Generic Host Process for Win32 Services beendet Internetconnection

#0
12.08.2006, 22:59
...neu hier

Beiträge: 3
#1 Hi erst mal. Seit gestern springt bei mir nach einer online Zeit von 10 Minuten aufwärts eine Windowsfehlermeldung an, die mir Probleme mit svchost.exe (Generic Host Process for Win32 Services) meldet. Als Folge davon, wird mir meine Internetconnection zwar immernoch als aktiv angezeigt, allerdings funktioniert keine einzige Site mehr. Starte ich irgend ein Spiel nach dieser fehlermeldung erhalte ich von dem SPiel die Meldung das mein Auio Device nicht richtig geladen werden konnte (gehen die beiden DInge etwas miteinander einherO_o?). Service pack 2 besitze ich, eine Firewall habe ich allerdings nicht aktiviert, da ich mit Warcraft 3 Geld einnehme und es bisher mit jeder Firewall Probleme mit diesem Spiel gab. Ich habe den Log bereits gesaved und poste ihn mal hinterherEgal wer sich auch immer dieses Problems annimt, ich danke ihm auf ewig ;)!

Log:
Logfile of HijackThis v1.99.1
Scan saved at 22:45:15, on 12.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MEDIAK~1\MagicKey.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Razer\razertra.exe
C:\Programme\Razer\razerhid.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\MEDIAK~1\OSD.exe
C:\Programme\Razer\razerofa.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\PackethSvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Opera\Opera.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HiJack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: UCmore toolbar - {ED8DB0FD-D8F4-4b2c-BB5B-9EF040FE104D} - C:\Programme\UCmore\UCMIE.dll
O3 - Toolbar: UCmore Toolbar - {53CBEE82-D747-11d3-9ED0-005004189684} - C:\Programme\UCmore\UCMIE.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MagicKey] C:\PROGRA~1\MEDIAK~1\MagicKey.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download Using &BitSpirit - C:\Programme\BitSpirit\bsurl.htm
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{49B5862E-C120-4C79-8727-90EA77E17DAA}: NameServer = 10.10.10.10
O17 - HKLM\System\CCS\Services\Tcpip\..\{84D49660-7EAB-4AA0-B6BA-BE2521124995}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBD603C5-B6CD-4A38-B5B9-AF8EF398A21F}: NameServer = 10.10.10.10
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Virtual NIC Service (PackethSvc) - America Online, Inc. - C:\WINDOWS\System32\PackethSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Kann es am Service Pack 1 liegen?????? Wenn ja hau mir mal bitte jemand den Link dahinter woher ichs zweite bekomme. Tut mir leid, dass ich echt keine Ahnung habe, zu meiner Schande gestehe ich, dass ich zu mehr als gut WarCraft3 zu spielen und etwas zu schreiben nicht im Stande bin ^^.
Seitenanfang Seitenende
13.08.2006, 00:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 DonSchmitzo

*Installation über Windows Update (Internet)
www.windowsupdate.com

oder
1. Wählen Sie im Start-Menü den Befehl Windows Update.
Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt).
2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren.

------------------------------------------------------------------------------------

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\UCmore" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.08.2006, 13:25
...neu hier

Beiträge: 6
#3 Hi Hallo,

ich habe genau das gleiche Problem. Aber zu meiner Schande muss ich gestehen, dass ich mit der Anleitung von Sabina nicht klar komme.

Kann ich davon bitte eine DAU Version haben?? Vielen Dank im Vorraus! ;)
Seitenanfang Seitenende
13.08.2006, 13:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Graf KiZz

arbeite das hier ab und poste die Logs, damit ich weiss, was los ist
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.08.2006, 14:15
...neu hier

Beiträge: 5
#5 also obwohl das hier ja nich mein thread is schreib ich einfach mal meine eigenen logs rein da ich soweit ich des erkennen kann des gleiche problem hab und deswegen nich extra n neues thema erstellen will. ich hoff dass ich alles richtig gemacht hab. also



savelog von hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 13:49:46, on 13.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\LXSUPMON.EXE
C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe
C:\PROGRA~1\softwin\BITDEF~1\bdswitch.exe
C:\Programme\AGEIA Technologies\TrayIcon.exe
C:\Programme\NewSoft\Presto! PVR\Monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\heiner\Desktop\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://welcome.icq.com/js/ppfile.html?0
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CDNSCacheObj Object - {376892AE-1825-4E5F-9F85-23F9640051CC} - C:\WINDOWS\DNSCache.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Burn4Free Toolbar Helper - {F8E5CA21-C27B-43e7-B2BE-4CA93C9F9A1F} - C:\Programme\Burn4Free Toolbar\v2.0.0.3\Burn4Free_Toolbar.dll
O3 - Toolbar: Burn4Free Toolbar - {70DE7956-479D-4eb7-8641-2B45774C350E} - C:\Programme\Burn4Free Toolbar\v2.0.0.3\Burn4Free_Toolbar.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\softwin\BITDEF~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\softwin\BITDEF~1\bdswitch.exe"
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Programme\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [ChangeFilterMerit] C:\Programme\NewSoft\Presto! PVR\ChangeFilterMerit.exe
O4 - HKLM\..\Run: [Presto! PVR Monitor] C:\Programme\NewSoft\Presto! PVR\Monitor.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)



combofix:

Start Time= 13.08.2006 13:51:55,21
Running from: C:\Programme\Mozilla Firefox

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-17 20:04:52 ( .D... ) "C:\Programme\Online TV Player"
2006-08-13 02:15:32 ( .D... ) "C:\Programme\CleanUp!"
2006-08-04 16:24:48 98304 ( A.... ) "C:\WINDOWS\system32\CmdLineExt.dll"
2006-08-03 15:51:12 457 ( A.... ) "C:\Programme\INSTALL.LOG"
2006-07-27 13:59:12 ( .D... ) "C:\Programme\Kazaa"
2006-07-23 20:00:42 ( .D... ) "C:\Programme\NewSoft"
2006-07-23 20:00:42 ( .D... ) "C:\Programme\Gemeinsame Dateien\NewSoft"
2006-07-20 23:12:56 ( .D... ) "C:\Programme\ThriXXX"
2006-07-02 23:12:28 ( .D... ) "C:\Programme\Gemeinsame Dateien\NSV"
2006-06-20 23:57:16 131072 ( A.... ) "C:\WINDOWS\system32\SpoonUninstall.exe"
2006-06-20 23:55:16 ( .D... ) "C:\Programme\Illustrate"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-07-31 19:42 230.096 C:\WINDOWS\system32\xactengine2_0.dll
2006-07-31 19:42 2.332.368 C:\WINDOWS\system32\d3dx9_29.dll
2006-07-31 19:42 2.323.664 C:\WINDOWS\system32\d3dx9_28.dll
2006-07-31 19:42 14.032 C:\WINDOWS\system32\x3daudio1_0.dll
2006-07-23 20:02 114.688 C:\WINDOWS\system32\GLAPILIB.dll
2006-07-23 19:59 363.520 C:\WINDOWS\system32\PsisDecd.dll
2006-06-29 12:51 40.960 C:\WINDOWS\system32\psfind.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"NWEReboot"=""
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"LXSUPMON"="C:\\WINDOWS\\system32\\LXSUPMON.EXE RUN"
"BDMCon"="c:\\PROGRA~1\\softwin\\BITDEF~1\\bdmcon.exe"
"BDOESRV"="\"C:\\Programme\\Softwin\\BitDefender9\\bdoesrv.exe\""
"BDNewsAgent"="\"C:\\PROGRA~1\\softwin\\BITDEF~1\\bdnagent.exe\""
"BDSwitchAgent"="\"C:\\PROGRA~1\\softwin\\BITDEF~1\\bdswitch.exe\""
"AGEIA PhysX SysTray"="C:\\Programme\\AGEIA Technologies\\TrayIcon.exe"
"ChangeFilterMerit"="C:\\Programme\\NewSoft\\Presto! PVR\\ChangeFilterMerit.exe"
"Presto! PVR Monitor"="C:\\Programme\\NewSoft\\Presto! PVR\\Monitor.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,e1,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\InterVideo WinCinema Manager.lnk"
"backup"="C:\\WINDOWS\\pss\\InterVideo WinCinema Manager.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\INTERV~1\\Common\\Bin\\WINCIN~1.EXE "
"item"="InterVideo WinCinema Manager"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MsnMsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"




Contents of the 'Scheduled Tasks' folder

Completion time: 13.08.2006 13:52:13,15
ComboFix ver 06.07.15/30 - This logfile is located at C:\ComboFix.txt




datfind.bat logfiles:



system32:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B886-D8F0

Verzeichnis von C:\WINDOWS\system32

17.11.2006 19:49 0 810429tv2.jun
13.08.2006 13:50 81.984 bdod.bin
13.08.2006 13:45 29.204 nvapps.xml
13.08.2006 13:28 0 00B11E40_kds.xml
13.08.2006 02:12 2.206 wpa.dbl
13.08.2006 02:11 31 getfile.dat
04.08.2006 16:24 98.304 CmdLineExt.dll
19.07.2006 12:37 312.350 perfh009.dat
19.07.2006 12:37 40.738 perfc009.dat
19.07.2006 12:37 48.964 perfc007.dat
19.07.2006 12:37 317.534 perfh007.dat
19.07.2006 12:37 726.296 PerfStringBackup.INI
20.06.2006 23:57 2.339 SpoonUninstall-dBpowerAMP Mp4 Codec.dat
20.06.2006 23:57 131.072 SpoonUninstall.exe
20.06.2006 23:57 33.846 SpoonUninstall-dBpowerAMP Mp4 Codec.bmp
17.05.2006 11:23 579.888 LegitCheckControl.dll
16.05.2006 22:23 339.968 pxwave.dll
16.05.2006 22:23 28.672 vxblock.dll
16.05.2006 22:23 450.560 pxdrv.dll
16.05.2006 22:23 56.832 pxinsa64.exe
16.05.2006 22:23 61.440 pxhpinst.exe
16.05.2006 22:23 1.257.472 pxsfs.dll
16.05.2006 22:23 430.080 px.dll
16.05.2006 22:23 57.344 pxcpya64.exe
16.05.2006 22:23 176.128 pxmas.dll
29.04.2006 14:25 40.960 psfind.dll
03.04.2006 11:40 14.048 spmsg.dll



temp:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B886-D8F0

Verzeichnis von C:\DOKUME~1\heiner\LOKALE~1\Temp

13.08.2006 13:55 201 jusched.log
1 Datei(en) 201 Bytes
0 Verzeichnis(se), 9.162.043.392 Bytes frei




windows:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B886-D8F0

Verzeichnis von C:\WINDOWS

17.11.2006 21:50 47 InoSetup.ini
13.08.2006 13:52 176.156 setupact.log
13.08.2006 13:45 0 0.log
13.08.2006 13:45 1.297.128 WindowsUpdate.log
13.08.2006 13:45 2.048 bootstat.dat
13.08.2006 13:44 32.564 SchedLgU.Txt
13.08.2006 02:42 476 MP3trt.ini
13.08.2006 02:11 605 win.ini
13.08.2006 02:10 8.618 WGA.log
13.08.2006 02:10 30.526 setupapi.log
13.08.2006 01:34 216 wiadebug.log
13.08.2006 01:12 50 wiaservc.log
13.08.2006 00:30 1.045 xpsp1hfm.log
13.08.2006 00:30 660 KB823980.log
13.08.2006 00:11 227 system.ini
11.08.2006 22:03 3.237 mozver.dat
09.08.2006 22:28 54.156 QTFont.qfn
09.08.2006 22:28 1.409 QTFont.for
04.08.2006 01:50 4.594 ModemLog_Sony Ericsson 600i USB WMC Modem.txt
04.08.2006 01:50 4.604 ModemLog_Sony Ericsson 600i USB WMC Data Modem.txt
31.07.2006 19:42 120.286 DirectX.log
31.07.2006 15:53 1.044.230 setupapi.log.0.old
29.07.2006 20:54 81.019 wmsetup.log
27.06.2006 16:14 23 BlendSettings.ini
03.06.2006 21:17 210 RomeTW.ini
28.05.2006 22:20 40 RSoftInfo.dat
02.05.2006 14:36 1.546 DIFx.log



c:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: B886-D8F0

Verzeichnis von C:\

13.08.2006 13:58 0 sys.txt
13.08.2006 13:57 8.210 system.txt
13.08.2006 13:56 287 systemtemp.txt
13.08.2006 13:54 112.312 system32.txt
13.08.2006 13:52 6.798 ComboFix.txt
13.08.2006 13:44 1.610.612.736 pagefile.sys
13.08.2006 00:11 211 boot.ini
09.01.2006 23:17 327.952 amt1
08.12.2005 21:40 32 csb.log
08.12.2005 21:10 0 CONFIG.SYS
08.12.2005 21:10 0 MSDOS.SYS
08.12.2005 21:10 0 AUTOEXEC.BAT
08.12.2005 21:10 0 IO.SYS




und noch ne kurze beschreibung meines problems:

also wie bei fast allen kommt so nach 5 bis 10 minuten diese fehlermeldung und wenn ich nicht senden drück geht mein internet nicht mehr, und einmal gingen auch keine sounddateien mehr. ich hab schon so ein symantec tool (symantec w32.blaster.worm.removal)durchlaufen lassen des hat nix gefunden und meine firewall (bitdefender 9 professional plus, die von den updates her auf dem neuesten stand ist) auch nicht. jetz bin ich ziemlich verzweifelt und hoff, dass mir jemand helfen kann. achja ich weis nicht ob das was mit dem problem zu tun hat oder andere ursachen hat, aber das datum bei meinem pc spinnt manchmal rum, ich nehm auch an dass daher bei manchen logs das datum 17.11.06 zustandegekommen ist.

schonmal tausend dank im vorraus. liebe grüße, heima
Dieser Beitrag wurde am 13.08.2006 um 14:18 Uhr von heima editiert.
Seitenanfang Seitenende
13.08.2006, 14:25
...neu hier

Beiträge: 6
#6 Hi Sabina,

danke für deine Geduld, ich habe mich mal durch gebissen und postet die Logs.


hijackthis.log
Logfile of HijackThis v1.99.1
Scan saved at 14:01:12, on 13.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\System\AntiVir PersonalEdition Classic\sched.exe
D:\System\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
D:\Grafik\PowerDVD\PDVDServ.exe
D:\System\Audio\SB Audigy 2\Surround Mixer\CTSysVol.exe
D:\System\Audio\SB Audigy 2\DVDAudio\CTDVDDet.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
D:\System\Daemon Tool\daemon.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\System\AntiVir PersonalEdition Classic\avgnt.exe
D:\Internet\ICQLite\ICQLite.exe
E:\Adventure\World of Warcraft\BLASC\BLASC.exe
C:\Programme\Messenger\msmsgs.exe
D:\Grafik\Adobe Reader 7.0\Reader\reader_sl.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\System\Logitec MX510\MouseWare\system\em_exec.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Internet\Firefox\firefox.exe
C:\Dokumente und Einstellungen\Christian\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Internet\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Grafik\Adobe Reader 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\System\Canon PIXMA 2000\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Internet\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [RemoteControl] D:\Grafik\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [CTSysVol] D:\System\Audio\SB Audigy 2\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] D:\System\Audio\SB Audigy 2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\System\Daemon Tool\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [avgnt] "D:\System\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "D:\Internet\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\system32\hgqhp.exe
O4 - HKCU\..\Run: [BLASC] "E:\Adventure\World of Warcraft\BLASC\BLASC.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Internet\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Grafik\Adobe Reader 7.0\Reader\reader_sl.exe
O4 - Global Startup: NaturalColorLoad.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Internet\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://D:\System\Canon PIXMA 2000\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://D:\System\Canon PIXMA 2000\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://D:\System\Canon PIXMA 2000\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://D:\System\Canon PIXMA 2000\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\System\Office\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Internet\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Internet\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DB064DE-A387-432E-986F-022CCC957C29}: NameServer = 85.255.115.52,85.255.112.202
O17 - HKLM\System\CCS\Services\Tcpip\..\{456841A3-FD86-4F5D-A904-367E62FC61EB}: NameServer = 85.255.115.52 85.255.112.202
O17 - HKLM\System\CCS\Services\Tcpip\..\{C425D574-832C-425F-A599-DABF2C347F69}: NameServer = 85.255.115.52,85.255.112.202
O17 - HKLM\System\CCS\Services\Tcpip\..\{D105D9C8-C2C7-4ED3-9F98-8511067680AD}: NameServer = 85.255.115.52,85.255.112.202
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5222D74-644B-4057-9AE4-FBC6413FBC65}: NameServer = 85.255.115.52,85.255.112.202
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\System\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - D:\System\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINDOWS\System32\CTsvcCDA.exe (file missing)
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\Audio\iPod\bin\iPodService.exe


ComboFix.txt
Start Time= 13.08.2006 14:02:07,73

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-06-11 07:52:02 57384 ( A.... ) "C:\WINDOWS\system32\avsda.dll"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))




(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"RemoteControl"="D:\\Grafik\\PowerDVD\\PDVDServ.exe"
"CTSysVol"="D:\\System\\Audio\\SB Audigy 2\\Surround Mixer\\CTSysVol.exe /r"
"CTDVDDET"="D:\\System\\Audio\\SB Audigy 2\\DVDAudio\\CTDVDDet.EXE"
"UpdReg"="C:\\WINDOWS\\UpdReg.EXE"
"Logitech Utility"="Logi_MwX.Exe"
"type32"="\"C:\\Programme\\Microsoft IntelliType Pro\\type32.exe\""
"Easy-PrintToolBox"="C:\\Programme\\Canon\\Easy-PrintToolBox\\BJPSMAIN.EXE /logon"
"DAEMON Tools-1033"="\"D:\\System\\Daemon Tool\\daemon.exe\" -lang 1033"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_04\\bin\\jusched.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"avgnt"="\"D:\\System\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ICQ Lite"="\"D:\\Internet\\ICQLite\\ICQLite.exe\" -minimize"
"hgqhp.exe"="C:\\WINDOWS\\system32\\hgqhp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"BLASC"="\"E:\\Adventure\\World of Warcraft\\BLASC\\BLASC.exe\""
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="D:\\Internet\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,00,04,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Logitech Desktop Messenger.lnk"
"backup"="C:\\WINDOWS\\pss\\Logitech Desktop Messenger.lnkCommon Startup"
"location"="Common Startup"
"command"="D:\\System\\LOGITE~1\\DESKTO~1\\8876480\\Program\\LDMConf.exe /start"
"item"="Logitech Desktop Messenger"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="D:\\System\\Office\\MICROS~1\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Christian^Startmenü^Programme^Autostart^OpenOffice.org 1.1.4.lnk]
"path"="C:\\Dokumente und Einstellungen\\Christian\\Startmenü\\Programme\\Autostart\\OpenOffice.org 1.1.4.lnk"
"backup"="C:\\WINDOWS\\pss\\OpenOffice.org 1.1.4.lnkStartup"
"location"="Startup"
"command"="D:\\System\\Office\\OPENOF~1\\program\\QUICKS~1.EXE "
"item"="OpenOffice.org 1.1.4"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CTHELPER"
"hkey"="HKLM"
"command"="CTHELPER.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="D:\\Audio\\iTunes\\iTunesHelper.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mmtask"
"hkey"="HKLM"
"command"="c:\\Program Files\\MusicMatch\\MusicMatch Jukebox\\mmtask.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mm_tray"
"hkey"="HKLM"
"command"="C:\\Programme\\MUSICMATCH\\MUSICMATCH Jukebox\\mm_tray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SBDrvDet]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SBDrvDet"
"hkey"="HKLM"
"command"="C:\\Programme\\Creative\\SB Drive Det\\SBDrvDet.exe /r"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Steam"
"hkey"="HKCU"
"command"="E:\\Action\\HL 2\\\\Steam.exe -silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="D:\\Audio\\Winamp\\winampa.exe"
"inimapping"="0"




Contents of the 'Scheduled Tasks' folder

Completion time: 13.08.2006 14:02:13,37
ComboFix ver 06.07.15/30 - This logfile is located at C:\ComboFix.txt



sys.txt

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2443-35E4

Verzeichnis von C:\

13.08.2006 14:06 0 sys.txt
13.08.2006 14:06 9.800 system.txt
13.08.2006 14:06 621 systemtemp.txt
13.08.2006 14:06 103.666 system32.txt
13.08.2006 13:49 1.610.612.736 pagefile.sys
23.01.2006 18:30 211 boot.ini
25.02.2005 18:05 47.564 NTDETECT.COM
25.02.2005 18:05 251.184 ntldr
24.02.2005 21:19 0 IO.SYS
24.02.2005 21:19 0 CONFIG.SYS
24.02.2005 21:19 0 AUTOEXEC.BAT
24.02.2005 21:19 0 MSDOS.SYS
18.08.2001 12:00 4.952 bootfont.bin
13 Datei(en) 1.611.030.734 Bytes
0 Verzeichnis(se), 8.725.458.944 Bytes frei


system23.txt
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2443-35E4

Verzeichnis von C:\WINDOWS\system32

13.08.2006 13:48 1.080 settingsbkup.sfm
13.08.2006 13:48 384 DVCState-{00000005-00000000-00000006-00001102-00000004-20021102}.dat
13.08.2006 13:48 384 DVCStateBkp-{00000005-00000000-00000006-00001102-00000004-20021102}.dat
13.08.2006 13:48 32.592 BMXStateBkp-{00000005-00000000-00000006-00001102-00000004-20021102}.rfx
13.08.2006 13:48 32.088 BMXBkpCtrlState-{00000005-00000000-00000006-00001102-00000004-20021102}.rfx
13.08.2006 13:48 32.088 BMXCtrlState-{00000005-00000000-00000006-00001102-00000004-20021102}.rfx
13.08.2006 13:48 1.080 settings.sfm
13.08.2006 13:48 32.592 BMXState-{00000005-00000000-00000006-00001102-00000004-20021102}.rfx
13.08.2006 09:01 2.206 wpa.dbl
11.06.2006 07:52 57.384 avsda.dll
05.04.2006 16:55 4.212 zllictbl.dat


system.txt
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2443-35E4

Verzeichnis von C:\WINDOWS

13.08.2006 14:03 171.088 setupact.log
13.08.2006 13:50 0 0.log
13.08.2006 13:50 1.109.704 WindowsUpdate.log
13.08.2006 13:50 157 wiadebug.log
13.08.2006 13:50 50 wiaservc.log
13.08.2006 13:49 2.048 bootstat.dat
13.08.2006 13:43 32.618 SchedLgU.Txt
13.08.2006 13:03 544 xpsp1hfm.log
13.08.2006 13:03 660 KB823980.log
13.08.2006 10:40 192 winamp.ini
12.08.2006 21:14 160.374 setupapi.log
12.08.2006 20:43 3.686.454 Firefox Wallpaper.bmp
09.08.2006 14:48 1.074 wincmd.ini
09.08.2006 14:47 180 wcx_ftp.ini
06.08.2006 15:49 50.288 wmsetup.log
01.08.2006 21:21 3.932.214 ACD Wallpaper.bmp
14.07.2006 16:24 4.934.483 {00000005-00000000-00000006-00001102-00000004-20021102}.CDF
18.06.2006 10:16 260.692 ntbtlog.txt
03.06.2006 23:00 139 msicpl.ini
22.04.2006 08:15 89.788 DirectX.log



systemtemp.txt
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2443-35E4

Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp

13.08.2006 13:58 16.384 ~DFFF4B.tmp
13.08.2006 13:58 16.384 ~DFF720.tmp
13.08.2006 13:58 512 ~DFF72C.tmp
13.08.2006 13:56 16.384 Perflib_Perfdata_a48.dat
13.08.2006 13:56 16.384 Perflib_Perfdata_a54.dat
13.08.2006 13:56 16.384 Perflib_Perfdata_580.dat
13.08.2006 13:56 206 jusched.log
7 Datei(en) 82.638 Bytes
0 Verzeichnis(se), 8.725.495.808 Bytes frei





Für mich fast Böhmische Dörfer, aber ich hoffe der Sache dienlich. Danke!

:-)
Seitenanfang Seitenende
13.08.2006, 16:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Graf KiZz

deine Internetverbindung wird auf einen ukrainischen Server umgeleitet....

0.
C:\WINDOWS\system32\hgqhp.exe - loeschen

1.
arbeite das ab und poste den report
http://virus-protect.org/artikel/tools/fixwareout.html

2.
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> poste den report

wenn ich alle Daten habe, beginnt die reinigung
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.08.2006, 16:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 heima

ich finde nichts....

multiavtool
http://virus-protect.org/multiavtool.html

klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.

bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein

- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 - dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

* klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.08.2006, 16:35
...neu hier

Beiträge: 1
#9 Hallo!

habe gerade bemerkt, dass ihr über mein problem diskutiert. habe die gleichen anzeichen und probleme, nur leider habe ich sowas von keiner ahnung im bezug auf pc. könntet ihr mir vielleicht leicht verständlich sagen, was ich tun muss. habe übrigens auch keine C:\WINDOWS\system32\hgqhp.exe -
und kann sie somit auch nicht löschen.
lg grüße
die größte pc loserin der welt!

p.s. aber ich post halt auch einmal das logfile
Logfile of HijackThis v1.99.1
Scan saved at 16:54:12, on 13.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVWinNT\AVGUARD.EXE
C:\Programme\AVWinNT\AVWUPSRV.EXE
C:\Programme\Acceleration Software\StopSignProducts\Firewall\fwservice.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ACCELE~1\SCRIPT~1\scan.exe
C:\WINDOWS\System32\khooker.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\AVWinNT\AVGNT.EXE
C:\Programme\AVWinNT\AVSCHED32.EXE
C:\Programme\Acceleration Software\Anti-Virus\stopsignav.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\WINDOWS\system32\sistray.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programme\eAcceleration\Station\station.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Julia\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.utanet.at
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.Aon.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von UTA Telekom AG
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {B753C7C5-0942-4b7f-BC27-942B52BDAC66} - C:\PROGRA~1\ACCELE~1\StopSign\webcbrowse.dll
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVWinNT\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVWUpd32] C:\Programme\AVWinNT\AVWUPD32.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVWinNT\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [jservice] C:\Programme\AonInformer\informer.exe
O4 - HKLM\..\Run: [WebScan] "C:\Programme\Acceleration Software\Anti-Virus\stopsignav.exe" -k
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KAZAA] "C:\Programme\Kazaa Lite\kpp.exe" "C:\Programme\Kazaa Lite\kazaalite.kpp" /SYSTRAY
O4 - HKLM\..\Run: [sginst] C:\PROGRA~1\ACCELE~1\SCRIPT~1\sginst.exe /upd
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [StopSignSsTsMon] Rundll32.exe "C:\Programme\Acceleration Software\Anti-Virus\sstsmon0.dll",VerifyStatus
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SoftwareStation] C:\Programme\eAcceleration\Station\station.exe /b Startup
O4 - HKLM\..\Run: [StopSignSsFwMon] Rundll32.exe "C:\Programme\Acceleration Software\StopSignProducts\Firewall\ssfwmon.dll",VerifyStatus
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Cyber-shot Viewer-Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {24BE56F9-F0B6-4ac7-97F1-8CACEDA9A427} - C:\PROGRA~1\ACCELE~1\StopSign\webcbrowse.dll
O9 - Extra 'Tools' menuitem: Block This Page - {24BE56F9-F0B6-4ac7-97F1-8CACEDA9A427} - C:\PROGRA~1\ACCELE~1\StopSign\webcbrowse.dll
O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {459729AC-727D-4D97-B18A-72EE224EFEC0} (MDefControl Class) - http://raven.veloz.com/pub/download/scandl_ss.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net [...] /QuickTimeInstaller.exe
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com [...] /mcfscan.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by7fd.bay7.hotmail.msn.com/activex/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6F14783-27B9-4D00-86BA-15D58CA13B44}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVWinNT\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVWinNT\AVWUPSRV.EXE
O23 - Service: FWService - eAcceleration Corp. - C:\Programme\Acceleration Software\StopSignProducts\Firewall\fwservice.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
Dieser Beitrag wurde am 13.08.2006 um 17:01 Uhr von Julia-unwiss editiert.
Seitenanfang Seitenende
13.08.2006, 17:07
...neu hier

Themenstarter

Beiträge: 3
#10 Ich bin auch wie gesagt ein blutiger Anfänger Sabina und bind aher mit der ANleitung ziemlich überfordert. Aber mal zum aktuellen Stand: Ich hatte das Problem auch gegoogled und dann eine Anleitung gefunden wie man das Problem loswerden solle, wenn man kein Service Pack 2 hat. Dazu sollte ich so eine "win32.sec" Anwendung nutzen, die (so weit ich das richtig verstanden habe) so ziemlich alle Windows Dienste ausschaltet, bis auf die nötigsten. Seitdem scheint mein Problem auch gelöst zu sein, einzigstes Manko: Ich wollte acnach dann das SP 2 saugen, wenn ich jedoch auf die Windowsupdate Seite gehe erscheint eine Fehlermeldung, die mir sagt ich solle einen bestimmten Dienst wieder einschalten. Meine Vermutung: Bei dem win32.sec Zeugs wurde wohl auch der Windowsupdate Dienst ausgeschaltet richtig? Und den kann ich auch manuell wieder einschalten, oder?????????????????????????
Seitenanfang Seitenende
13.08.2006, 17:34
...neu hier

Beiträge: 6
#11 Auf einen Ukrainischen Server umgeleitet? Hm, Verwandte habe ich darot nicht.

Nun werde ich das mal versuchen. ;)
Seitenanfang Seitenende
13.08.2006, 17:37
...neu hier

Beiträge: 5
#12 hier meine 3 scanreporte:

1. C:\windows\system32\

Virus Scan Report File
Virus Scan Information

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4828 created Aug 13 2006
Scanning for 203346 viruses, trojans and variants.

Virus Scan Results



08/13/2006 16:29:35


Options:
"C:\WINDOWS\SYSTEM32" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [Windows]
Scanning C:\WINDOWS\SYSTEM32\*.*

Summary report on C:\WINDOWS\SYSTEM32\*.*
File(s)
Total files: ........... 8920
Clean: ................. 8907
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1


Time: 00:06.14


Visit the McAfee Online Web Site
Need some help or advice? Send email to Technical Support.






2. C:\windows\

Virus Scan Report File
Virus Scan Information

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4828 created Aug 13 2006
Scanning for 203346 viruses, trojans and variants.

Virus Scan Results



08/13/2006 16:37:39


Options:
"C:\WINDOWS" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [Windows]
Scanning C:\WINDOWS\*.*

Summary report on C:\WINDOWS\*.*
File(s)
Total files: ........... 21285
Clean: ................. 21272
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1


Time: 00:09.30


Visit the McAfee Online Web Site
Need some help or advice? Send email to Technical Support.





3.C:\

Virus Scan Report File
Virus Scan Information

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4828 created Aug 13 2006
Scanning for 203346 viruses, trojans and variants.

Virus Scan Results



08/13/2006 16:57:02


Options:
"C:\" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [Windows]
Scanning C:\*.*
C:\Programme\ICQLite\temp\ICQToolbar_2000_XP\toolbaru.inf ... Found potentially unwanted program Adware-Softomate.
The file or process has been deleted.
C:\Programme\ICQLite\temp\ICQToolbar_9x_Me\toolbar.inf ... Found potentially unwanted program Adware-Softomate.
The file or process has been deleted.

Summary report on C:\*.*
File(s)
Total files: ........... 104717
Clean: ................. 104677
Possibly Infected: ..... 0
Cleaned: ............... 0
Deleted: ............... 2
Non-critical Error(s): 3


Time: 00:27.51


Visit the McAfee Online Web Site
Need some help or advice? Send email to Technical Support.



nochmals vielen dank für die bisherige und hoffentlich auch weitergehende hilfe. grüße heima :-)
Seitenanfang Seitenende
13.08.2006, 18:02
...neu hier

Beiträge: 6
#13 Hi hallo,

die hgqhp.exe kann ich nicht löschen, da sie nicht bei mir existiert. Obwohl sie ja in meinen Logs steht. Seltsam.

Hier die gewünschten Logs:

Fixwareout:

Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
...

Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
Other suspects
Directory of C:\WINDOWS\system32



Backlight

08/13/06 17:51:43 [Info]: BlackLight Engine 1.0.42 initialized
08/13/06 17:51:43 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/13/06 17:51:43 [Note]: 7019 4
08/13/06 17:51:43 [Note]: 7005 0
08/13/06 17:51:45 [Note]: 7006 0
08/13/06 17:51:45 [Note]: 7011 448
08/13/06 17:51:45 [Note]: 7026 0
08/13/06 17:51:45 [Note]: 7026 0
08/13/06 17:51:49 [Note]: FSRAW library version 1.7.1019
08/13/06 17:53:18 [Note]: 7007 0


Danke für deine Hilfe. ;)
Seitenanfang Seitenende
13.08.2006, 18:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 heima

Bitte nutze Gmer http://www.gmer.net/files.php . Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit nein beantworten und mit Hilfe von copy den Bericht hier einfuegen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser Beendet, wähle Copy und füge den Bericht ein.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.08.2006, 18:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Graf KiZz

information:
canonical name 85.255.115.52-xbox.dedi.inhoster.com.
Domain Name: INHOSTER.COM
Registrar: ESTDOMAINS, INC.
Whois Server: whois.estdomains.com
Referral URL: .estdomains.com
Name Server: NS1.INHOSTER.COM
Name Server: NS2.INHOSTER.COM
Status: ACTIVE

Registrant:
Inhoster Inc.
Andrei Kislizin (support@inhoster.com)
Lenina str. 23/95
Odessa
,54302
UA

1 1 1 1 70.84.211.97 61.d3.5446.static.theplanet.com
2 0 0 0 70.84.160.162 vl2.dsr02.dllstx5.theplanet.com
3 0 0 0 70.85.127.109 po52.dsr02.dllstx3.theplanet.com
4 0 0 0 70.85.127.5 5.7f.5546.static.theplanet.com
5 0 0 0 63.218.23.25 ge5-3.br02.dal01.pccwbtn.net
6 33 33 33 63.216.31.130 wvfiber.ge2-6.br01.atl01.pccwbtn.net
7 51 51 51 63.223.0.82 dal-c00-pos4-0.oc48.atl-c00-pos-1-14-1.wvfiber.net
8 81 81 81 63.223.0.85 law-c00-pos.oc48.dal-c00-pos5-0.wvfiber.net
9 84 83 83 63.223.0.177 sjc-c00-pos-1-6-1.oc48-lax-c00-pos-1-36-1.wvfiber.net
10 81 81 81 63.223.30.29 sfc-c00-ge-5-0.ge-sjc-c00-gbe-1-5-8.wvfiber.net
11 78 78 78 63.223.30.130 sfc-b1-00-ve24-ctr-atrivo.wvfiber.net
12 78 78 78 85.255.115.52 85.255.115.52-xbox.dedi.inhoster.com

Trace complete

----------------------------------------------------------------------------

Zitat


öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten


O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\system32\hgqhp.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{3DB064DE-A387-432E-986F-022CCC957C29}: NameServer = 85.255.115.52,85.255.112.202
O17 - HKLM\System\CCS\Services\Tcpip\..\{456841A3-FD86-4F5D-A904-367E62FC61EB}: NameServer = 85.255.115.52 85.255.112.202
O17 - HKLM\System\CCS\Services\Tcpip\..\{C425D574-832C-425F-A599-DABF2C347F69}: NameServer = 85.255.115.52,85.255.112.202
O17 - HKLM\System\CCS\Services\Tcpip\..\{D105D9C8-C2C7-4ED3-9F98-8511067680AD}: NameServer = 85.255.115.52,85.255.112.202
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5222D74-644B-4057-9AE4-FBC6413FBC65}: NameServer = 85.255.115.52,85.255.112.202
pc neustarten

Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen.

manuell mit den Zugangsdaten des Providers hergestellen.
85.255.115.52,85.255.112.202 - muss raus, falls es dortsteht !

**
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport


**
poste das neue Log vom HijacktHis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: