Festplatte arbeitet andauernd, hohe i-net aktivität

#0
11.02.2007, 19:32
...neu hier

Beiträge: 5
#1 Hi, ich bin ziemlich unwissend was Spyware und Dialer und sowas angeht aber ich glaube ich hab sowas aufm PC.

Vorn paar tagen hatte sich ie immer geöffnet und mich voll gespammt. seitdem rattert die Festplatte dauernd auf hochturen, ausserdem is mein Dokumente und Einstellungen/MEINNAME/Complete Ordner voller müll aus dem netz. außerdem verdechtige tasks (mit security task manager bemerkt), wie Data Engine,Winlog,dllhost.exe, vidmon.exe und Toolbar888 oder so (mittlerweile gelöscht, daher weiss ichs nicht mehr) der echte task manager geht nicht, suchfunktion von Windows auch nicht.

Ich hab Windows XP SP.2 benutz normal Kaspersky Internet securtiy suit.ICQ hab ich nicht mehr, jetzt trillian.
Kaspersky und Antivir finden nix. hier mal mein HighJackthis log

Logfile of HijackThis v1.99.1
Scan saved at 19:12:27, on 11.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
E:\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\Rundll32.exe
E:\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
E:\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Creative\MediaSource\Detector\CTDetect.exe
E:\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
E:\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
E:\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Security Task Manager\taskman.exe
E:\AVPersonal\AVWUPSRV.EXE
E:\AVPersonal\AVGUARD.EXE
E:\AVPersonal\AVGNT.EXE
E:\Opera\Opera.exe
E:\AVPersonal\AVWIN.EXE
G:\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: PEDEV_IEListener Class - {E1412445-4FF8-410e-8D24-F2CF86B171A4} - C:\Programme\PeDevice\PeDev.dll
O4 - HKLM\..\Run: [PRISMSVR.EXE] "E:\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AVPCC] "E:\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "E:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\Run: [vidmon] C:\WINDOWS\system32\vidmon\vidmon.exe

O4 - HKLM\..\Run: [AVGCtrl] "E:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] E:\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = E:\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: dllhost.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = E:\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O4 - Global Startup: NkbMonitor.exe.lnk = E:\Nikon\PictureProject\NkbMonitor.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\AVPersonal\AVGUARD.EXE
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - E:\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /service (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\AVPersonal\AVWUPSRV.EXE
O23 - Service: Client IP-IPX - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000137 (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - E:\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

könnt ihr mir bitte helfen? bitte nicht zu viel fachsprache, ich versteh nicht viel davon.
Seitenanfang Seitenende
11.02.2007, 20:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 SerialKiller

Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

««
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html

««
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.02.2007, 21:46
...neu hier

Themenstarter

Beiträge: 5
#3 was bedeutet <<? danach? Combofix startet er nicht wie dargestellt, kommt kurz nen schwarzes Fenster und danach is es weg. CleanUp hab ich ausgeführt. Kannst du mir vllt sagen was ich da aufm rechner hab? EDIT: Die verdächtigen tasks waren trotz löschung vor dem neustart und clean up nach dem neustart wieder da.
Dieser Beitrag wurde am 11.02.2007 um 21:50 Uhr von SerialKiller editiert.
Seitenanfang Seitenende
11.02.2007, 21:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 der rechner ist ...total verseucht....ein email oder P2P-Wurm....

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\All Users\Desktop" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Desktop" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.02.2007, 22:22
...neu hier

Themenstarter

Beiträge: 5
#5 Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 94AA-9AED

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Desktop

09.02.2007 21:58 <DIR> .
09.02.2007 21:58 <DIR> ..
03.02.2007 00:26 525 Anno 1701.lnk
03.02.2007 15:11 447 Dark Crusade.lnk
03.02.2007 12:42 691 Need for SpeedT Carbon.lnk
3 Datei(en) 1.663 Bytes
2 Verzeichnis(se), 34.582.343.680 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 94AA-9AED

Verzeichnis von C:\Dokumente und Einstellungen\Noel\Desktop

11.02.2007 00:35 <DIR> .
11.02.2007 00:35 <DIR> ..
11.02.2007 00:35 722 Age of Empires III.lnk
08.02.2007 22:09 1.719 Battlestations Midway MP-Demo spielen.lnk
2 Datei(en) 2.441 Bytes
2 Verzeichnis(se), 34.582.339.584 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 94AA-9AED

Verzeichnis von C:\WINDOWS\Downloaded Program Files

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 94AA-9AED

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 94AA-9AED

Verzeichnis von C:\Dokumente und Einstellungen\Noel

11.02.2007 21:39 <DIR> .
11.02.2007 21:39 <DIR> ..
09.02.2007 17:28 <DIR> .limewire
11.02.2007 16:45 126 default.pls
11.02.2007 00:35 <DIR> Desktop
11.02.2007 22:19 <DIR> Eigene Dateien
01.02.2007 23:48 <DIR> Favoriten
02.02.2007 17:58 <DIR> Incomplete
11.02.2007 21:37 90.437 install.exe
07.02.2007 16:16 1.687 regini.log
11.02.2007 21:37 393.216 shared.exe
01.02.2007 23:30 <DIR> Startmen
4 Datei(en) 485.466 Bytes
8 Verzeichnis(se), 34.582.339.584 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 94AA-9AED

Verzeichnis von C:\Dokumente und Einstellungen\Noel\Eigene Dateien

11.02.2007 22:19 <DIR> .
11.02.2007 22:19 <DIR> ..
08.02.2007 22:11 <DIR> Battlestations-Midway
04.02.2007 20:55 <DIR> Eigene Bilder
28.01.2007 16:37 10.685 Geschichte des Hufbeschlages .pdf
11.02.2007 00:34 481.982 Hufbeschlag.pdf
11.02.2007 22:19 1.070 listen.bat
11.02.2007 10:15 <DIR> My Games
03.02.2007 12:52 <DIR> NFS Carbon
10.02.2007 17:12 3.732 Praktikumsmappe Einfhrung (V.1).doc
11.02.2007 01:02 2.864 Praktikumsmappe Geschichte (V.1).doc
11.02.2007 00:40 176 ts ip.doc
6 Datei(en) 500.509 Bytes
6 Verzeichnis(se), 34.582.339.584 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 94AA-9AED

Verzeichnis von C:\Program Files

05.02.2007 20:11 <DIR> .
05.02.2007 20:11 <DIR> ..
05.02.2007 20:11 <DIR> Common Files
03.02.2007 13:26 <DIR> ICQLite
0 Datei(en) 0 Bytes
4 Verzeichnis(se), 34.582.339.584 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 94AA-9AED

Verzeichnis von C:\Dokumente und Einstellungen\Noel\Lokale Einstellungen\Temporary Internet Files\Content.IE5

11.02.2007 21:36 32.768 index.dat
1 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 34.582.339.584 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 94AA-9AED

Verzeichnis von C:\Dokumente und Einstellungen\Noel\Lokale Einstellungen\Temp

11.02.2007 22:19 <DIR> .
11.02.2007 22:19 <DIR> ..
11.02.2007 21:42 0 BCG21.tmp
11.02.2007 21:37 204 jusched.log
11.02.2007 21:37 32.768 ~DF946D.tmp
11.02.2007 21:37 512 ~DF9598.tmp
11.02.2007 21:37 16.384 ~DFA842.tmp
11.02.2007 21:38 16.384 ~DFF83D.tmp
6 Datei(en) 66.252 Bytes
2 Verzeichnis(se), 34.582.335.488 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 94AA-9AED

Verzeichnis von C:\WINDOWS\Temp

11.02.2007 21:37 <DIR> .
11.02.2007 21:37 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 34.582.335.488 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 94AA-9AED

Verzeichnis von C:\Temp

07.02.2007 14:49 <DIR> .
07.02.2007 14:49 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 34.582.335.488 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 94AA-9AED

Verzeichnis von C:\Programme

11.02.2007 21:38 <DIR> .
11.02.2007 21:38 <DIR> ..
11.02.2007 21:38 25.214 A.ico
11.02.2007 21:38 201.620 a.zip

09.02.2007 19:27 <DIR> Adobe
11.02.2007 21:38 25.214 B.ico
11.02.2007 21:38 217.699 b.zip
11.02.2007 21:38 218.599 c.zip

01.02.2007 23:39 <DIR> ComPlus Applications
02.02.2007 18:51 <DIR> Creative
11.02.2007 21:37 <DIR> Gemeinsame Dateien
11.02.2007 16:53 <DIR> InetGet2
04.02.2007 18:40 <DIR> Internet Explorer
02.02.2007 17:42 <DIR> Java
01.02.2007 23:39 <DIR> Messenger
01.02.2007 23:43 <DIR> microsoft frontpage
01.02.2007 23:40 <DIR> Movie Maker
02.02.2007 17:30 <DIR> MSN
01.02.2007 23:39 <DIR> MSN Gaming Zone
01.02.2007 23:40 <DIR> NetMeeting
01.02.2007 23:39 <DIR> Online Services
01.02.2007 23:41 <DIR> Online-Dienste
01.02.2007 23:40 <DIR> Outlook Express
11.02.2007 19:34 <DIR> PeDevice
04.02.2007 18:41 <DIR> QuickTime
11.02.2007 21:37 393.216 Setup.exe
11.02.2007 21:38 417.792 Track_03.exe
11.02.2007 21:38 417.792 Video.exe

02.02.2007 18:37 <DIR> Windows Media Player
01.02.2007 23:39 <DIR> Windows NT
01.02.2007 23:43 <DIR> xerox
8 Datei(en) 1.917.146 Bytes
23 Verzeichnis(se), 34.582.335.488 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 94AA-9AED

Verzeichnis von C:\Dokumente und Einstellungen\Noel\Lokale Einstellungen\Anwendungsdaten

09.02.2007 19:32 <DIR> Adobe
08.02.2007 19:02 <DIR> Ahead
11.02.2007 16:27 18.432 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
02.02.2007 16:05 12.328 GDIPFONTCACHEV1.DAT
02.02.2007 18:17 <DIR> Microsoft
2 Datei(en) 30.760 Bytes
3 Verzeichnis(se), 34.582.335.488 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 94AA-9AED

Verzeichnis von C:\Dokumente und Einstellungen\Noel\Anwendungsdaten

09.02.2007 19:31 <DIR> Adobe
08.02.2007 18:28 <DIR> Ahead
11.02.2007 16:27 <DIR> Azureus
01.02.2007 23:47 <DIR> Identities
03.02.2007 15:10 <DIR> InstallShield
04.02.2007 23:19 <DIR> Macromedia
04.02.2007 18:42 <DIR> Nikon
0 Datei(en) 0 Bytes
7 Verzeichnis(se), 34.582.335.488 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 94AA-9AED

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

09.02.2007 19:27 <DIR> Adobe
10.02.2007 23:58 <DIR> DVD Shrink
02.02.2007 16:37 <DIR> Prism
04.02.2007 18:40 <DIR> QuickTime
11.02.2007 21:49 <DIR> SecTaskMan
0 Datei(en) 0 Bytes
5 Verzeichnis(se), 34.582.335.488 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 94AA-9AED

Verzeichnis von C:\Programme\Gemeinsame Dateien

11.02.2007 21:37 <DIR> .
11.02.2007 21:37 <DIR> ..
09.02.2007 19:27 <DIR> Adobe
08.02.2007 18:28 <DIR> Ahead
01.02.2007 23:40 <DIR> Dienste
02.02.2007 18:36 <DIR> InstallShield
02.02.2007 17:39 <DIR> Java
04.02.2007 19:30 <DIR> Kaspersky Lab
01.02.2007 23:47 <DIR> Microsoft Shared
01.02.2007 23:40 <DIR> MSSoap
04.02.2007 18:42 <DIR> muvee Technologies
04.02.2007 18:42 <DIR> Nikon
01.02.2007 23:30 <DIR> ODBC
01.02.2007 23:30 <DIR> SpeechEngines
01.02.2007 23:40 <DIR> System
11.02.2007 21:38 <DIR> {34AA9AED-0ABE-1031-0127-060531200031}
11.02.2007 21:39 <DIR> {94AA9AED-0ABE-1031-0127-060531200031}

0 Datei(en) 0 Bytes
17 Verzeichnis(se), 34.582.331.392 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 94AA-9AED

Verzeichnis von C:\Windows\tasks

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 94AA-9AED


Was heisst das? Lohnt es sich überhaupt noch diesen PC zu reinigen? oder sollte ich besser format : c machen? hab ich eh erst vor 4 wochen gemacht.
Seitenanfang Seitenende
11.02.2007, 22:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 das kann man reinigen ;)

----------

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Client IP-IPX

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

PeDevice

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

vidmon

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

InetGet2

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

{34AA9AED-0ABE-1031-0127-060531200031}

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

{94AA9AED-0ABE-1031-0127-060531200031}


in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

---------

««
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.02.2007, 00:39
...neu hier

Themenstarter

Beiträge: 5
#7 ok morgen nacher schule :-) Thx schonmal ^^
Seitenanfang Seitenende
12.02.2007, 10:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ««
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)

-----------------------

inzwischen kannst du dann auch das machen

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"{34AA9AED-0ABE-1031-0127-060531200031}"=-
"{94AA9AED-0ABE-1031-0127-060531200031}"=-
2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\run|outlook
HKLM\software\microsoft\windows\currentversion\run|winlog
HKLM\software\microsoft\windows\currentversion\run|vidmon
HKLM\software\microsoft\windows\currentversion\run|winlog

registry keys to delete:
HKLM\Software\Classes\CLSID\{E1412445-4FF8-410e-8D24-F2CF86B171A4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{39D37D53-EAB9-4E04-9AC2-1D72F051590C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4499F8BB-234F-4c22-9131-5B147BD231B4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5E47627B-D89E-442b-82A6-F2FAB368621B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8B2369FD-C388-404d-B3A8-DD4784267EA1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A5CE9E73-125D-4e2f-8CB2-1349AB21EB53}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B424100F-21D7-4660-B2D0-90C71A597177}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BAA62B4F-5E59-40CC-B2EC-0E19B8776FA2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E1412445-4FF8-410e-8D24-F2CF86B171A4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{28252909-1BE7-4236-BD77-B59CFF2AE6C4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{43A1C50A-0683-4CAF-8066-3184184DFDB9}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CLIENT_IP-IPX\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CLIENT_IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Client IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CLIENT_IP-IPX\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CLIENT_IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Client IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CLIENT_IP-IPX\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CLIENT_IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Client IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_CLIENT_IP-IPX\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_CLIENT_IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Client IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLIENT_IP-IPX\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CLIENT_IP-IPX
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Client IP-IPX
HKEY_LOCAL_MACHINE\SOFTWARE\VIDMON
HKEY_LOCAL_MACHINE\SOFTWARE\IMON
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\WEBDP
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\IPWINS
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\APP MANAGEMENT\ARPCACHE\IPWINS

Files to delete:
C:\WINDOWS\system32\winlog.exe
C:\WINDOWS\system32\unsvchosts.exe
C:\WINDOWS\system32\unsvchosts.lzma
C:\WINDOWS\system32\svchosts.exe
C:\Dokumente und Einstellungen\Noel\install.exe
C:\Dokumente und Einstellungen\Noel\shared.exe
C:\Programme\A.ico
C:\Programme\a.zip
C:\Programme\B.ico
C:\Programme\b.zip
C:\Programme\c.zip
C:\Programme\Setup.exe
C:\WINDOWS\system32\setup.exe.tmp
C:\Programme\Track_03.exe
C:\Programme\Video.exe
C:\WINDOWS\system32\ggg.bat
C:\WINDOWS\system32\install.exe
C:\WINDOWS\system32\shared.exe
C:\WINDOWS\system32\hhhl.exe
C:\WINDOWS\system32\taskkill.exe
C:\WINDOWS\system32\vbzip10.dll

Folders to delete:
C:\WINDOWS\system32\vidmon
C:\Programme\outlook
C:\Programme\InetGet2
C:\Programme\PeDevice
C:\Programme\Gemeinsame Dateien\{34AA9AED-0ABE-1031-0127-060531200031}
C:\Programme\Gemeinsame Dateien\{94AA9AED-0ABE-1031-0127-060531200031}
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten


------------

3.
arbeite die bfu ab
http://virus-protect.org/artikel/bfu/winlog_bfu.html

4.
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken
es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.02.2007, 11:10
...neu hier

Themenstarter

Beiträge: 5
#9 Ich mach jetzt erstmal das. Sry das es so lange gedauert hat, mein PC war inne Fritten ( von der Hardware). Als ich ihn gestern das erstemal wieder angemacht habe waren aber die als gefährlich eingestuften Tasks wieder weg und der normale taskmanager funtzt wieder. Glaubt ihr das könnte daran liegen das ich das Bios resetten musste? Meine Sufu am PC geht immer noch nicht, aber die HDD ist leiser

EDIT:

Regsearch by Flekman sagt immer: Interger Overflow

hier mal das ergebnis der datFind.bat:

System32:
17.02.2007 10:58 88.566 nvapps.xml
16.02.2007 20:19 39.992 perfc009.dat
16.02.2007 20:19 311.604 perfh009.dat
16.02.2007 20:19 48.156 perfc007.dat
16.02.2007 20:19 316.594 perfh007.dat
16.02.2007 20:19 723.744 PerfStringBackup.INI
16.02.2007 19:39 2.278 wpa.dbl
11.02.2007 21:37 36.864 svchosts.exe
11.02.2007 21:37 2.560 unsvchosts.exe
09.02.2007 20:54 2 wintcc.exe
09.02.2007 19:24 190 ggg.bat
09.02.2007 19:15 0 taskkill.exe
09.02.2007 19:14 147.456 vbzip10.dll
09.02.2007 19:14 393.216 shared.exe
09.02.2007 19:14 90.437 install.exe
09.02.2007 19:14 32.768 stup9x.exe
09.02.2007 19:14 62.464 bszip.dll
09.02.2007 19:14 0 ping.com
09.02.2007 19:14 0 tasklist.com
09.02.2007 19:14 0 regedit.com
09.02.2007 19:14 0 netstat.com
09.02.2007 19:14 0 cmd.com
09.02.2007 19:14 0 taskkill.com
09.02.2007 19:14 0 tracert.com

08.02.2007 22:11 108.144 CmdLineExt.dll
04.02.2007 18:40 3.147 qtplugin.log
02.02.2007 23:46 584 settings.sfm
02.02.2007 23:46 584 settingsbkup.sfm
02.02.2007 18:37 16.832 amcompat.tlb
02.02.2007 18:37 23.392 nscompat.tlb
02.02.2007 18:11 507.392 winlogon.exe
02.02.2007 17:42 3.534 jupdate-1.5.0_03-b07.log
01.02.2007 23:45 90.296 FNTCACHE.DAT
01.02.2007 23:45 261 $winnt$.inf
01.02.2007 23:42 2.951 CONFIG.NT
01.02.2007 23:41 488 WindowsLogon.manifest
01.02.2007 23:41 488 logonui.exe.manifest
01.02.2007 23:41 749 sapi.cpl.manifest
01.02.2007 23:41 749 nwc.cpl.manifest
01.02.2007 23:41 749 ncpa.cpl.manifest
01.02.2007 23:41 749 cdplayer.exe.manifest
01.02.2007 23:41 749 wuaucpl.cpl.manifest
01.02.2007 23:40 21.740 emptyregdb.dat
01.02.2007 23:37 0 h323log.txt

Systemtemp:

17.02.2007 11:00 32.768 ~DFAE76.tmp
17.02.2007 11:00 196.608 ~DFAE85.tmp
17.02.2007 10:58 0 BCG1.tmp
17.02.2007 10:58 1.836 jusched.log
11.02.2007 21:38 16.384 ~DFF83D.tmp
11.02.2007 21:37 16.384 ~DFA842.tmp

System:

17.02.2007 11:06 173.812 WindowsUpdate.log
17.02.2007 10:58 159 wiadebug.log
17.02.2007 10:58 50 wiaservc.log
17.02.2007 10:58 0 0.log
17.02.2007 10:58 2.048 bootstat.dat
16.02.2007 23:03 6.398 SchedLgU.Txt
16.02.2007 20:18 469.329 setupapi.log
15.02.2007 16:57 116 NeroDigital.ini
11.02.2007 00:35 217.108 DirectX.log
10.02.2007 18:50 1.684 iis6.log
10.02.2007 18:50 18.000 comsetup.log
10.02.2007 18:50 1.374 imsins.log
10.02.2007 18:50 1.227 ocmsn.log
10.02.2007 18:50 9.108 ntdtcsetup.log
10.02.2007 18:50 10.685 tsoc.log
10.02.2007 18:50 8.475 KB893803v2.log
10.02.2007 18:50 17.601 ocgen.log
10.02.2007 18:50 1.180 msgsocm.log
10.02.2007 18:50 17.720 FaxSetup.log
08.02.2007 20:44 32 wininit.ini
07.02.2007 17:08 48 nfsc_patch.ini

Temp:

/ nichts angegeben

Down:

01.02.2007 23:41 65 desktop.ini

Sys:

17.02.2007 11:37 0 sys.txt
17.02.2007 11:37 290 down.txt
17.02.2007 11:36 111 tmp.txt
17.02.2007 11:35 4.739 system.txt
17.02.2007 11:35 527 systemtemp.txt
17.02.2007 11:34 94.190 system32.txt
17.02.2007 10:58 1.610.612.736 pagefile.sys
11.02.2007 22:20 18.774 files.txt
10.02.2007 07:48 48 LSWMV.INI
01.02.2007 23:42 0 CONFIG.SYS
01.02.2007 23:42 0 IO.SYS
01.02.2007 23:42 0 MSDOS.SYS
01.02.2007 23:42 0 AUTOEXEC.BAT
01.02.2007 23:37 211 boot.ini
28.02.2006 13:00 4.952 bootfont.bin
28.02.2006 13:00 47.564 NTDETECT.COM
28.02.2006 13:00 251.184 ntldr

Das wars.

EDIT:

Avenger ausgeführt, Log Posten?
BFU auch fertisch, Log Posten?

SDFix auch ausgeführt, hier mal die Log File:

SDFix: Version 1.65

Run by: Noel - 17.02.2007 @ 12:44:15,59

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found..




ADS Check:

C:\WINDOWS\system32
No streams found.

Final Check:


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"E:\\LimeWire\\LimeWire.exe"="E:\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\winlog.exe.q_804AC02_q

Finished

Glaub ich hab deine Liste jetzt durch, warte auf Antwort, thx schonmal ;-)

MFG SerialKiller


Ich kenn jetzt den Ursprung:

Ich hatte mir eine Folge der Animie Serie Hellsing runtergeladen, anstatt der Video datei bekam ich aber diesen müll, gerade als ich sie mir nochmal angucken wollte ging alles von vorne los damn

hab alle schritte nochmal ausgeführt, darf ich den Ordner Complete, ins Dokumente und Einstellungen eigentlich löschen?
Dieser Beitrag wurde am 17.02.2007 um 19:14 Uhr von SerialKiller editiert.
Seitenanfang Seitenende
17.02.2007, 22:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 SerialKiller

1.
Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein

dir /s /a "c:\winlogon*.*" > c:\find.txt & start notepad c:\find.txt

und poste alles, was im Texteditor erscheint
------------------------------------------------------

2.
arbeite das obrige Avengerscript noch mal ab


3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\System32\svchosts.exe
C:\WINDOWS\System32\unsvchosts.exe
C:\WINDOWS\System32\wintcc.exe
C:\WINDOWS\System32\ggg.bat
C:\WINDOWS\System32\taskkill.exe
C:\WINDOWS\System32\vbzip10.dll
C:\WINDOWS\System32\shared.exe
C:\WINDOWS\System32\install.exe
C:\WINDOWS\System32\stup9x.exe
C:\WINDOWS\System32\bszip.dll
C:\WINDOWS\System32\ping.com
C:\WINDOWS\System32\tasklist.com
C:\WINDOWS\System32\regedit.com
C:\WINDOWS\System32\netstat.com
C:\WINDOWS\System32\cmd.com
C:\WINDOWS\System32\taskkill.com
C:\WINDOWS\System32\tracert.com

««
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus
RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen - waehle 6 - scanne und poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: