Critical System Errors! |
||
---|---|---|
#0
| ||
07.11.2006, 16:05
...neu hier
Beiträge: 9 |
||
|
||
07.11.2006, 16:51
Ehrenmitglied
Beiträge: 29434 |
#2
Mikka88
poste dieses log http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.11.2006, 17:17
...neu hier
Themenstarter Beiträge: 9 |
#3
MJAKOBY - 06-11-07 17:11:22,90 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\MJAKOBY\Desktop" ((((((((((((((((((((((((((((((( Files Created from 2006-10-07 to 2006-11-07 )))))))))))))))))))))))))))))))))) 2006-11-06 10:18 502,368 --a------ C:\WINDOWS\system32\drivers\amon.sys 2006-11-06 10:18 274,432 --a------ C:\WINDOWS\system32\imon.dll 2006-11-03 13:07 106,496 --a------ C:\WINDOWS\system32\okkmtv.dll 2006-10-27 12:14 24,072 --a------ C:\WINDOWS\system32\uxtuneup.dll 2006-10-24 14:12 45,056 --a------ C:\WINDOWS\system32\tcdevmgr.dll 2006-10-24 14:12 173,676 --a------ C:\WINDOWS\system32\tccfg.dll 2006-10-24 14:12 118,784 --a------ C:\WINDOWS\system32\tapihlp.dll 2006-10-24 14:07 69,632 --a------ C:\WINDOWS\system32\soedber.dll 2006-10-24 14:07 49,152 --a------ C:\WINDOWS\system32\eCcRoutr.dll 2006-10-24 14:07 45,056 --a------ C:\WINDOWS\system32\eCcRactr.dll 2006-10-24 14:07 40,960 --a------ C:\WINDOWS\system32\eCcSynch.dll 2006-10-24 14:07 40,960 --a------ C:\WINDOWS\system32\eCcStrm.dll 2006-10-24 14:07 40,448 --a------ C:\WINDOWS\system32\api.dll 2006-10-24 14:07 36,864 --a------ C:\WINDOWS\system32\eCcFxLog.dll 2006-10-24 14:07 32,768 --a------ C:\WINDOWS\system32\eCcSock.dll 2006-10-24 14:07 32,768 --a------ C:\WINDOWS\system32\eCcNPipe.dll 2006-10-24 14:07 32,768 --a------ C:\WINDOWS\system32\eCcEvtCh.dll 2006-10-24 14:07 28,672 --a------ C:\WINDOWS\system32\eCcThrd.dll 2006-10-24 14:07 28,160 --a------ C:\WINDOWS\system32\cstrain.dll 2006-10-24 14:07 266,240 --a------ C:\WINDOWS\system32\csta32.dll 2006-10-24 14:07 24,576 --a------ C:\WINDOWS\system32\eCcTcpAd.dll 2006-10-24 14:07 24,576 --a------ C:\WINDOWS\system32\eCcNBAd.dll 2006-10-24 14:07 24,576 --a------ C:\WINDOWS\system32\eCcGetOp.dll 2006-10-24 14:07 24,576 --a------ C:\WINDOWS\system32\eCcFxNt.dll 2006-10-24 14:07 17,408 --a------ C:\WINDOWS\system32\ossdmem.dll 2006-10-24 14:07 15,360 --a------ C:\WINDOWS\system32\ossapi.dll (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-11-06 11:38 -------- d-------- C:\Dokumente und Einstellungen\MJAKOBY\Anwendungsdaten\Lavasoft 2006-11-06 11:37 -------- d-------- C:\Programme\Lavasoft 2006-11-06 11:31 -------- d-------- C:\Programme\Enigma Software Group 2006-11-06 10:48 -------- d-------- C:\Programme\NOD32 2006-10-27 12:28 -------- d-------- C:\Programme\WinRAR 2006-10-27 12:28 -------- d-------- C:\Programme\Cordless Phone Manager 2006-10-27 12:14 -------- d-------- C:\Dokumente und Einstellungen\MJAKOBY\Anwendungsdaten\TuneUp Software 2006-10-27 12:12 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2006-10-27 12:12 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-10-27 10:25 -------- d-------- C:\Programme\p-nand-q.com 2006-10-27 10:21 -------- d-------- C:\Programme\RegCleaner 2006-10-13 12:29 33935 --a------ C:\Programme\LASTLOAD.KDS 2006-09-15 09:31 -------- d-------- C:\Programme\Google 2006-09-11 11:49 -------- d-------- C:\Programme\Yahoo! 2006-09-11 08:06 -------- d-------- C:\Programme\Microsoft ActiveSync 2006-09-08 13:55 -------- d-------- C:\Dokumente und Einstellungen\MJAKOBY\Anwendungsdaten\vlc (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe" "H/PC Connection Agent"="\"C:\\Programme\\Microsoft ActiveSync\\WCESCOMM.EXE\"" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices] "Windows sq Drivers"="winmsn32.