Spywarefighter lässt sich nicht deinstallieren

Thema ist geschlossen!
Thema ist geschlossen!
#0
29.07.2007, 15:46
Member

Beiträge: 50
#1 Hallo zusamm

Sitz hier eben an nem Rechner von nem Bekannten der sich ein Prog. Namens "Spywarefighter heruntergeladen" und installiert hat.Wir bekommen das Ding nicht mehr vom Rechner.Bei der deinstall. fährt der Rechner herunter.

Wer kann mir helfen?Um was handelt es sich überhaupt,denn der Rechner zeigte beim hochfahren einen schweren systemfehler an und fuhr gleich wieder herunter.Nun haben wir ihn in der letzten gängigen windowskonfig hochgefahren.

Besten Dank im Vorraus

Kay

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:52:40, on 29.07.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\atievxx.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lexmark P910 Series\ezprint.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\WINDOWS\System32\lxbycoms.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\NASENMANN\Desktop\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {943CBD6C-F4DE-40e4-AA43-7B964FAE81F1} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [lxbymon.exe] "C:\Programme\Lexmark P910 Series\lxbymon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark P910 Series\ezprint.exe"
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: lxby_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxbycoms.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

--
End of file - 6352 bytes
Dieser Beitrag wurde am 29.07.2007 um 20:06 Uhr von Freisler editiert.
Seitenanfang Seitenende
30.07.2007, 08:54
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

das Schlechte zuerst:
O2 - BHO: (no name) - {943CBD6C-F4DE-40e4-AA43-7B964FAE81F1} - (no file)
->Trojan, detected by AntiVir antivirus as TR/Spy.Banker.cnq, http://www.avira.com/ - a variant of the Infostealer.Banker.D

Der war oder ist noch drauf...

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat


O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {943CBD6C-F4DE-40e4-AA43-7B964FAE81F1} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
Danach solltet Ihr den Spywarefighter per Hand löschen können...

Danach bitte folgendes komplett abarbeiten:
http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

(Man wenn der Chef rausfindet dass ich hier seid 1h in diesem Forum bin statt schaffe, reisst er mir die Rübe runter)...

Chris
Seitenanfang Seitenende
30.07.2007, 10:32
Member

Themenstarter

Beiträge: 50
#3 Hallo

Erstmal besten Dank.Ich arbeite alles ab und poste dann alles.

Gruß Kay
Seitenanfang Seitenende
14.02.2008, 11:48
Member

Beiträge: 16
#4 Ich habe ein ganz ähnliches Problem. Habe auch den Spywarefighter installiert und nun läßt er sich nicht mehr deinstallieren.
Vor dem ersten starten muss man eine Email Adresse eingeben, damit eine Art Profil erstellt wird. Das scheitert allerdings. Dann habe ich versucht alles zu deinstallieren, aber wie bei den anderen fährt mein Notebook runter.
Es erscheint die Meldung:

STOP: C000021a {schwerer Ausnahmefehler}
Der Systemprozess Windows Subsystem wurde unerwartet beendet. Status 0xC0000005
(0x7c9206c3 0x0121ed04)

Das System wurde heruntergefahren.
Na ja, was also tun?
Ich habe auch HijackThis drüber laufen lassen und das kam dabei raus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:36:46, on 14.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ASUS\NB Probe\NBProbe.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Asus\Asus ChkMail\ChkMail.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\PROGRA~1\RXTOOL~1\sfcont.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\vtr.dll (file missing)
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NB Probe] C:\Programme\ASUS\NB Probe\NBProbe.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\explore.exe
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\system32\_svchost.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: In 1&&1 SoftPhone wählen - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\systems.txt
O20 - Winlogon Notify: npptdpnm - C:\WINDOWS\system32\npptdpnm.dll (file missing)

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Microsoft Internet Explorer - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: spmgr - Unknown owner - C:\Programme\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 7298 bytes

Kann mir jemand helfen. Ist alles ok und es läuft da nur was falsch oder habe ich mir nen Virus oder ähnliches eingefangen?

Danke im Voraus

Aeneas
Seitenanfang Seitenende
14.02.2008, 12:03
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#5 Hallo Aeneas

poste bitte das log von Combofix, dann erstelle ich ein Script, um das Proggie zu löschen
http://virus-protect.org/artikel/tools/combofix.html

P.S.: dein Rechner ist stark verseucht... ;) )
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
14.02.2008, 12:57
Member

Beiträge: 16
#6 Habe das Tool runtergeladen und laufen lassen. Geht bis Schritt 30 und dann wird das Notebook runtergefahren mit der Fehlermeldung, die ich oben schon mal wiedergegeben habe. Was soll ich jetzt machen?
Wie kann mein Rechner so stark verseucht sein. Habe immer ZoneAlarm und Antivir laufen. Die habe nix angezeigt!

Danke

Aeneas

P.S.:

Ich habe es noch ein paar mal versucht und es gibt zwei Versionen, entweder wie oben beschrieben runterfahren und Fehlermeldung oder runterfahren und von allein wieder hochfahren, dann die Meldung

Das System wird nach einem schwerwiegenden Fehler wieder ausgeführt
Für diesen Fehler wurde ein Protokoll erstellt.
Für weitere Informationen zu diesem Fehler, klicken Sie hier.

Das habe ich gemacht und da steht folgendes

Problemsignatur
BCCode : f4 BCP1 : 00000003 BCP2 : 821B8398 BCP3 : 821B850C
BCP4 : 805FA7A8 OSVer : 5_1_2600 SP : 2_0 Product : 768_1
Um technische Informationen zu dem Problembericht zu sehen, klicken Sie hier

und dort steht

Die folgenden Datein werden in Ihren Problembericht aufgenommen:
C:\DOKUME~1\Jens\LOKALE~1\Temp\WER343e.dir00\Mini021408-02.dmp
C:\DOKUME~1\Jens\LOKALE~1\Temp\WER343e.dir00\sysdata.xml

Gruß

Aeneas
Dieser Beitrag wurde am 14.02.2008 um 13:28 Uhr von Aeneas editiert.
Seitenanfang Seitenende
14.02.2008, 13:48
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#7 Aeneas

0.
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Microsoft Internet Explorer

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

-------------------------

1.
lade datfindbat - poste hier alle logs, die erscheinen (3 monate von jedem reichen...sind nach Datum geordnet)
http://virus-protect.org/datfindbat.html

2.
poste die 2 logs con Comboscan
http://virus-protect.org/artikel/tools/comboscan.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
14.02.2008, 14:27
Member

Beiträge: 16
#8 Also, das erste Logfile von Regsearch:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 2008-02-14 14:16:11 for strings:
; 'microsoft internet explorer'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...



Das von datfindbat:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C464-1DE1

Verzeichnis von C:\WINDOWS\system32

2008-02-14 13:24 55,081 vsconfig.xml
2008-02-14 13:00 48,552 perfc007.dat
2008-02-14 13:00 317,168 perfh007.dat
2008-02-14 13:00 40,326 perfc009.dat
2008-02-14 13:00 311,938 perfh009.dat
2008-02-14 13:00 722,932 PerfStringBackup.INI
2008-02-12 21:29 1,158 wpa.dbl
2007-12-06 15:34 5,686 jupdate-1.6.0_03-b05.log
2007-10-28 10:56 115,768 FNTCACHE.DAT
2007-09-24 23:31 69,632 javacpl.cpl
2007-09-24 23:31 139,264 javaws.exe
2007-09-24 22:30 135,168 javaw.exe
2007-09-24 22:30 135,168 java.exe
2007-09-08 14:49 4,212 zllictbl.dat
2007-07-27 22:59 5,214 jupdate-1.6.0_02-b06.log
2007-06-08 11:52 947,096 _ISource30.dll
2007-05-03 22:10 1,523 sun_debug.txt
2007-05-03 22:10 21 sun_debug1.txt
2007-05-03 21:43 111,616 ActualEarth.scr
2007-04-28 15:25 4,254 jupdate-1.6.0_01-b06.log
2007-04-03 16:18 197,672 vpnapi.dll
2007-04-03 16:18 193,576 CSGina.dll
2007-03-27 22:10 9,857 jupdate-1.5.0_11-b03.log
2007-03-14 15:34 16,896 grwinsthlp.exe
2007-03-11 21:31 75 LuResult.txt
2007-03-09 00:02 54,936 vsutil_loc0407.dll
2007-03-09 00:02 18,072 imslsp_install_loc0407.dll
2007-03-09 00:02 22,168 imsinstall_loc0407.dll
2007-03-09 00:02 394,192 vsdatant.sys
2007-03-09 00:01 1,087,216 zpeng24.dll
2007-03-09 00:01 71,408 zlcommdb.dll
2007-03-09 00:01 46,832 vswmi.dll
2007-03-09 00:01 100,080 vsxml.dll
2007-03-09 00:01 83,696 zlcomm.dll
2007-03-09 00:01 472,816 vsutil.dll
2007-03-09 00:01 71,408 vsregexp.dll
2007-03-09 00:01 276,208 vspubapi.dll
2007-03-09 00:01 104,176 vsmonapi.dll
2007-03-09 00:01 83,696 vsdata.dll
2007-03-09 00:01 157,424 vsinit.dll
2007-03-09 00:01 796,312 libeay32_0.9.6l.dll
2007-03-08 01:51 64,760 pxcpya64.exe
2007-03-08 01:51 379,640 pxwave.dll
2007-03-08 01:51 187,128 pxmas.dll
2007-03-08 01:51 510,712 pxdrv.dll
2007-03-08 01:51 72,440 pxhpinst.exe
2007-03-08 01:51 1,628,920 pxsfs.dll
2007-03-08 01:51 64,760 pxinsa64.exe
2007-03-08 01:51 129,784 pxafs.dll
2007-03-08 01:51 547,576 px.dll
2007-03-08 01:51 39,672 vxblock.dll
2007-03-01 20:09 4 npptdpnm.dat
2007-01-31 13:45 101,904 dneinobj.dll
Bytes frei


und die beiden von comboscan:

Deckard's System Scanner v20071014.68
Run by Jens on 2008-02-14 14:22:26
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 3 Restore Point(s) --
3: 2008-02-14 13:22:46 UTC - RP428 - Deckard's System Scanner Restore Point
2: 2008-02-14 11:22:32 UTC - RP427 - ComboFix created restore point
1: 2008-02-14 11:14:05 UTC - RP426 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.

[color=red]Total Physical Memory: 511 MiB (512 MiB recommended).[/color]


-- HijackThis (run as Jens.exe) ------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:23, on 2008-02-14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\ASUS\NB Probe\SPM\spmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ASUS\NB Probe\NBProbe.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Asus\Asus ChkMail\ChkMail.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Dokumente und Einstellungen\Jens\Eigene Dateien\Eigene Daten\Installer\dss.exe
C:\PROGRA~1\HIJACK~1\Jens.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\PROGRA~1\RXTOOL~1\sfcont.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NB Probe] C:\Programme\ASUS\NB Probe\NBProbe.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\explore.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: In 1&&1 SoftPhone wählen - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: npptdpnm - C:\WINDOWS\system32\npptdpnm.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: spmgr - Unknown owner - C:\Programme\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

--
End of file - 6831 bytes

-- File Associations -----------------------------------------------------------

All associations okay.


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 asuskbnt (Enhanced Display Driver Helper Service) - c:\windows\system32\drivers\atkkbnt.sys <Not Verified; ASUSTeK COMPUTER INC.; ASUS Help driver For Keyboard Service.>
R2 AegisP (AEGIS Protocol (IEEE 802.1x) v3.1.0.1) - c:\windows\system32\drivers\aegisp.sys <Not Verified; Meetinghouse Data Communications; AEGIS Client 3.1.0.1>
R2 BrPar - c:\windows\system32\drivers\brpar.sys <Not Verified; Brother Industries Ltd.; Brother Parallel Class Driver>
R2 s24trans (WLAN Transport) - c:\windows\system32\drivers\s24trans.sys <Not Verified; Intel Corporation; Intel Wireless LAN Packet Driver>

S3 gtermddo - c:\dokume~1\jens\lokale~1\temp\gtermddo.sys (file missing)
S3 Video3D (ASUS Video3D Service) - c:\windows\system32\drivers\video3d.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; Scheduler>
R2 ATKKeyboardService (ATK Keyboard Service) - c:\windows\atkkbservice.exe <Not Verified; ASUSTeK COMPUTER INC.; ASUS Keyboard Service>
R2 OwnershipProtocol - c:\programme\intel\wireless\bin\oprotsvc.exe <Not Verified; Intel Corporation; Intel PROSet/Wireless>
R2 RegSrvc - c:\programme\intel\wireless\bin\regsrvc.exe <Not Verified; Intel Corporation; RegSrvc Module>
R2 spmgr - c:\programme\asus\nb probe\spm\spmgr.exe <Not Verified; ; spmgr Module>


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Realtek RTL8139/810x Family Fast Ethernet NIC
Device ID: PCI\VEN_10EC&DEV_8139&SUBSYS_10451043&REV_10\4&22270378&0&00F0
Manufacturer: Realtek Semiconductor Corp.
Name: Realtek RTL8139/810x Family Fast Ethernet NIC
PNP Device ID: PCI\VEN_10EC&DEV_8139&SUBSYS_10451043&REV_10\4&22270378&0&00F0
Service: RTL8023xp

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: 1394-Netzwerkadapter
Device ID: V1394\NIC1394\3365F6CE01800
Manufacturer: Microsoft
Name: 1394-Netzwerkadapter
PNP Device ID: V1394\NIC1394\3365F6CE01800
Service: NIC1394

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Cisco Systems VPN Adapter
Device ID: ROOT\NET\0000
Manufacturer: Cisco Systems
Name: Cisco Systems VPN Adapter
PNP Device ID: ROOT\NET\0000
Service: CVirtA


-- Files created between 2008-01-14 and 2008-02-14 -----------------------------

2008-02-14 12:46:18 0 dr-h----- C:\Dokumente und Einstellungen\Jens\Recent
2008-02-14 12:32:31 53248 --a------ C:\WINDOWS\PSEXESVC.EXE <Not Verified; Sysinternals; Sysinternals PsExec>
2008-02-14 12:21:53 68096 --a------ C:\WINDOWS\system32\zip.exe
2008-02-14 12:21:53 98816 --a------ C:\WINDOWS\system32\sed.exe
2008-02-14 12:21:53 80412 --a------ C:\WINDOWS\system32\grep.exe
2008-02-14 12:21:53 73728 --a------ C:\WINDOWS\system32\fdsv.exe <Not Verified; Smallfrogs Studio; >
2008-02-14 00:22:57 0 d-------- C:\Programme\Gemeinsame Dateien\Application
2008-02-14 00:22:01 0 d-------- C:\Programme\SPYWAREfighter
2008-02-02 15:43:49 44544 --a------ C:\WINDOWS\system32\msxml4a.dll <Not Verified; Microsoft Corporation; Microsoft(R) MSXML 4.0 SP1>
2008-02-02 13:46:43 0 d-------- C:\Programme\TEX


-- Find3M Report ---------------------------------------------------------------

2008-02-14 13:00:32 317168 --a------ C:\WINDOWS\system32\perfh007.dat
2008-02-14 13:00:32 48552 --a------ C:\WINDOWS\system32\perfc007.dat
2008-01-11 18:48:38 0 d-------- C:\Programme\xp-AntiSpy
2008-01-04 12:50:54 0 d-------- C:\Programme\Avira
2008-01-03 17:39:54 0 d-------- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\vlc


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59879FA4-4790-461c-A1CC-4EC4DE4CA483}]
C:\PROGRA~1\RXTOOL~1\sfcont.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2004-11-02 23:48]
"SoundMan"="SOUNDMAN.EXE" [2004-12-16 06:19 C:\WINDOWS\SOUNDMAN.EXE]
"NB Probe"="C:\Programme\ASUS\NB Probe\NBProbe.exe" [2004-12-08 10:09]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-07-28 18:26]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-08-01 16:07]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-30 21:10]
"Power_Gear"="C:\Programme\ASUS\Power4 Gear\BatteryLife.exe" [2004-09-21 16:55]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-08-06 16:48]
"EOUApp"="C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" [2004-08-06 16:52]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-04-26 07:06 C:\WINDOWS\KHALMNPR.Exe]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-02-12 14:10]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02]
"Windows Explorer"="C:\WINDOWS\explore.exe" []
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-04 12:52]
"spywarefighterguard"="C:\Programme\SPYWAREfighter\spftray.exe" [2007-06-08 11:52]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
ASUS ChkMail.lnk - C:\Programme\Asus\Asus ChkMail\ChkMail.exe [2005-11-23 18:32:00]
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\KEM.exe [2005-11-23 19:28:23]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04]
VPN Client.lnk - C:\WINDOWS\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico [2007-09-09 00:18:27]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
C:\Programme\Intel\Wireless\Bin\LgNotify.dll 2004-08-06 16:48 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\npptdpnm]
C:\WINDOWS\system32\npptdpnm.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSEXESVC]
@="Service"


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{af4c029e-5c65-11dc-b4de-0013d4775bce}]
AutoRun\command- F:\setupSNK.exe




-- End of Deckard's System Scanner: finished at 2008-02-14 14:24:45 ------------



und

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------




-- Security Center -------------------------------------------------------------

AUOptions is disabled.
Windows Internal Firewall is disabled.

FirstRunDisabled is set.
AntiVirusDisableNotify is set.
UpdatesDisableNotify is set.

FW: ZoneAlarm Firewall v7.0.337.000 (Check Point, LTD.)
AV: Avira AntiVir PersonalEdition v 7.0.2.133
(Avira GmbH)

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]


-- Environment Variables -------------------------------------------------------



-- User Profiles ---------------------------------------------------------------

Jens (admin)



-- Application Event Log -------------------------------------------------------

Event Record #/Type29238 / Error
Event Submitted/Written: 02/14/2008 00:26:54 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung nbprobe.exe, Version 1.0.0.1, fehlgeschlagenes Modul jscript.dll, Version 5.6.0.8820, Fehleradresse 0x00011621.
Das medienspezifische Ereignis für [nbprobe.exe!ws!] wird verarbeitet.

Event Record #/Type29133 / Error
Event Submitted/Written: 02/13/2008 09:15:41 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung nbprobe.exe, Version 1.0.0.1, fehlgeschlagenes Modul jscript.dll, Version 5.6.0.8820, Fehleradresse 0x00011621.
Das medienspezifische Ereignis für [nbprobe.exe!ws!] wird verarbeitet.

Event Record #/Type29132 / Error
Event Submitted/Written: 02/13/2008 09:04:04 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung vlc.exe, Version 0.8.6.0, fehlgeschlagenes Modul libffmpeg_plugin.dll, Version 0.0.0.0, Fehleradresse 0x0021f6c5.
Das medienspezifische Ereignis für [vlc.exe!ws!] wird verarbeitet.

Event Record #/Type29131 / Error
Event Submitted/Written: 02/13/2008 09:03:22 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung vlc.exe, Version 0.8.6.0, fehlgeschlagenes Modul libffmpeg_plugin.dll, Version 0.0.0.0, Fehleradresse 0x0021f85d.
Das medienspezifische Ereignis für [vlc.exe!ws!] wird verarbeitet.

Event Record #/Type29130 / Warning
Event Submitted/Written: 02/13/2008 08:56:03 PM
Event ID/Source: 4113 / H+BEDV AntiVir
Event Description:
AntiVir erkannte in der Datei
C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\67q6bymy.default\Cache\63E5F200d01
verdächtigen Code mit der Bezeichnung 'HTML/Crypted.Gen'!



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type48616 / Error
Event Submitted/Written: 02/14/2008 02:23:15 PM
Event ID/Source: 1 / sr
Event Description:
Beim Verarbeiten der Datei "desktop.ini" auf Volume "HarddiskVolume3" ist im Wiederherstellungsfilter der unerwartete Fehler "0xC000007F" aufgetreten. Die Volumeüberwachung wurde angehalten.

Event Record #/Type48614 / Error
Event Submitted/Written: 02/14/2008 01:25:26 PM
Event ID/Source: 1003 / System Error
Event Description:
Fehlercode 000000f4, 1. Parameter 00000003, 2. Parameter 821b8398, 3. Parameter 821b850c, 4. Parameter 805fa7a8.

Event Record #/Type48538 / Error
Event Submitted/Written: 02/14/2008 00:45:43 PM
Event ID/Source: 1003 / System Error
Event Description:
Fehlercode 000000f4, 1. Parameter 00000003, 2. Parameter 8218a3a8, 3. Parameter 8218a51c, 4. Parameter 805fa7a8.

Event Record #/Type48537 / Error
Event Submitted/Written: 02/14/2008 00:45:20 PM
Event ID/Source: 1003 / System Error
Event Description:
Fehlercode 1000008e, 1. Parameter c0000005, 2. Parameter f86f76cf, 3. Parameter f0d0bad8, 4. Parameter 00000000.

Event Record #/Type48440 / Error
Event Submitted/Written: 02/14/2008 11:38:01 AM
Event ID/Source: 1 / sr
Event Description:
Beim Verarbeiten der Datei "desktop.ini" auf Volume "HarddiskVolume3" ist im Wiederherstellungsfilter der unerwartete Fehler "0xC000007F" aufgetreten. Die Volumeüberwachung wurde angehalten.



-- End of Deckard's System Scanner: finished at 2008-02-14 14:24:45 ------------

Ich hoffe ich habe alles richtig gemacht und die Daten helfen euch.
Danke

Aeneas
Seitenanfang Seitenende
14.02.2008, 15:25
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#9 Aeneas

HijackThis
Setze ein Häckchen in das Kästchen vor den genannten Eintrag der im SicherheitsForum als zu "fixen" (löschen) empfohlen wurde) und wähle fix checked.

Zitat

O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\PROGRA~1\RXTOOL~1\sfcont.dll (file missing)

O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\vtr.dll (file missing)

O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\explore.exe

O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\system32\_svchost.exe

O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe

O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll

O20 - AppInit_DLLs: C:\WINDOWS\system32\systems.txt

O20 - Winlogon Notify: npptdpnm - C:\WINDOWS\system32\npptdpnm.dll (file missing)

O23 - Service: Microsoft Internet Explorer - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)
Avenger
http://virus-protect.org/artikel/tools/avenger.html

Input script manually (anhaken)

die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)

kopiere rein:

Zitat

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|spywarefighterguard

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\npptdpnm

Files to delete:
C:\WINDOWS\system32\systems.txt
C:\WINDOWS\system32\npptdpnm.dll
C:\WINDOWS\system32\npptdpnm.dat
C:\WINDOWS\explore.exe
C:\WINDOWS\system32\_svchost.exe

Folders to delete:
C:\Programme\SPYWAREfighter
schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

Klicke die grüne Ampel avenger
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), wenn es im Sicherheitsforum verlangt wird, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

---------------------

dann werden wir uns um den Rest kümmern, der Wurm hat z.b dein Sicherheitscenter lahmgelegt....kannst keine Windowsupdates machen u.a.

- Security Center -------------------------------------------------------------

AUOptions is disabled.
Windows Internal Firewall is disabled.

FirstRunDisabled is set.
AntiVirusDisableNotify is set.
UpdatesDisableNotify is set.

__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
14.02.2008, 15:50
Member

Beiträge: 16
#10 So wie es aussieht finde ich bei Hijakthis nicht alle Punkte. Nicht da sind:

O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\vtr.dll (file missing)

O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\system32\_svchost.exe

O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll

O20 - AppInit_DLLs: C:\WINDOWS\system32\systems.txt

O23 - Service: Microsoft Internet Explorer - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing)

Die anderen sind da.

Gruß
Aeneas


Also gut, ich habe einfach alles Datein, die du angegeben hast und die da waren markiert und die gefixt.
Danach hat der Spywarefighter sofort von allein versucht sich neu zu instellieren. Dadurch ist das System dann wohl zusammengebrochen und es kam die alte Fehlermeldung.
Nach dem Neustart habe ich noch mal HijackThis ausgeführt und da war
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
wieder da. Also habe ich das noch mal markiert und gefixt.
Danach wollte das Ding sich erneut installieren, aber es scheint als hätte ich schnell genug abbrechen können.
Danach habe ich wie du beschrieben hast den Avenger ausgeführt und hier ist das Logfile:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nefotscw

*******************

Script file located at: \??\C:\rtcudgjw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\systems.txt not found!
Deletion of file C:\WINDOWS\system32\systems.txt failed!

Could not process line:
C:\WINDOWS\system32\systems.txt
Status: 0xc0000034



File C:\WINDOWS\system32\npptdpnm.dll not found!
Deletion of file C:\WINDOWS\system32\npptdpnm.dll failed!

Could not process line:
C:\WINDOWS\system32\npptdpnm.dll
Status: 0xc0000034

File C:\WINDOWS\system32\npptdpnm.dat deleted successfully.


File C:\WINDOWS\explore.exe not found!
Deletion of file C:\WINDOWS\explore.exe failed!

Could not process line:
C:\WINDOWS\explore.exe
Status: 0xc0000034



File C:\WINDOWS\system32\_svchost.exe not found!
Deletion of file C:\WINDOWS\system32\_svchost.exe failed!

Could not process line:
C:\WINDOWS\system32\_svchost.exe
Status: 0xc0000034

Folder C:\Programme\SPYWAREfighter deleted successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.


Could not delete registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|spywarefighterguard
Deletion of registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|spywarefighterguard failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\npptdpnm not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\npptdpnm failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Bisher hatte ich in der Symbolleiste rechts unten immer ein SpywareFighter Symbol, aber das ist jetzt nicht mehr da.
Was ich noch vergessen habe zu erzählen, ich nutze den Firefox als Browser und hatte den I-Explorer "deinstalliert". Jetzt ist aber in der Start Leiste wieder sein Icon. Das scheint mir noch etwas komisch.

Vielen Dank erst mal.

Aeneas
Dieser Beitrag wurde am 14.02.2008 um 17:30 Uhr von Aeneas editiert.
Seitenanfang Seitenende
14.02.2008, 22:45
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#11 ««
warum den IE deinstallieren ??? Wie willst du dann die WindowsUpdates machen ??

««
scanne mit bitdefender + poste den scanreport
http://virus-protect.org/onlinescan.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
15.02.2008, 01:49
Member

Beiträge: 16
#12 Wenn ich ehrlich bin habe ich noch nie ein Windows Update gemacht...

Also, ich habe BitDefender installiert und dann einen Scann vom Typ deep gemacht.
Hier das Logfile:

BitDefender Log File !!!!!
Product : BitDefender Total Security 2008
Version : BitDefender UIScanner v.11
Log date : 01:47:54 15/02/2008
Log path : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bitdefender\Desktop\Profiles\Logs\deep_scan\1203036474_1_01.xml

Scan Paths:path0000: C:\
Path0001: D:\


Scan Options:Scan for viruses : Yes
Scan for adware : Yes
Scan for spyware : Yes
Scan for applications : Yes
Scan for dialers : Yes
Scan for rootkits : Yes


Target selection options:Scan registry keys : Yes
Scan cookies : Yes
Scan boot sectors : Yes
Scan memory processes : Yes
Scan archives : Yes
Scan runtime packers : Yes
Scan emails : Yes
Scan all files : Yes
Heuristic Scan : Yes
Scanned extensions :
Excluded extensions :


Target ProcessingDefault action for infected objects : Disinfect
Default action for suspicious objects : None
Default action for hidden objects : None


Scan engines summaryNumber of virus signatures : 980845
Archive plugins : 41
Email plugins : 6
Scan plugins : 12
Archive plugins : 41
System plugins : 4
Unpack plugins : 7


Overall scan summaryScanned items : 361169
Infected items : 11
Suspicious items : 0
Resolved items : 11
Individual viruses found : 5
Scanned directories : 11241
Scanned boot sectors : 4
Scanned archives : 21925
Input-output errors : 25
Scan time : 00:01:06:32
Files per second : 90


Scanned processes summaryScanned : 52
Infected : 0


Scanned registry keys summaryScanned : 312
Infected : 0


Scanned cookies summaryScanned : 0
Infected : 0


Remaining issues:Object Name Threat Name Final Status


Resolved issues:Object Name Threat Name Final Status
C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12\4ef9724c-2d021f25=]Installer.class Trojan.Downloader.Java.Agent.A Deleted
C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Thunderbird\Profiles\vyukxvu8.default\Mail\mx.freenet.de\Inbox=](message 15)=][Subject: Ebay geanderter E-Mail-Adresse][Date: Mon, 16 Apr 2007 11:04:55 -0500]=](MIME part)=]55972010.zip=]Ebay.doc.exe Trojan.Downloader.Nurech.AI Deleted
C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Thunderbird\Profiles\vyukxvu8.default\Mail\mx.freenet.de\Inbox=](message 16)=][Subject: Ebay: Sie haben Ihre Email Adresse gea][Date: Mon, 16 Apr 2007 18:19:36 -0400]=](MIME part)=]9791124.zip=]Ebay.doc.exe Trojan.Downloader.Nurech.AI Deleted
C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Thunderbird\Profiles\vyukxvu8.default\Mail\mx.freenet.de\Trash=](message 5)=][Subject: Ebay geanderter E-Mail-Adresse][Date: Mon, 16 Apr 2007 11:04:55 -0500]=](MIME part)=]55972010.zip=]Ebay.doc.exe Trojan.Downloader.Nurech.AI Deleted
C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Thunderbird\Profiles\vyukxvu8.default\Mail\mx.freenet.de\Trash=](message 6)=][Subject: Ebay: Sie haben Ihre Email Adresse gea][Date: Mon, 16 Apr 2007 18:19:36 -0400]=](MIME part)=]9791124.zip=]Ebay.doc.exe Trojan.Downloader.Nurech.AI Deleted
D:\Thunderbird Backup - Profiles\1\Profiles\vyukxvu8.default\Mail\mx.freenet.de\Inbox=](message 15)=][Subject: Ebay geanderter E-Mail-Adresse][Date: Mon, 16 Apr 2007 11:04:55 -0500]=](MIME part)=]55972010.zip=]Ebay.doc.exe Trojan.Downloader.Nurech.AI Deleted
D:\Thunderbird Backup - Profiles\1\Profiles\vyukxvu8.default\Mail\mx.freenet.de\Inbox=](message 16)=][Subject: Ebay: Sie haben Ihre Email Adresse gea][Date: Mon, 16 Apr 2007 18:19:36 -0400]=](MIME part)=]9791124.zip=]Ebay.doc.exe Trojan.Downloader.Nurech.AI Deleted
D:\Thunderbird Backup - Profiles\1\Profiles\vyukxvu8.default\Mail\mx.freenet.de\Trash=](message 5)=][Subject: Ebay geanderter E-Mail-Adresse][Date: Mon, 16 Apr 2007 11:04:55 -0500]=](MIME part)=]55972010.zip=]Ebay.doc.exe Trojan.Downloader.Nurech.AI Deleted
D:\Thunderbird Backup - Profiles\1\Profiles\vyukxvu8.default\Mail\mx.freenet.de\Trash=](message 6)=][Subject: Ebay: Sie haben Ihre Email Adresse gea][Date: Mon, 16 Apr 2007 18:19:36 -0400]=](MIME part)=]9791124.zip=]Ebay.doc.exe Trojan.Downloader.Nurech.AI Deleted
C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12\4ef9724c-2d021f25=]ProxyClassLoader.class Trojan.Exploit.Byteverify.AC Deleted
C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12\4ef9724c-2d021f25=]OwnClassLoader.class Trojan.Exploit.Byteverify.V Deleted


Objects that were not scanned:Object Name Reason Final Status

Und was nun? Vielen Dank, gute Nacht

Aeneas
Seitenanfang Seitenende
15.02.2008, 10:25
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#13 Aeneas

««
der Bitdefender ist Trial, also in zwei Wochen kaufen oder deinstallieren..

««
lade sdfix - im abgesicherten Modus anwenden - poste nach Neustart den Report
http://virus-protect.org/artikel/tools/sdfix.html

««
poste dieses log
http://virus-protect.org/registry_stuff.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
15.02.2008, 12:54
Member

Beiträge: 16
#14 Also hier der Report von SDFix:


SDFix: Version 1.142

Run by Jens on 2008-02-15 at 13:12

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

No Trojan Files Found






Removing Temp Files...

ADS Check:



Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-15 13:26:12
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Wie schaut's jetzt aus? Danke

Aeneas
Dieser Beitrag wurde am 15.02.2008 um 13:38 Uhr von Aeneas editiert.
Seitenanfang Seitenende
15.02.2008, 15:04
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#15 Hallo,

es ist wieder alles in Ordnung ;)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »