Virus stoppt alles!? Kein virenscanner schafft ihn?!?

#1 hi,
Icg habe mir nen keygen runtergeladen, weil mein alter nicht mehr funst. Und seit dem ist alles SEHR langsam geworden ich kann diesen keygen auch nicht oeffnen oder loeschen jeder Virenscanner den ich scannen lasse stoppt oder haengt isch auf wenn er an dem pfad ankommt unter welchen der keygen liegt....

virenscanner:AntiVir, Norten, stinger, spybot, und einer der auf einmal auf meinem rechner war und keiner weiss wo er her kahm; xoftSpy SE und rootkit revealer...

Weiter muss ich den pc oft mehrmal starten biss ich wieder ins inet kann ... hoffe nur das ich nicht i.wann garnicht mehr reinkann-.....


bitte helfen ne idee was das sein koennte ??? danke schon einmal



PS: Wer erfindet ueberhaubt so Schei... viren de braucht doch kein mensch!?

#2

Zitat

PS: Wer erfindet ueberhaubt so Schei... viren de braucht doch kein mensch!?

zum daten klauen, pcs zu kontrollieren, oder um einfach macht zu haben? kranke leute halt


Führe bitte folgendes durch, soweit wie möglich und poste doch auch mal den pfad wo die scanner sich aufhängen. http://board.protecus.de/t23187.htm

#3 das prob ist das ich stunden brauche um ueberhaubt i,.was zu machen weil sich das system sehr verlangsamt...(pc eigentlich relativ neu(halbes jahr))


wow habe es geschafft eine log zu erstellen... counterspy bricht uebrigens auch ab...

der pfad:C:\Dokumente und Einstellungen\Jan Schemann\Desktop\warhammer_40_000_dawn_of_war_dash_dark_crusade_1_0_keygen.exe


Logfile of HijackThis v1.99.1
Scan saved at 19:29:47, on 15.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Sandboxie\SandboxieServer.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Norton Internet Security\ATRACK.EXE
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\JANSCH~1\LOKALE~1\Temp\Rar$EX00.594\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://spaces.live.com/profile.aspx?action=edit&section=contactinfo&mkt=de-de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG] C:\Programme\D-Link\AirPlus XtremeG\AirPlusCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://jans3in3r.spaces.live.com//PhotoUpload/MsnPUpld.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: Sandboxie Service (SandboxU) - tzuk - C:\Programme\Sandboxie\SandboxieServer.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe





Weiter komm ich leider net kann weder mit fierfox noch mit microsoft internet explorer was downloaden... haengt sich uff....

#4 einzig auffällig ist mir O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben


sonst könnten sich antivir und norton gegenseitig bremsen, aber das erklärt den keygen nicht so ganz^^

#5 The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Home Edition
Version: 5.1.2600 Service Pack 2
Jan 15, 2007 20:11:49


---> Begin Service Listing <---

Unknown Service # 1
Service Name: AntiVirScheduler
Display Name: AntiVir PersonalEdition Classic Planer
Start Mode: Auto
Start Name: LocalSystem
Description: Dienst zur Steuerung von AntiVir Prüfaufträgen und ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\sched.exe
State: Running
Process ID: 1436
Started: True
Exit Code: 0
Accept Pause: False
Accept Stop: True

Unknown Service # 2
Service Name: AntiVirService
Display Name: AntiVir PersonalEdition Classic Guard
Start Mode: Auto
Start Name: LocalSystem
Description: Bietet permanenten Schutz vor Viren und Malware mit der AntiVir ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\avguard.exe
State: Running
Process ID: 1448
Started: True
Exit Code: 0
Accept Pause: False
Accept Stop: True

Unknown Service # 3
Service Name: IDriverT
Display Name: InstallDriver Table Manager
Start Mode: Manual
Start Name: LocalSystem
Description: Provides support for the Running Object Table for InstallShield ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe"
State: Stopped
Process ID: 0
Started: False
Exit Code: 1077
Accept Pause: False
Accept Stop: False

Unknown Service # 4
Service Name: MsaSvc
Display Name: Microsoft authenticate service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\windows\system32\msasvc.exe
State: Stopped
Process ID: 0
Started: False
Exit Code: 0
Accept Pause: False
Accept Stop: False

Unknown Service #5
Service Name: navapsvc
Display Name: Norton AntiVirus Auto-Protect-Dienst
Start Mode: Auto
Start Name: LocalSystem
Description: Verarbeitet Norton AntiVirus ...
Service Type: Own Process
Path: c:\programme\norton antivirus\navapsvc.exe
State: Running
Process ID: 1492
Started: True
Exit Code: 0
Accept Pause: False
Accept Stop: True

Unknown Service # 6
Service Name: NISSERV
Display Name: Norton Internet Security Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\norton internet security\nisserv.exe"
State: Running
Process ID: 1708
Started: True
Exit Code: 0
Accept Pause: False
Accept Stop: True

Unknown Service #7
Service Name: NISUM
Display Name: Norton Internet Security Accounts Manager
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\norton internet security\nisum.exe"
State: Running
Process ID: 1540
Started: True
Exit Code: 0
Accept Pause: False
Accept Stop: True

Unknown Service # 8
Service Name: SandboxU
Display Name: Sandboxie Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\sandboxie\sandboxieserver.exe
State: Running
Process ID: 1608
Started: True
Exit Code: 0
Accept Pause: False
Accept Stop: True

Unknown Service #9
Service Name: SBService
Display Name: ScriptBlocking Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\progra~1\gemein~1\symant~1\script~1\sbserv.exe
State: Stopped
Process ID: 0
Started: False
Exit Code: 0
Accept Pause: False
Accept Stop: False

Unknown Service #10
Service Name: SNDSrvc
Display Name: Symantec Network Drivers Service
Start Mode: Manual
Start Name: LocalSystem
Description: Symantec Network Drivers ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\symantec shared\sndsrvc.exe"
State: Stopped
Process ID: 0
Started: False
Exit Code: 1077
Accept Pause: False
Accept Stop: False

Unknown Service #11
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{d379f324-b67e-4d67-9f2c-ec8e4b2ac9b5}
State: Stopped
Process ID: 0
Started: False
Exit Code: 1077
Accept Pause: False
Accept Stop: False

Unknown Service # 12
Service Name: SymProxySvc
Display Name: Norton Internet Security Proxy Service
Start Mode: Auto
Start Name: LocalSystem
Description: Symantec Transparent Proxy ...
Service Type: Own Process
Path: "c:\programme\norton internet security\symproxysvc.exe"
State: Running
Process ID: 972
Started: True
Exit Code: 0
Accept Pause: False
Accept Stop: True

Unknown Service # 13
Service Name: usnsvc
Display Name: Messenger Sharing USN Journal Reader-Service
Start Mode: Manual
Start Name: LocalSystem
Description: Ein von Messenger installierter Service, der Freigabeszenarien ...
Service Type: Own Process
Path: c:\windows\system32\svchost.exe -k usnsvc
State: Running
Process ID: 3344
Started: True
Exit Code: 0
Accept Pause: False
Accept Stop: True

Unknown Service # 14
Service Name: WMPNetworkSvc
Display Name: Windows Media Player-Netzwerkfreigabedienst
Start Mode: Manual
Start Name: NT AUTHORITY\NetworkService
Description: Gibt Windows Media Player-Bibliotheken mithilfe des universellen Plug & Play für andere Players ...
Service Type: Own Process
Path: c:\programme\windows media player\wmpnetwk.exe
State: Stopped
Process ID: 0
Started: False
Exit Code: 1077
Accept Pause: False
Accept Stop: False

Unknown Service # 15
Service Name: WudfSvc
Display Name: Windows Driver Foundation - User-mode Driver Framework
Start Mode: Manual
Start Name: LocalSystem
Description: Manages user-mode driver host ...
Service Type: Share Process
Path: c:\windows\system32\svchost.exe -k wudfservicegroup
State: Stopped
Process ID: 0
Started: False
Exit Code: 1077
Accept Pause: False
Accept Stop: False

---> End Service Listing <---

There are 94 Win32 services on this machine.
15 were unrecognized.

Script Execution Time: 0.9375 seconds.




-------------und dann datfind.bat das mit combofix klappt nicht(kanns nicht loaden pc heangt sich dabei auf)-------------


als anhang weil zu groß....

#6 Kacktuspo

Avenger
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSASVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsaSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc

Files to delete:
C:\Dokumente und Einstellungen\Jan Schemann\Desktop\warhammer_40_000_dawn_of_war_dash_dark_crusade_1_0_keygen.exe
c:\ryembqbd.exe
c:\ownwlpm.exe
c:\qawl.exe
c:\vico.exe
c:\kptsss.exe
c:\xklxhlc.exe
c:\vimsflwp.exe
c:\baiod.exe
c:\xaahyjmc.exe
c:\dolmdmv.exe
c:\-1398871055
c:\windows\system32\msasvc.exe
C:\WINDOWS\system32\secure32.html
C:\WINDOWS\system32\SBFC.dat
C:\WINDOWS\system32\SBRC.dat

Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

»»
deinstalliere einen der beiden Virenscanner , Norton und Antivirus "vertragen" sich nicht
__________
MfG Sabina

rund um die PC-Sicherheit

#7 hm beim rebooten schlug der antivir nochma auf mit dem pfad:

C:\Dokumente und Einstellungen\Jan Schemann\Desktop\warhammer_40_000_dawn_of_war_dash_dark_crusade_1_0_keygen.exe
ansonsten ist der keygen aber scheinbar weg!!!! *freuuuu*

PS:laesst sich norten problem los entfernen??? hab gehoert das wäre problematisch???

log von avenger:


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////



//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\fakjtaxn

*******************

Script file located at: \??\C:\WINDOWS\t^csxved.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Dokumente und Einstellungen\Jan Schemann\Desktop\warhammer_40_000_dawn_of_war_dash_dark_crusade_1_0_keygen.exe deleted successfully.
File c:\ryembqbd.exe deleted successfully.
File c:\ownwlpm.exe deleted successfully.
File c:\qawl.exe deleted successfully.
File c:\vico.exe deleted successfully.
File c:\kptsss.exe deleted successfully.
File c:\xklxhlc.exe deleted successfully.
File c:\vimsflwp.exe deleted successfully.
File c:\baiod.exe deleted successfully.
File c:\xaahyjmc.exe deleted successfully.
File c:\dolmdmv.exe deleted successfully.
File c:\-1398871055 deleted successfully.


File c:\windows\system32\msasvc.exe not found!
Deletion of file c:\windows\system32\msasvc.exe failed!

Could not process line:
c:\windows\system32\msasvc.exe
Status: 0xc0000034

File C:\WINDOWS\system32\secure32.html deleted successfully.
File C:\WINDOWS\system32\SBFC.dat deleted successfully.
File C:\WINDOWS\system32\SBRC.dat deleted successfully.

Completed script processing.

*******************

Finished! Terminate.//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\yfmpxvga

*******************

Script file located at: \??\C:\n^ivolfm.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Dokumente und Einstellungen\Jan Schemann\Desktop\warhammer_40_000_dawn_of_war_dash_dark_crusade_1_0_keygen.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Jan Schemann\Desktop\warhammer_40_000_dawn_of_war_dash_dark_crusade_1_0_keygen.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Jan Schemann\Desktop\warhammer_40_000_dawn_of_war_dash_dark_crusade_1_0_keygen.exe
Status: 0xc0000034



File c:\ryembqbd.exe not found!
Deletion of file c:\ryembqbd.exe failed!

Could not process line:
c:\ryembqbd.exe
Status: 0xc0000034



File c:\ownwlpm.exe not found!
Deletion of file c:\ownwlpm.exe failed!

Could not process line:
c:\ownwlpm.exe
Status: 0xc0000034



File c:\qawl.exe not found!
Deletion of file c:\qawl.exe failed!

Could not process line:
c:\qawl.exe
Status: 0xc0000034



File c:\vico.exe not found!
Deletion of file c:\vico.exe failed!

Could not process line:
c:\vico.exe
Status: 0xc0000034



File c:\kptsss.exe not found!
Deletion of file c:\kptsss.exe failed!

Could not process line:
c:\kptsss.exe
Status: 0xc0000034



File c:\xklxhlc.exe not found!
Deletion of file c:\xklxhlc.exe failed!

Could not process line:
c:\xklxhlc.exe
Status: 0xc0000034



File c:\vimsflwp.exe not found!
Deletion of file c:\vimsflwp.exe failed!

Could not process line:
c:\vimsflwp.exe
Status: 0xc0000034



File c:\baiod.exe not found!
Deletion of file c:\baiod.exe failed!

Could not process line:
c:\baiod.exe
Status: 0xc0000034



File c:\xaahyjmc.exe not found!
Deletion of file c:\xaahyjmc.exe failed!

Could not process line:
c:\xaahyjmc.exe
Status: 0xc0000034



File c:\dolmdmv.exe not found!
Deletion of file c:\dolmdmv.exe failed!

Could not process line:
c:\dolmdmv.exe
Status: 0xc0000034



File c:\-1398871055 not found!
Deletion of file c:\-1398871055 failed!

Could not process line:
c:\-1398871055
Status: 0xc0000034



File c:\windows\system32\msasvc.exe not found!
Deletion of file c:\windows\system32\msasvc.exe failed!

Could not process line:
c:\windows\system32\msasvc.exe
Status: 0xc0000034



File C:\WINDOWS\system32\secure32.html not found!
Deletion of file C:\WINDOWS\system32\secure32.html failed!

Could not process line:
C:\WINDOWS\system32\secure32.html
Status: 0xc0000034



File C:\WINDOWS\system32\SBFC.dat not found!
Deletion of file C:\WINDOWS\system32\SBFC.dat failed!

Could not process line:
C:\WINDOWS\system32\SBFC.dat
Status: 0xc0000034



File C:\WINDOWS\system32\SBRC.dat not found!
Deletion of file C:\WINDOWS\system32\SBRC.dat failed!

Could not process line:
C:\WINDOWS\system32\SBRC.dat
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

#8 kopiere in den avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSASVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsaSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc

ud poste das log vom avenger nach neustart

»»
poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ctaikejk

*******************

Script file located at: \??\C:\qgarddkj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSASVC deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsaSvc deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSASVC deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsaSvc deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSASVC
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsaSvc
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

#10 1.
du musst unbedingt die temporaeren Dateien loeschen
http://virus-protect.org/cleanup.html

2.
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 -------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Donnerstag, 18. Januar 2007 03:27:47
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 17/01/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 244621
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
M:\
W:\
X:\
Y:\
Z:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 204424
Viren gefunden: 2
Infizierte Objekte gefunden: 2 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 02:16:38

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\Jan Schemann\Anwendungsdaten\Mozilla\Firefox\Profiles\gunvy7wn.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Anwendungsdaten\Mozilla\Firefox\Profiles\gunvy7wn.default\formhistory.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Anwendungsdaten\Mozilla\Firefox\Profiles\gunvy7wn.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Anwendungsdaten\Mozilla\Firefox\Profiles\gunvy7wn.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Anwendungsdaten\Mozilla\Firefox\Profiles\gunvy7wn.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\cli.exe.da01c7d0.ini.inuse Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Media Player\CurrentDatabase_360.wmdb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\littlejan@gmx.de\SharingMetadata\Logs\Dfsr.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\littlejan@gmx.de\SharingMetadata\pending.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\littlejan@gmx.de\SharingMetadata\Working\database_DEAC_9F1A_AC9E_EBF1\dfsr.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\littlejan@gmx.de\SharingMetadata\Working\database_DEAC_9F1A_AC9E_EBF1\fsr.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\littlejan@gmx.de\SharingMetadata\Working\database_DEAC_9F1A_AC9E_EBF1\fsrtmp.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\littlejan@gmx.de\SharingMetadata\Working\database_DEAC_9F1A_AC9E_EBF1\tmp.edb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Contacts\littlejan@gmx.de\real\members.stg Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Contacts\littlejan@gmx.de\shadow\members.stg Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\11.0\WMSDKNSD.XML Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\gunvy7wn.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\gunvy7wn.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\gunvy7wn.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\gunvy7wn.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Temp\Perflib_Perfdata_cc0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Temp\Perflib_Perfdata_f98.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Temp\~DF5EA3.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Temp\~DF5EBE.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Temp\~DF749E.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Temp\~DF75CC.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Temp\~DF7F9F.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Temp\~DF7FB3.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Temp\~DFBBC7.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Temp\~DFE90D.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Temp\~DFE921.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Temp\~DFE938.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Temp\~DFE94C.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Temp\~DFE969.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Temp\~DFE986.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Temp\~DFE99D.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Temp\~DFE9C3.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Jan Schemann\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Norton Internet Security\iamadblk.rel Das Objekt ist gesperrt übersprungen
C:\Programme\Norton Internet Security\iamalert.rel Das Objekt ist gesperrt übersprungen
C:\Programme\Norton Internet Security\iamfw.rel Das Objekt ist gesperrt übersprungen
C:\Programme\Norton Internet Security\iampriv.rel Das Objekt ist gesperrt übersprungen
C:\Programme\Norton Internet Security\iamrstct.rel Das Objekt ist gesperrt übersprungen
C:\Programme\Norton Internet Security\iamsys.rel Das Objekt ist gesperrt übersprungen
C:\Programme\Norton Internet Security\iamtcp.rel Das Objekt ist gesperrt übersprungen
C:\Programme\Norton Internet Security\iamtdi.rel Das Objekt ist gesperrt übersprungen
C:\Programme\Norton Internet Security\iamwebh.rel Das Objekt ist gesperrt übersprungen
C:\Programme\Norton Internet Security\nisum.dat Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\Steam.log Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\steamapps\counter-strike german.gcf Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\steamapps\counter-strike.gcf Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\steamapps\day of defeat german.gcf Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\steamapps\day of defeat.gcf Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\steamapps\half-life engine.gcf Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\steamapps\half-life german.gcf Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\steamapps\half-life.gcf Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\steamapps\platform.gcf Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\steamapps\sourceinit.gcf Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\steamapps\winui.gcf Das Objekt ist gesperrt übersprungen
C:\Programme\Steam\SteamLogs\SteamStats.log Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{313E447C-BE35-4D68-A173-018CE795DA87}\RP54\A0006363.dll Infizierte Objekte: Trojan-PSW.Win32.Sinowal.bh übersprungen
C:\System Volume Information\_restore{313E447C-BE35-4D68-A173-018CE795DA87}\RP54\A0008383.exe Infizierte Objekte: Trojan-Downloader.Win32.Small.edb übersprungen
C:\System Volume Information\_restore{313E447C-BE35-4D68-A173-018CE795DA87}\RP54\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
F:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

#12 1.
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann wieder aktivieren

2.
entscheide dich fuer nur einen virenscanner - Symantec und Antivirus vertragen sich nicht .....

3.
poste das neue Log vom HijacktHis
__________
MfG Sabina

rund um die PC-Sicherheit

#13 oki gemacht ....
hm wie kann es eig. sein, dass alle progs. bei dem pfad abgebrochen sind unt avenger den problemlos geloescht hat????


Logfile of HijackThis v1.99.1
Scan saved at 17:06, on 07-01-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Sandboxie\SandboxieServer.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\D-Link\AirPlus XtremeG\AirPlusCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\JANSCH~1\LOKALE~1\Temp\Rar$EX00.000\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://spaces.live.com/profile.aspx?action=edit&section=contactinfo&mkt=de-de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG] C:\Programme\D-Link\AirPlus XtremeG\AirPlusCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://jans3in3r.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sandboxie Service (SandboxU) - tzuk - C:\Programme\Sandboxie\SandboxieServer.exe

#14

Zitat

hm wie kann es eig. sein, dass alle progs. bei dem pfad abgebrochen sind unt avenger den problemlos geloescht hat????

der Avenger vollbringt eben Wunder

-------------------------------------------------------------------

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

(damit es aus dem Systemstart rauskommt: )

Zitat

O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

»»
poste dieses log
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_CURRENT_USER\Software\Microsoft\OLE
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry
doesn't exist HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"Description"="Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz."
"DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:000002c9

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000
"DoNotAllowExceptions"=dword:00000000
"DisableNotifications"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"E:\\TrackMania Nations ESWC\\TmNationsESWC.exe"="E:\\TrackMania Nations ESWC\\TmNationsESWC.exe:*:Enabled:TmNationsESWC"
"C:\\Programme\\Steam\\steamapps\\fede1986\\day of defeat\\hl.exe"="C:\\Programme\\Steam\\steamapps\\fede1986\\day of defeat\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"
"E:\\Battlefield 2\\BF2.exe"="E:\\Battlefield 2\\BF2.exe:*:Enabled:Battlefield 2"
"E:\\Battlefield 2142\\BF2142.exe"="E:\\Battlefield 2142\\BF2142.exe:*:Enabled:Battlefield 2"
"E:\\Stronghold 2\\Stronghold2.exe"="E:\\Stronghold 2\\Stronghold2.exe:*isabled:Stronghold 2"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*isabled:Windows Live Messenger 8.0 (Phone)"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]