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "nod32kui"="\"C:\\Programme\\NOD32\\nod32kui.exe\" /WAITSERVICE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e4,02,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,f0,01,00,00,b5,00,00,00,80,00,00,00,76,00,\ 00,00,01,00,00,00 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" "{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}"="bonspells" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoWelcomeScreen"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run] [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" "bonspells"="{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HiPath 1220 CommServer.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\HiPath 1220 CommServer.lnk" "backup"="C:\\WINDOWS\\pss\\HiPath 1220 CommServer.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\Siemens\\HIPATH~2\\Service\\CommSrv\\CommSvr.exe " "item"="HiPath 1220 CommServer" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="jusched" "hkey"="HKLM" "command"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="GoogleToolbarNotifier" "hkey"="HKCU" "command"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "MDM"=dword:00000002 [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\1-Klick-Wartung.job Completion time: 06-11-07 17:14:31.07 C:\ComboFix.txt ... 06-11-07 17:14 |
|
|
||
07.11.2006, 18:32
Ehrenmitglied
Beiträge: 29434 |
#4
scanne mit oiption 1 und 2 - lasse auch die registry mitreinigen - okkmtv.dll
wird geloescht werden (hoffentlich) poste hier beide scanreporte http://virus-protect.org/artikel/tools/smitfrautfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.11.2006, 09:26
...neu hier
Themenstarter Beiträge: 9 |
#5
option 1
SmitFraudFix v2.119 Scan done at 9:19:13,16, 08.11.2006 Run from C:\Dokumente und Einstellungen\MJAKOBY\Eigene Dateien\avenger\smitfraudfix\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}"="bonspells" [HKEY_CLASSES_ROOT\CLSID\{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}\InProcServer32] @="C:\WINDOWS\system32\okkmtv.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}\InProcServer32] @="C:\WINDOWS\system32\okkmtv.dll" »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End option 2 SmitFraudFix v2.119 Scan done at 9:19:13,16, 08.11.2006 Run from C:\Dokumente und Einstellungen\MJAKOBY\Eigene Dateien\avenger\smitfraudfix\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}"="bonspells" [HKEY_CLASSES_ROOT\CLSID\{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}\InProcServer32] @="C:\WINDOWS\system32\okkmtv.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}\InProcServer32] @="C:\WINDOWS\system32\okkmtv.dll" »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End |
|
|
||
08.11.2006, 13:01
Ehrenmitglied
Beiträge: 29434 |
#6
Mikka88
nun schauen wir uns mal den Virus/Backdoor genauer an, der anscheinend noch auf dem System ist.... Zitat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.11.2006, 12:25
...neu hier
Themenstarter Beiträge: 9 |
#7
hi,also Task-Leiste ist sauber :-) freu....ne,super freu
aber der Rechner ist langsamer geworden..... und hier die 6 Textdateien Nr.1 : Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: EC93-9EEE Verzeichnis von C:\WINDOWS\system32 09.11.2006 12:04 13.646 wpa.dbl 08.11.2006 09:19 0 tmp.txt 08.11.2006 09:19 1.224 tmp.reg 06.11.2006 10:18 274.432 imon.dll 30.10.2006 13:52 335.554 perfh009.dat 30.10.2006 13:52 49.480 perfc009.dat 30.10.2006 13:52 341.504 perfh007.dat 30.10.2006 13:52 58.080 perfc007.dat 30.10.2006 13:52 793.228 PerfStringBackup.INI 27.10.2006 08:24 240.736 FNTCACHE.DAT 02.10.2006 15:24 24.072 uxtuneup.dll 29.08.2006 18:43 135.168 swreg.exe 29.08.2006 16:05 16.832 amcompat.tlb 29.08.2006 16:05 23.392 nscompat.tlb 24.07.2006 17:14 173.676 tccfg.dll 24.07.2006 17:14 709.776 tapibridge.tsp 24.07.2006 17:13 118.784 tapihlp.dll 24.07.2006 17:13 45.056 tcdevmgr.dll Nr.2 : Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: EC93-9EEE Verzeichnis von C:\DOKUME~1\MJAKOBY\LOKALE~1\Temp 09.11.2006 12:06 9.121 IH7.tmp 09.11.2006 12:05 1.426 ExchangePerflog_8484fa317a2a957c3925e066.dat 09.11.2006 12:04 224 WCESCOMM.LOG 29.04.2005 17:11 380.736 applnch.exe 4 Datei(en) 391.507 Bytes 0 Verzeichnis(se), 12.931.346.432 Bytes frei Nr.3 : Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: EC93-9EEE Verzeichnis von C:\WINDOWS 09.11.2006 12:02 0 0.log 09.11.2006 12:01 3.442 ModemLog_MicroLink 56k Fun PnP #2.txt 09.11.2006 12:01 159 wiadebug.log 09.11.2006 12:01 50 wiaservc.log 09.11.2006 12:01 2.048 bootstat.dat 09.11.2006 12:00 1.743.677 WindowsUpdate.log 09.11.2006 12:00 32.574 SchedLgU.Txt 08.11.2006 09:27 557.816 ntbtlog.txt 08.11.2006 09:19 185.350 setupact.log 07.11.2006 14:15 1.015 Tda30.INI 07.11.2006 11:45 862 Tda200.INI 06.11.2006 13:09 761 win.ini 06.11.2006 13:09 227 system.ini 06.11.2006 10:23 2.128.781 setupapi.log 27.10.2006 08:35 148.987 wmsetup.log 24.10.2006 14:16 0 blsecurity.INI 24.10.2006 14:15 57 csta.ini 24.10.2006 14:07 0 BLCONFIG.INI 20.10.2006 13:14 2.893 vpd.properties 13.10.2006 12:30 28.736 FBZADMIN.INI 11.09.2006 08:06 2.510 Microsoft.MIF 29.08.2006 16:06 459 wmsetup10.log 29.08.2006 16:04 316.640 WMSysPr9.prx 26.07.2006 11:59 55.296 ginstall.dll 19.06.2006 16:57 14.130 ASS_150E.INI 04.05.2006 12:49 4.325 mozver.dat Nr.4 : Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: EC93-9EEE Verzeichnis von C:\WINDOWS\Temp 09.11.2006 12:01 0 T30DebugLogFile.txt 09.11.2006 12:01 16.384 Perflib_Perfdata_5d0.dat 2 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 12.931.334.144 Bytes frei Nr.5 : Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: EC93-9EEE Verzeichnis von C:\WINDOWS\Downloaded Program Files 22.06.2006 10:41 5.032 swflash.inf 07.06.2006 10:09 1.249 erma.inf 15.11.2004 14:40 65 desktop.ini 3 Datei(en) 6.346 Bytes 0 Verzeichnis(se), 12.931.334.144 Bytes frei Nr.6 : Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: EC93-9EEE Verzeichnis von C:\ 09.11.2006 12:19 0 sys.txt 09.11.2006 12:19 391 down.txt 09.11.2006 12:19 346 tmp.txt 09.11.2006 12:17 9.745 system.txt 09.11.2006 12:16 471 systemtemp.txt 09.11.2006 12:16 110.420 system32.txt 09.11.2006 12:00 301.518.848 hiberfil.sys 09.11.2006 12:00 268.435.456 pagefile.sys 08.11.2006 09:21 1.393 rapport option 2.txt 08.11.2006 09:21 1.393 rapport.txt 07.11.2006 17:17 8.854 ComboFix_sich.txt 07.11.2006 17:14 8.854 ComboFix.txt 06.11.2006 13:09 211 boot.ini 27.10.2006 08:38 43.030 stinger.txt 13.02.2006 13:36 0 L9.TST 22.11.2005 14:32 13.030 PDOXUSRS.NET 09.11.2005 12:23 142 BPInspect.log 22.06.2005 13:44 1.047.130 VV_Install.log 15.11.2004 15:11 47.564 NTDETECT.COM 15.11.2004 15:11 251.184 ntldr 15.11.2004 14:43 0 AUTOEXEC.BAT 15.11.2004 14:43 0 IO.SYS 15.11.2004 14:43 0 CONFIG.SYS 15.11.2004 14:43 0 MSDOS.SYS 02.04.2003 13:00 4.952 bootfont.bin 30.04.2001 00:42 133 kubd.bat 26 Datei(en) 571.503.547 Bytes 0 Verzeichnis(se), 12.931.330.048 Bytes frei |
|
|
||
09.11.2006, 13:10
Ehrenmitglied
Beiträge: 29434 |
#8
1.
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren Doppelklick:regsrch.vbs reinkopieren: winmsn32.exe Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) ___________________________________________________ 2. Start > Ausfuehren --> reinschreiben --> cmd und ok. kopiere rein dir /s /a "c:\winmsn32*.*" > c:\find.txt & start notepad c:\find.txt und poste alles, was im Texteditor erscheint __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.11.2006, 14:10
...neu hier
Themenstarter Beiträge: 9 |
#9
1.
2-Fehlermeldungen 1 regedit.exe- Fehler in Anwendung Die Anwendung konnte nicht richtig initialisiert werden (0xc0000005).drücke OK.... 2 Windows Script Host Skript: C:\RegSrch.vbs Zeile: 39 Zeichen: 3 Fehler: File not found Code: 800A0035 Quelle: Microsoft VBScript runtime error 2. Editor bleibt leer ..... |
|
|
||
09.11.2006, 16:30
Ehrenmitglied
Beiträge: 29434 |
#10
Variante 1: falls xpantispy installiert ist, dort den Windows Script Host freischalten
Hosts freischalten - mit dem xp-antispy Starten ==> unter "Diverse Einstellungen" [ ] Windows Scripting Host deaktivieren Davor den Haken wegnehmen und unten auf "Einstellungen Uebernehmen" klicken. Variante 2: Schau mal, ob es in der Registry (Start -> Ausführen -> regedit) bei dir unter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings einen Eintrag mit dem Namen Enabled gibt. Wenn ja, dann weise diesem den Wert 1 zu, dann ist der Scripting Host wieder aktiviert. (dann den PC neustarten) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.11.2006, 17:36
...neu hier
Themenstarter Beiträge: 9 |
#11
hi,
Variante 2: "Silent Terminate" hatte den Wert "0" nach der Änderung habe ich nun folgendendes Ergebniss REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "winmsn32.exe" 06-11-09 17:32:56 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole] "Windows sq Drivers"="winmsn32.exe" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa] "Windows sq Drivers"="winmsn32.exe" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Lsa] "Windows sq Drivers"="winmsn32.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "Windows sq Drivers"="winmsn32.exe" [HKEY_USERS\S-1-5-21-194930919-2995342866-711448545-1142\Software\Microsoft\OLE] "Windows sq Drivers"="winmsn32.exe" [HKEY_USERS\S-1-5-21-194930919-2995342866-711448545-1142\Software\Microsoft\Windows\CurrentVersion\RunServices] "Windows sq Drivers"="winmsn32.exe" [HKEY_USERS\S-1-5-21-194930919-2995342866-711448545-1142\SYSTEM\CurrentControlSet\Control\Lsa] "Windows sq Drivers"="winmsn32.exe" achso, zu 2. (Eingabeaufforderung/DOS-Ebene) unter der Befehlszeile erscheint "Datei nicht gefunden" und im Texteditor erscheint nur Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: EC93-9EEE leer... Dieser Beitrag wurde am 09.11.2006 um 17:50 Uhr von Mikka88 editiert.
|
|
|
||
09.11.2006, 23:47
Ehrenmitglied
Beiträge: 29434 |
#12
Information:
http://virus-protect.org/artikel/spyware/winmsn32_windows_sq_drivers.html ___________________________________________________________________ «« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen Zitat REGEDIT4*** Start > Ausführen --> reinschreiben --> cmd.exe und ok. kopiere rein dir /s /a "c:\msdirectx*.*" > c:\find.txt & start notepad c:\find.txt enter - poste den text, der erscheint »» um den Rootkit zu finden: RootkitRevealer http://www.sysinternals.com/Utilities/RootkitRevealer.html poste das log _______________________________________________________________ »» poste dieses log http://virus-protect.org/registry_stuff.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.11.2006, 13:57
...neu hier
Themenstarter Beiträge: 9 |
#13
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: EC93-9EEE Verzeichnis von c:\Dokumente und Einstellungen\MJAKOBY\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8R71OQLO 06-11-10 13:43 9,009 winmsn32_windows_sq_drivers[1].htm 1 Datei(en) 9,009 Bytes Anzahl der angezeigten Dateien: 1 Datei(en) 9,009 Bytes 0 Verzeichnis(se), 13,081,763,840 Bytes frei ,,,die Suche nach "msdirectx*.*" war erfolglos bzw. Editor leer.... LG |
|
|
||
10.11.2006, 14:47
Ehrenmitglied
Beiträge: 29434 |
#14
um den Rootkit zu finden:
RootkitRevealer http://www.sysinternals.com/Utilities/RootkitRevealer.html poste das log __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.11.2006, 11:06
...neu hier
Themenstarter Beiträge: 9 |
#15
Hi,hat ein bisi gedauert....
HKLM\SECURITY\Policy\Secrets\SAC* 04-11-15 15:06 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAI* 04-11-15 15:06 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Microsoft\MSSQLServer\MSSQLServer\uptime_time_utc 06-11-14 10:31 8 bytes Data mismatch between Windows API and raw hive data. C:\Dokumente und Einstellungen\MJAKOBY\Lokale Einstellungen\Temp\Acr91E.tmp 06-11-14 10:32 0 bytes Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\MJAKOBY\Lokale Einstellungen\Temp\Acr920.tmp 06-11-14 10:37 0 bytes Visible in Windows API, but not in MFT or directory index. C:\Dokumente und Einstellungen\MJAKOBY\Lokale Einstellungen\Temp\Acr928.tmp 06-11-14 11:01 0 bytes Hidden from Windows API. C:\System Volume Information\_restore{81628266-0BEB-4044-82A4-AA0B82B1F013}\RP620\A0262089.exe 06-11-03 13:07 2.67 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{81628266-0BEB-4044-82A4-AA0B82B1F013}\RP620\A0262115.exe 06-11-03 13:21 2.67 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{81628266-0BEB-4044-82A4-AA0B82B1F013}\RP620\A0262125.exe 06-11-03 14:03 2.67 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{81628266-0BEB-4044-82A4-AA0B82B1F013}\RP621\A0263269.EXE 05-08-10 13:00 260.00 KB Visible in Windows API, but not in MFT or directory index. C:\System Volume Information\_restore{81628266-0BEB-4044-82A4-AA0B82B1F013}\RP622\A0265852.exe 06-11-03 04:49 1.44 MB Visible in Windows API, but not in MFT or directory index. |
|
|
||
es nervt!!!
wäre spitze wenn jemand auch mein Problem lösen könnte
Logfile of HijackThis v1.99.1
Scan saved at 17:57:37, on 06.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\Ericsson\BMS\Server\bmsService.exe
C:\PROGRAM FILES\ERICSSON\BLINK\BLINK.EXE
C:\Programme\Ericsson\BMS\Server\_jvm\bin\javaw.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\NOD32\nod32krn.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\NOD32\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\MJAKOBY\Eigene Dateien\HiJack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://companyweb
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\NOD32\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\RunServices: [Windows sq Drivers] winmsn32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://companyweb
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = IC.local
O17 - HKLM\Software\..\Telephony: DomainName = IC.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{23616672-F2C8-4EAF-AEFF-991D62EABC0F}: NameServer = 192.168.32.10,192.168.32.250
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = IC.local
O21 - SSODL: bonspells - {11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} - C:\WINDOWS\system32\okkmtv.dll
O23 - Service: BusinessPhone Management Suite (BMSService) - Ericsson Austria GmbH - C:\Programme\Ericsson\BMS\Server\bmsService.exe
O23 - Service: BusinessLink for Windows - Ericsson, Inc. - C:\PROGRAM FILES\ERICSSON\BLINK\BLINK.EXE
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\NOD32\nod32krn.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe