif
18.08.2001 14:00 45.124 NTDETECT.COM
18.08.2001 14:00 4.952 bootfont.bin
18.08.2001 14:00 224.032 ntldr
18.08.2001 14:00 238.880 $LDR$
18 Datei(en) 1.209.119.997 Bytes
0 Verzeichnis(se), 2.050.850.816 Bytes frei




Mein Virenscanner erkennt diese trojaner, kann sie aber nicht entfernen !!

C:\WINDOWS\System32\1024\ldDDEF.tmp\[Upack]
C:\WINDOWS\System32\atmclk.exe\[Upack]
C:\WINDOWS\System32\1024\ldABAF.tmp\[UPX]


1. Im Windows tauch(t)en pop-ups auf, also außerhalb des browsers. Im IE (der ja eigentlich unbenutzt bleibt) werde ich immer auf die seite : http://www.securityuptodate.com weitergeleitet (muss ich aber auch irgendiwe im moemnt unterbeunden haben... keine ahnung wie.. ;)
2. im spybot kann ich nicht mehr das kästchen zur blockierung von bedrohlichen downloads für den IE nicht mehr aktivieren
3. zeigt mein avast antiviren scanner die oben gezigten infizierungen...
4. in meinem download ordner befinden sich urplötzlich dateien, die ich im leben nicht heruntergladen habe: im moment sind sie im papierkorb. und zwar:
LimeWireWin.exe
StubInstaller.exe
5. ich hatte 2 desktopicons (leider hat die jemand anderes gelöscht) sahen aber wie das icon vom security-center soweit ich das richtig erkannt habe (besitze es nämlich nicht)
6. ach ja ich bekam auch immer (in letzter zeit nicht?) ein kleines gelbes ausrufezeichen und in der taskleiste neben der uhr.. wenn ich darauf klickte, kam immer ein fenster mit "Ihr Computer ist infiziert laden sie sich das und das runter" (natürlich auf englisch)
zum glück habe ich das nicht gemacht


Kann mir einer dabei helfen??

habe schon so einiuge sachen probiert, aber weder avast, adaware noch spybot können was machen...

danke für jede hilfe
Seitenanfang Seitenende
13.05.2006, 19:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Zieji

Laden und alles auf dem Desktop entpacken:

*) spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg

*) CleanUp --> http://www.stevengould.org/downloads/cleanup/CleanUp40.exe

*) Killbox http://www.bleepingcomputer.com/files/killbox.php -> [Anleitung: http://virus-protect.org/killbox.html

*) SmitRem2.8 --> http://noahdfear.geekstogo.com/click%20counter/click.php?id=1
Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok
-----------------------

Killbox
Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ....

Zitat

C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\hp8E74.tmp
C:\WINDOWS\system32\ld8E36.tmp
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\regperf.exe
neustarten

**
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hp8E74.tmp

fixe auch das, denn es "behindert die reinigungsaktionen)
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
**
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). http://www.bsi.bund.de/av/texte/wiederher.htm

**
Die Datei "spyfalcon.reg" auf dem Desktop doppelklicken --> und mit "ja"/"yes" der Registry beifügen

**
öffne smitRem --> Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal

**
Datenträgerbereinigung: und Löschen der Temporary-Dateien
Start - Ausführen - cleanmgr (reinschreiben)
Klick: Temporäre Internet Files/Temporäre Internet Dateien -> o.k.
Klick: Temporäre Dateien -> o.k

**
CleanUp anwenden

--------

boote wieder in den Normalmodus

**
deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

**
scanne mit superantispyware (free)
http://virus-protect.org/artikel/tools/superantispyware.html

und berichte ;) + denke mal ueber die WindowsUpdates nach...............
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.05.2006, 20:00
...neu hier

Themenstarter

Beiträge: 7
#3 danke... werdsch ma machen...

jop windows-update... da fällt man glatt vom glauben ab.. die habe ich glatt vergessen.....

werde morgen wied reinschreiben wie es gelaufen ist..
Seitenanfang Seitenende
13.05.2006, 20:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 schreib , wenn Probleme auftreten und schreib auch, wenn alles wieder sauber ist ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.05.2006, 17:09
...neu hier

Themenstarter

Beiträge: 7
#5 okay ich habe folgendes problem bei killbox:

ich habe diese datei nicht: C:\WINDOWS\system32\hp8E74.tmp

aber diese: C:\WINDOWS\system32\hp9874.tmp

genauso verhält sich bei dieser datei: C:\WINDOWS\system32\ld8E36.tmp

da habe ich diese C:\WINDOWS\system32\ld9ae8.tmp

C:\WINDOWS\system32\stdole3.tlb

bei der datei habe ich stdole 2 und 3 und 32 ..

bei dieser datei habe ich folgende "mehrdateien": C:\WINDOWS\system32\dcomcfg.exe (gelöscht nach anleitung)
und
C:\WINDOWS\system32\dcomcnfg.exe


soll ich die dateien, die ähnlich heißen anstatt der anderen oder ebenfalls löschen???

is ja n systemordenr.. kein bock da was falsches zu löschen
Seitenanfang Seitenende
14.05.2006, 19:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 um die tmp -Dateien brauchst du dich nicht zu sorgen, das erledigt dann smitrem.
(ich haette sie garnicht mit zum Loeschen anzugeben brauchen)
ansonsten loesche alles, wie angegeben...falls es dann noch andere Dateien geben sollte, ueberpruefe ich es zum Schluss mit der datfindbat

C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\regperf.exe

---------------------

C:\WINDOWS\system32\dcomcnfg.exe -> habe ich nicht gesehen,..NICHT LOESCHEN
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.05.2006, 20:31
...neu hier

Themenstarter

Beiträge: 7
#7 kein problem, die schriebt sich neu, habe ich festgestellt (also die dcomcnfg.exe)

also ansonsten hat alles wunderbar geklappt.. habe mir ne neue firewall zugelegt (zone alarm) und nen neuen virenscanner(antivir)... dieses avast zeug hat mich nicht so überzeugt..

nun ist im moment erstmal alles okay... hier meine neuen logs:


hijackthislog

Logfile of HijackThis v1.99.1
Scan saved at 20:31:19, on 14.05.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Steffen\LOKALE~1\Temp\Rar$EX00.422\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [D066UUtility] C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120838197046
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_04) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDC603C2-6A5C-483A-BEBA-36C4741B3B4C}: NameServer = 212.95.97.144 212.95.108.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5E88968-91DD-4299-9C0E-0ACA29BBA156}: NameServer = 212.95.97.66
O20 - Winlogon Notify: SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

edit Sabina


system32.txt (1.log)


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C38-C52E

Verzeichnis von C:\WINDOWS\system32

14.05.2006 18:25 0 NvApps.xml
14.05.2006 18:25 16.832 amcompat.tlb
14.05.2006 18:25 23.392 nscompat.tlb
14.05.2006 18:25 25.065 wmpscheme.xml
14.05.2006 18:24 104.624 FNTCACHE.DAT
14.05.2006 18:24 30.888 BMXState-{00000000-00000000-00000006-00001102-00000004-20021102}.rfx
14.05.2006 18:24 30.528 BMXBkpCtrlState-{00000000-00000000-00000006-00001102-00000004-20021102}.rfx
14.05.2006 18:24 30.888 BMXStateBkp-{00000000-00000000-00000006-00001102-00000004-20021102}.rfx
14.05.2006 18:24 1.080 settings.sfm
14.05.2006 18:24 384 DVCStateBkp-{00000000-00000000-00000006-00001102-00000004-20021102}.dat
14.05.2006 18:24 384 DVCState-{00000000-00000000-00000006-00001102-00000004-20021102}.dat
14.05.2006 18:24 1.080 settingsbkup.sfm
14.05.2006 18:24 30.528 BMXCtrlState-{00000000-00000000-00000006-00001102-00000004-20021102}.rfx
14.05.2006 18:13 123.392 itss.dll
14.05.2006 18:12 9.728 mstinit.exe
14.05.2006 18:12 48.640 browser.dll
14.05.2006 18:12 160.256 schedsvc.dll
14.05.2006 18:12 256.512 mstask.dll
14.05.2006 18:12 301.568 netapi32.dll
14.05.2006 17:50 2.953 CONFIG.NT
12.05.2006 11:49 2.184 wpa.dbl
03.05.2006 21:26 5.818.784 MRT.exe
27.03.2006 11:06 98.304 CmdLineExt.dll
07.03.2006 10:48 120.872 MSForms.TWD
13.02.2006 14:20 1.919 AUTOEXEC.NT
06.02.2006 14:38 6 reboot.txt

systemtemp.txt (2.log)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C38-C52E

Verzeichnis von C:\DOKUME~1\Steffen\LOKALE~1\Temp


system.txt (3.log)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C38-C52E

Verzeichnis von C:\WINDOWS

14.05.2006 18:25 0 0.log
14.05.2006 18:25 4.936.358 {00000000-00000000-00000006-00001102-00000004-20021102}.CDF
14.05.2006 18:25 159 wiadebug.log
14.05.2006 18:25 2.048 bootstat.dat
14.05.2006 18:24 763.406 WindowsUpdate.log
14.05.2006 18:24 50 wiaservc.log
14.05.2006 18:23 345.834 setupapi.log
14.05.2006 18:23 30.353 KB840987.log
14.05.2006 18:23 15.317 msgsocm.log
14.05.2006 18:23 100.808 msmqinst.log
14.05.2006 18:23 145.007 tsoc.log
14.05.2006 18:23 65.043 ntdtcsetup.log
14.05.2006 18:23 1.374 imsins.log
14.05.2006 18:23 423.856 iis6.log
14.05.2006 18:23 110.181 comsetup.log
14.05.2006 18:23 131.857 ocgen.log
14.05.2006 18:23 308.296 FaxSetup.log
14.05.2006 18:23 11.241 ocmsn.log
14.05.2006 18:23 1.374 imsins.BAK
14.05.2006 18:23 18.206 KB887822.log
14.05.2006 18:23 15.886 Q324380.log
14.05.2006 18:23 15.871 KB840374.log
14.05.2006 18:23 51.227 xpsp1hfm.log
14.05.2006 18:22 24.209 KB841356.log
14.05.2006 18:22 18.729 dahotfix.log
14.05.2006 18:22 20.582 KB840315.log
14.05.2006 18:22 16.116 KB839645.log
14.05.2006 18:21 15.175 KB833987.log
14.05.2006 18:21 22.192 KB841873.log
14.05.2006 18:21 18.401 KB873376.log
14.05.2006 18:21 19.518 KB841533.log
14.05.2006 18:20 13.277 KB837001.log
14.05.2006 18:20 13.162 Q828026.log
14.05.2006 18:20 12.770 KB828035.log
14.05.2006 18:19 56.966 KB825119.log
14.05.2006 18:19 10.166 Q328940.log
14.05.2006 18:19 55.896 KB824105.log
14.05.2006 18:18 55.295 KB823182.log
14.05.2006 18:18 3.773 Q815021.log
14.05.2006 18:18 7.007 Q324096.log
14.05.2006 18:17 5.172 Q326830.log
14.05.2006 18:17 4.928 Q323172.log
14.05.2006 18:17 4.546 Q313450.log
14.05.2006 18:17 4.485 Q318138.log
14.05.2006 18:17 3.696 Q319580.log
14.05.2006 18:16 0 Q319580Uninst.log
14.05.2006 18:16 3.541 Q311967.log
14.05.2006 18:16 3.804 Q317277.log
14.05.2006 18:16 3.543 Q315403.log
14.05.2006 18:15 3.629 Q315000.log
14.05.2006 18:15 2.775 Q311889.log
14.05.2006 18:15 1.552 Q309521.log
14.05.2006 18:15 744 Q309521Uninst.log
14.05.2006 18:09 46.442 svcpack.log
14.05.2006 17:46 102.290 ntbtlog.txt
14.05.2006 17:45 184.905 setupact.log
13.05.2006 14:03 1.252.703 setupapi.log.1.old
09.05.2006 19:52 4.936.358 {00000000-00000000-00000006-00001102-00000004-20021102}.BAK
09.05.2006 10:09 116 NeroDigital.ini
08.05.2006 11:25 3.287 tm.ini
08.05.2006 11:13 118 tdf.dii
04.05.2006 16:11 165.235 DirectX.log
04.05.2006 11:01 28 album.ini
04.05.2006 11:01 1.404 pstudio.ini
03.05.2006 12:34 35 A4W.INI
21.04.2006 18:39 121 GEARInstall.log
18.04.2006 10:01 7.680 Steffen.pcb
16.04.2006 12:54 6.144 ArtGalry.cag
13.04.2006 13:06 22 OP70.INI
13.04.2006 12:50 10 PSTUDIO.SN
03.04.2006 17:01 13.846 ModemLog_Motorola USB Modem #2.txt
06.03.2006 12:42 149 wsdu.log
06.03.2006 12:42 254 UPGRADE.TXT
06.03.2006 12:39 89 WINNT32.LOG
06.03.2006 12:38 178 DHCPUPG.LOG
22.02.2006 17:25 558 SchedLgU.Txt
14.02.2006 08:57 246 system.ini
14.02.2006 08:57 504 win.ini
13.02.2006 14:46 39.925 CFSETUP.TXT
13.02.2006 14:38 3.442 ModemLog_cFos DSL, Internet, PPPoE.txt
12.02.2006 16:43 15.851 Codec Pack - All In 1 Setup Log.txt
12.02.2006 16:41 737.280 iun6002.exe

sys.txt (4.log)


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C38-C52E

Verzeichnis von C:\

14.05.2006 20:27 0 sys.txt
14.05.2006 20:27 10.507 system.txt
14.05.2006 20:27 135 systemtemp.txt
14.05.2006 20:26 103.688 system32.txt
14.05.2006 18:24 1.207.959.552 pagefile.sys
14.05.2006 17:42 3.166 smitfiles.txt
08.03.2006 09:23 265 boot.ini
14.02.2006 08:57 194 BOOT.BAK
12.02.2006 16:45 71.194 avi_log.txt



läuft also derweil alles bestens


und wie ich mit freude und natürlich auch erschrecken feststellen musste ist mein rechner auch schon wesntlich schneller wiede rim windows...


VIELEN VIELEN DANKE FÜR DIE HILFE ! ! HAST MIR ECHT GFEHOLFEN !

windows - updates habe ich jetzt nachgeholt...


P.s.: Sollte ich meine Passwörter ändern? Oder hat der (die?) Trojaner die nicht aufgezeichnet... sind ganz schön viele verschiedene passwörter.. die alle zu ändern... uii

p.p.s.: ups habe ausversehen meine alte hijackthis.log datei reingeschrieben.. ist jetzt aber die neue
Dieser Beitrag wurde am 14.05.2006 um 20:36 Uhr von Zieji editiert.
Seitenanfang Seitenende
14.05.2006, 22:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 du brauchst keine Passwoerte zu aendern ... SP2 (WindowsUpdates) ist im Log noch nicht zu sehen...
ansonsten..alles o.k. ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.05.2006, 11:02
...neu hier

Themenstarter

Beiträge: 7
#9 super !!

ja der das sp2 lässt sich nicht installieren O_o

vielleich klappts mit ner cd davon... mal schaun...

danke nochmals für die hilfe
Seitenanfang Seitenende