Spywarefighter lässt sich nicht deinstallierenThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
29.07.2007, 15:46
Member
Beiträge: 50 |
||
|
||
30.07.2007, 08:54
Member
Beiträge: 694 |
#2
Hi,
das Schlechte zuerst: O2 - BHO: (no name) - {943CBD6C-F4DE-40e4-AA43-7B964FAE81F1} - (no file) ->Trojan, detected by AntiVir antivirus as TR/Spy.Banker.cnq, http://www.avira.com/ - a variant of the Infostealer.Banker.D Der war oder ist noch drauf... Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat Danach solltet Ihr den Spywarefighter per Hand löschen können... Danach bitte folgendes komplett abarbeiten: http://board.protecus.de/t23188.htm - Erstellen eines Hijackthis-Logfiles - CleanUp (temporaeren Dateien loeschen) - Combofix - Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten) (Man wenn der Chef rausfindet dass ich hier seid 1h in diesem Forum bin statt schaffe, reisst er mir die Rübe runter)... Chris |
|
|
||
30.07.2007, 10:32
Member
Themenstarter Beiträge: 50 |
||
|
||
14.02.2008, 11:48
Member
Beiträge: 16 |
#4
Ich habe ein ganz ähnliches Problem. Habe auch den Spywarefighter installiert und nun läßt er sich nicht mehr deinstallieren.
Vor dem ersten starten muss man eine Email Adresse eingeben, damit eine Art Profil erstellt wird. Das scheitert allerdings. Dann habe ich versucht alles zu deinstallieren, aber wie bei den anderen fährt mein Notebook runter. Es erscheint die Meldung: STOP: C000021a {schwerer Ausnahmefehler} Der Systemprozess Windows Subsystem wurde unerwartet beendet. Status 0xC0000005 (0x7c9206c3 0x0121ed04) Das System wurde heruntergefahren. Na ja, was also tun? Ich habe auch HijackThis drüber laufen lassen und das kam dabei raus: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:36:46, on 14.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\ATKKBService.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe C:\Programme\Intel\Wireless\Bin\OProtSvc.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\ASUS\NB Probe\SPM\spmgr.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\ATK0100\HControl.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ASUS\NB Probe\NBProbe.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\ASUS\Power4 Gear\BatteryLife.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\Programme\Intel\Wireless\Bin\EOUWiz.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\SPYWAREfighter\spftray.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Programme\Asus\Asus ChkMail\ChkMail.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\PROGRA~1\RXTOOL~1\sfcont.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\vtr.dll (file missing) O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NB Probe] C:\Programme\ASUS\NB Probe\NBProbe.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1 O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\explore.exe O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\system32\_svchost.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\Asus\Asus ChkMail\ChkMail.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: In 1&&1 SoftPhone wählen - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll O20 - AppInit_DLLs: C:\WINDOWS\system32\systems.txt O20 - Winlogon Notify: npptdpnm - C:\WINDOWS\system32\npptdpnm.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Microsoft Internet Explorer - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing) O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: spmgr - Unknown owner - C:\Programme\ASUS\NB Probe\SPM\spmgr.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe -- End of file - 7298 bytes Kann mir jemand helfen. Ist alles ok und es läuft da nur was falsch oder habe ich mir nen Virus oder ähnliches eingefangen? Danke im Voraus Aeneas |
|
|
||
14.02.2008, 12:03
Ehrenmitglied
Beiträge: 1441 |
#5
Hallo Aeneas
poste bitte das log von Combofix, dann erstelle ich ein Script, um das Proggie zu löschen http://virus-protect.org/artikel/tools/combofix.html P.S.: dein Rechner ist stark verseucht... ) __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
14.02.2008, 12:57
Member
Beiträge: 16 |
#6
Habe das Tool runtergeladen und laufen lassen. Geht bis Schritt 30 und dann wird das Notebook runtergefahren mit der Fehlermeldung, die ich oben schon mal wiedergegeben habe. Was soll ich jetzt machen?
Wie kann mein Rechner so stark verseucht sein. Habe immer ZoneAlarm und Antivir laufen. Die habe nix angezeigt! Danke Aeneas P.S.: Ich habe es noch ein paar mal versucht und es gibt zwei Versionen, entweder wie oben beschrieben runterfahren und Fehlermeldung oder runterfahren und von allein wieder hochfahren, dann die Meldung Das System wird nach einem schwerwiegenden Fehler wieder ausgeführt Für diesen Fehler wurde ein Protokoll erstellt. Für weitere Informationen zu diesem Fehler, klicken Sie hier. Das habe ich gemacht und da steht folgendes Problemsignatur BCCode : f4 BCP1 : 00000003 BCP2 : 821B8398 BCP3 : 821B850C BCP4 : 805FA7A8 OSVer : 5_1_2600 SP : 2_0 Product : 768_1 Um technische Informationen zu dem Problembericht zu sehen, klicken Sie hier und dort steht Die folgenden Datein werden in Ihren Problembericht aufgenommen: C:\DOKUME~1\Jens\LOKALE~1\Temp\WER343e.dir00\Mini021408-02.dmp C:\DOKUME~1\Jens\LOKALE~1\Temp\WER343e.dir00\sysdata.xml Gruß Aeneas Dieser Beitrag wurde am 14.02.2008 um 13:28 Uhr von Aeneas editiert.
|
|
|
||
14.02.2008, 13:48
Ehrenmitglied
Beiträge: 1441 |
#7
Aeneas
0. http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Microsoft Internet Explorer in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. ------------------------- 1. lade datfindbat - poste hier alle logs, die erscheinen (3 monate von jedem reichen...sind nach Datum geordnet) http://virus-protect.org/datfindbat.html 2. poste die 2 logs con Comboscan http://virus-protect.org/artikel/tools/comboscan.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
14.02.2008, 14:27
Member
Beiträge: 16 |
#8
Also, das erste Logfile von Regsearch:
Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.5.0 ; Results at 2008-02-14 14:16:11 for strings: ; 'microsoft internet explorer' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... Das von datfindbat: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C464-1DE1 Verzeichnis von C:\WINDOWS\system32 2008-02-14 13:24 55,081 vsconfig.xml 2008-02-14 13:00 48,552 perfc007.dat 2008-02-14 13:00 317,168 perfh007.dat 2008-02-14 13:00 40,326 perfc009.dat 2008-02-14 13:00 311,938 perfh009.dat 2008-02-14 13:00 722,932 PerfStringBackup.INI 2008-02-12 21:29 1,158 wpa.dbl 2007-12-06 15:34 5,686 jupdate-1.6.0_03-b05.log 2007-10-28 10:56 115,768 FNTCACHE.DAT 2007-09-24 23:31 69,632 javacpl.cpl 2007-09-24 23:31 139,264 javaws.exe 2007-09-24 22:30 135,168 javaw.exe 2007-09-24 22:30 135,168 java.exe 2007-09-08 14:49 4,212 zllictbl.dat 2007-07-27 22:59 5,214 jupdate-1.6.0_02-b06.log 2007-06-08 11:52 947,096 _ISource30.dll 2007-05-03 22:10 1,523 sun_debug.txt 2007-05-03 22:10 21 sun_debug1.txt 2007-05-03 21:43 111,616 ActualEarth.scr 2007-04-28 15:25 4,254 jupdate-1.6.0_01-b06.log 2007-04-03 16:18 197,672 vpnapi.dll 2007-04-03 16:18 193,576 CSGina.dll 2007-03-27 22:10 9,857 jupdate-1.5.0_11-b03.log 2007-03-14 15:34 16,896 grwinsthlp.exe 2007-03-11 21:31 75 LuResult.txt 2007-03-09 00:02 54,936 vsutil_loc0407.dll 2007-03-09 00:02 18,072 imslsp_install_loc0407.dll 2007-03-09 00:02 22,168 imsinstall_loc0407.dll 2007-03-09 00:02 394,192 vsdatant.sys 2007-03-09 00:01 1,087,216 zpeng24.dll 2007-03-09 00:01 71,408 zlcommdb.dll 2007-03-09 00:01 46,832 vswmi.dll 2007-03-09 00:01 100,080 vsxml.dll 2007-03-09 00:01 83,696 zlcomm.dll 2007-03-09 00:01 472,816 vsutil.dll 2007-03-09 00:01 71,408 vsregexp.dll 2007-03-09 00:01 276,208 vspubapi.dll 2007-03-09 00:01 104,176 vsmonapi.dll 2007-03-09 00:01 83,696 vsdata.dll 2007-03-09 00:01 157,424 vsinit.dll 2007-03-09 00:01 796,312 libeay32_0.9.6l.dll 2007-03-08 01:51 64,760 pxcpya64.exe 2007-03-08 01:51 379,640 pxwave.dll 2007-03-08 01:51 187,128 pxmas.dll 2007-03-08 01:51 510,712 pxdrv.dll 2007-03-08 01:51 72,440 pxhpinst.exe 2007-03-08 01:51 1,628,920 pxsfs.dll 2007-03-08 01:51 64,760 pxinsa64.exe 2007-03-08 01:51 129,784 pxafs.dll 2007-03-08 01:51 547,576 px.dll 2007-03-08 01:51 39,672 vxblock.dll 2007-03-01 20:09 4 npptdpnm.dat 2007-01-31 13:45 101,904 dneinobj.dll Bytes frei und die beiden von comboscan: Deckard's System Scanner v20071014.68 Run by Jens on 2008-02-14 14:22:26 Computer is in Normal Mode. -------------------------------------------------------------------------------- -- System Restore -------------------------------------------------------------- Successfully created a Deckard's System Scanner Restore Point. -- Last 3 Restore Point(s) -- 3: 2008-02-14 13:22:46 UTC - RP428 - Deckard's System Scanner Restore Point 2: 2008-02-14 11:22:32 UTC - RP427 - ComboFix created restore point 1: 2008-02-14 11:14:05 UTC - RP426 - Systemprüfpunkt Backed up registry hives. Performed disk cleanup. [color=red]Total Physical Memory: 511 MiB (512 MiB recommended).[/color] -- HijackThis (run as Jens.exe) ------------------------------------------------ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:23, on 2008-02-14 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\ATKKBService.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Intel\Wireless\Bin\OProtSvc.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\ASUS\NB Probe\SPM\spmgr.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\ATK0100\HControl.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ASUS\NB Probe\NBProbe.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\ASUS\Power4 Gear\BatteryLife.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\Programme\Intel\Wireless\Bin\EOUWiz.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\SPYWAREfighter\spftray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Asus\Asus ChkMail\ChkMail.exe C:\Programme\Logitech\SetPoint\KEM.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Programme\Logitech\SetPoint\KHALMNPR.EXE C:\Dokumente und Einstellungen\Jens\Eigene Dateien\Eigene Daten\Installer\dss.exe C:\PROGRA~1\HIJACK~1\Jens.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\PROGRA~1\RXTOOL~1\sfcont.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NB Probe] C:\Programme\ASUS\NB Probe\NBProbe.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1 O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] C:\Programme\Intel\Wireless\Bin\EOUWiz.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\explore.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\Asus\Asus ChkMail\ChkMail.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: In 1&&1 SoftPhone wählen - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1&1\1&1 SoftPhone\ContextMenuHandler.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: npptdpnm - C:\WINDOWS\system32\npptdpnm.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: spmgr - Unknown owner - C:\Programme\ASUS\NB Probe\SPM\spmgr.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe -- End of file - 6831 bytes -- File Associations ----------------------------------------------------------- All associations okay. -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------- R1 asuskbnt (Enhanced Display Driver Helper Service) - c:\windows\system32\drivers\atkkbnt.sys <Not Verified; ASUSTeK COMPUTER INC.; ASUS Help driver For Keyboard Service.> R2 AegisP (AEGIS Protocol (IEEE 802.1x) v3.1.0.1) - c:\windows\system32\drivers\aegisp.sys <Not Verified; Meetinghouse Data Communications; AEGIS Client 3.1.0.1> R2 BrPar - c:\windows\system32\drivers\brpar.sys <Not Verified; Brother Industries Ltd.; Brother Parallel Class Driver> R2 s24trans (WLAN Transport) - c:\windows\system32\drivers\s24trans.sys <Not Verified; Intel Corporation; Intel Wireless LAN Packet Driver> S3 gtermddo - c:\dokume~1\jens\lokale~1\temp\gtermddo.sys (file missing) S3 Video3D (ASUS Video3D Service) - c:\windows\system32\drivers\video3d.sys (file missing) -- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------------------- R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; Scheduler> R2 ATKKeyboardService (ATK Keyboard Service) - c:\windows\atkkbservice.exe <Not Verified; ASUSTeK COMPUTER INC.; ASUS Keyboard Service> R2 OwnershipProtocol - c:\programme\intel\wireless\bin\oprotsvc.exe <Not Verified; Intel Corporation; Intel PROSet/Wireless> R2 RegSrvc - c:\programme\intel\wireless\bin\regsrvc.exe <Not Verified; Intel Corporation; RegSrvc Module> R2 spmgr - c:\programme\asus\nb probe\spm\spmgr.exe <Not Verified; ; spmgr Module> -- Device Manager: Disabled ---------------------------------------------------- Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318} Description: Realtek RTL8139/810x Family Fast Ethernet NIC Device ID: PCI\VEN_10EC&DEV_8139&SUBSYS_10451043&REV_10\4&22270378&0&00F0 Manufacturer: Realtek Semiconductor Corp. Name: Realtek RTL8139/810x Family Fast Ethernet NIC PNP Device ID: PCI\VEN_10EC&DEV_8139&SUBSYS_10451043&REV_10\4&22270378&0&00F0 Service: RTL8023xp Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318} Description: 1394-Netzwerkadapter Device ID: V1394\NIC1394\3365F6CE01800 Manufacturer: Microsoft Name: 1394-Netzwerkadapter PNP Device ID: V1394\NIC1394\3365F6CE01800 Service: NIC1394 Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318} Description: Cisco Systems VPN Adapter Device ID: ROOT\NET\0000 Manufacturer: Cisco Systems Name: Cisco Systems VPN Adapter PNP Device ID: ROOT\NET\0000 Service: CVirtA -- Files created between 2008-01-14 and 2008-02-14 ----------------------------- 2008-02-14 12:46:18 0 dr-h----- C:\Dokumente und Einstellungen\Jens\Recent 2008-02-14 12:32:31 53248 --a------ C:\WINDOWS\PSEXESVC.EXE <Not Verified; Sysinternals; Sysinternals PsExec> 2008-02-14 12:21:53 68096 --a------ C:\WINDOWS\system32\zip.exe 2008-02-14 12:21:53 98816 --a------ C:\WINDOWS\system32\sed.exe 2008-02-14 12:21:53 80412 --a------ C:\WINDOWS\system32\grep.exe 2008-02-14 12:21:53 73728 --a------ C:\WINDOWS\system32\fdsv.exe <Not Verified; Smallfrogs Studio; > 2008-02-14 00:22:57 0 d-------- C:\Programme\Gemeinsame Dateien\Application 2008-02-14 00:22:01 0 d-------- C:\Programme\SPYWAREfighter 2008-02-02 15:43:49 44544 --a------ C:\WINDOWS\system32\msxml4a.dll <Not Verified; Microsoft Corporation; Microsoft(R) MSXML 4.0 SP1> 2008-02-02 13:46:43 0 d-------- C:\Programme\TEX -- Find3M Report --------------------------------------------------------------- 2008-02-14 13:00:32 317168 --a------ C:\WINDOWS\system32\perfh007.dat 2008-02-14 13:00:32 48552 --a------ C:\WINDOWS\system32\perfc007.dat 2008-01-11 18:48:38 0 d-------- C:\Programme\xp-AntiSpy 2008-01-04 12:50:54 0 d-------- C:\Programme\Avira 2008-01-03 17:39:54 0 d-------- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\vlc -- Registry Dump --------------------------------------------------------------- *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59879FA4-4790-461c-A1CC-4EC4DE4CA483}] C:\PROGRA~1\RXTOOL~1\sfcont.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2004-11-02 23:48] "SoundMan"="SOUNDMAN.EXE" [2004-12-16 06:19 C:\WINDOWS\SOUNDMAN.EXE] "NB Probe"="C:\Programme\ASUS\NB Probe\NBProbe.exe" [2004-12-08 10:09] "SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-07-28 18:26] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-08-01 16:07] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-30 21:10] "Power_Gear"="C:\Programme\ASUS\Power4 Gear\BatteryLife.exe" [2004-09-21 16:55] "IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2004-08-06 16:48] "EOUApp"="C:\Programme\Intel\Wireless\Bin\EOUWiz.exe" [2004-08-06 16:52] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-04-26 07:06 C:\WINDOWS\KHALMNPR.Exe] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-02-12 14:10] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02] "Windows Explorer"="C:\WINDOWS\explore.exe" [] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-04 12:52] "spywarefighterguard"="C:\Programme\SPYWAREfighter\spftray.exe" [2007-06-08 11:52] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ ASUS ChkMail.lnk - C:\Programme\Asus\Asus ChkMail\ChkMail.exe [2005-11-23 18:32:00] Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\KEM.exe [2005-11-23 19:28:23] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04] VPN Client.lnk - C:\WINDOWS\Installer\{CCBAA1F7-E5E1-48B2-9ED9-A79C6A37CE78}\Icon3E5562ED7.ico [2007-09-09 00:18:27] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ClearRecentDocsOnExit"=1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless] C:\Programme\Intel\Wireless\Bin\LgNotify.dll 2004-08-06 16:48 110592 C:\Programme\Intel\Wireless\Bin\LgNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\npptdpnm] C:\WINDOWS\system32\npptdpnm.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSEXESVC] @="Service" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{af4c029e-5c65-11dc-b4de-0013d4775bce}] AutoRun\command- F:\setupSNK.exe -- End of Deckard's System Scanner: finished at 2008-02-14 14:24:45 ------------ und Deckard's System Scanner v20071014.68 Extra logfile - please post this as an attachment with your post. -------------------------------------------------------------------------------- -- System Information ---------------------------------------------------------- -- Security Center ------------------------------------------------------------- AUOptions is disabled. Windows Internal Firewall is disabled. FirstRunDisabled is set. AntiVirusDisableNotify is set. UpdatesDisableNotify is set. FW: ZoneAlarm Firewall v7.0.337.000 (Check Point, LTD.) AV: Avira AntiVir PersonalEdition v 7.0.2.133 (Avira GmbH) [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] -- Environment Variables ------------------------------------------------------- -- User Profiles --------------------------------------------------------------- Jens (admin) -- Application Event Log ------------------------------------------------------- Event Record #/Type29238 / Error Event Submitted/Written: 02/14/2008 00:26:54 PM Event ID/Source: 1000 / Application Error Event Description: Fehlgeschlagene Anwendung nbprobe.exe, Version 1.0.0.1, fehlgeschlagenes Modul jscript.dll, Version 5.6.0.8820, Fehleradresse 0x00011621. Das medienspezifische Ereignis für [nbprobe.exe!ws!] wird verarbeitet. Event Record #/Type29133 / Error Event Submitted/Written: 02/13/2008 09:15:41 PM Event ID/Source: 1000 / Application Error Event Description: Fehlgeschlagene Anwendung nbprobe.exe, Version 1.0.0.1, fehlgeschlagenes Modul jscript.dll, Version 5.6.0.8820, Fehleradresse 0x00011621. Das medienspezifische Ereignis für [nbprobe.exe!ws!] wird verarbeitet. Event Record #/Type29132 / Error Event Submitted/Written: 02/13/2008 09:04:04 PM Event ID/Source: 1000 / Application Error Event Description: Fehlgeschlagene Anwendung vlc.exe, Version 0.8.6.0, fehlgeschlagenes Modul libffmpeg_plugin.dll, Version 0.0.0.0, Fehleradresse 0x0021f6c5. Das medienspezifische Ereignis für [vlc.exe!ws!] wird verarbeitet. Event Record #/Type29131 / Error Event Submitted/Written: 02/13/2008 09:03:22 PM Event ID/Source: 1000 / Application Error Event Description: Fehlgeschlagene Anwendung vlc.exe, Version 0.8.6.0, fehlgeschlagenes Modul libffmpeg_plugin.dll, Version 0.0.0.0, Fehleradresse 0x0021f85d. Das medienspezifische Ereignis für [vlc.exe!ws!] wird verarbeitet. Event Record #/Type29130 / Warning Event Submitted/Written: 02/13/2008 08:56:03 PM Event ID/Source: 4113 / H+BEDV AntiVir Event Description: AntiVir erkannte in der Datei C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\67q6bymy.default\Cache\63E5F200d01 verdächtigen Code mit der Bezeichnung 'HTML/Crypted.Gen'! -- Security Event Log ---------------------------------------------------------- No Errors/Warnings found. -- System Event Log ------------------------------------------------------------ Event Record #/Type48616 / Error Event Submitted/Written: 02/14/2008 02:23:15 PM Event ID/Source: 1 / sr Event Description: Beim Verarbeiten der Datei "desktop.ini" auf Volume "HarddiskVolume3" ist im Wiederherstellungsfilter der unerwartete Fehler "0xC000007F" aufgetreten. Die Volumeüberwachung wurde angehalten. Event Record #/Type48614 / Error Event Submitted/Written: 02/14/2008 01:25:26 PM Event ID/Source: 1003 / System Error Event Description: Fehlercode 000000f4, 1. Parameter 00000003, 2. Parameter 821b8398, 3. Parameter 821b850c, 4. Parameter 805fa7a8. Event Record #/Type48538 / Error Event Submitted/Written: 02/14/2008 00:45:43 PM Event ID/Source: 1003 / System Error Event Description: Fehlercode 000000f4, 1. Parameter 00000003, 2. Parameter 8218a3a8, 3. Parameter 8218a51c, 4. Parameter 805fa7a8. Event Record #/Type48537 / Error Event Submitted/Written: 02/14/2008 00:45:20 PM Event ID/Source: 1003 / System Error Event Description: Fehlercode 1000008e, 1. Parameter c0000005, 2. Parameter f86f76cf, 3. Parameter f0d0bad8, 4. Parameter 00000000. Event Record #/Type48440 / Error Event Submitted/Written: 02/14/2008 11:38:01 AM Event ID/Source: 1 / sr Event Description: Beim Verarbeiten der Datei "desktop.ini" auf Volume "HarddiskVolume3" ist im Wiederherstellungsfilter der unerwartete Fehler "0xC000007F" aufgetreten. Die Volumeüberwachung wurde angehalten. -- End of Deckard's System Scanner: finished at 2008-02-14 14:24:45 ------------ Ich hoffe ich habe alles richtig gemacht und die Daten helfen euch. Danke Aeneas |
|
|
||
14.02.2008, 15:25
Ehrenmitglied
Beiträge: 1441 |
#9
Aeneas
HijackThis Setze ein Häckchen in das Kästchen vor den genannten Eintrag der im SicherheitsForum als zu "fixen" (löschen) empfohlen wurde) und wähle fix checked. Zitat O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\PROGRA~1\RXTOOL~1\sfcont.dll (file missing)Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) die "Lupe" rechts anklicken - View/edit script (wird sich öffnen) kopiere rein: Zitat Registry values to replace with dummy:schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten) Klicke die grüne Ampel avenger - das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), wenn es im Sicherheitsforum verlangt wird, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen --------------------- dann werden wir uns um den Rest kümmern, der Wurm hat z.b dein Sicherheitscenter lahmgelegt....kannst keine Windowsupdates machen u.a. - Security Center ------------------------------------------------------------- AUOptions is disabled. Windows Internal Firewall is disabled. FirstRunDisabled is set. AntiVirusDisableNotify is set. UpdatesDisableNotify is set. __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
14.02.2008, 15:50
Member
Beiträge: 16 |
#10
So wie es aussieht finde ich bei Hijakthis nicht alle Punkte. Nicht da sind:
O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\vtr.dll (file missing) O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\system32\_svchost.exe O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll O20 - AppInit_DLLs: C:\WINDOWS\system32\systems.txt O23 - Service: Microsoft Internet Explorer - Unknown owner - C:\WINDOWS\system32\_svchost.exe (file missing) Die anderen sind da. Gruß Aeneas Also gut, ich habe einfach alles Datein, die du angegeben hast und die da waren markiert und die gefixt. Danach hat der Spywarefighter sofort von allein versucht sich neu zu instellieren. Dadurch ist das System dann wohl zusammengebrochen und es kam die alte Fehlermeldung. Nach dem Neustart habe ich noch mal HijackThis ausgeführt und da war O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe wieder da. Also habe ich das noch mal markiert und gefixt. Danach wollte das Ding sich erneut installieren, aber es scheint als hätte ich schnell genug abbrechen können. Danach habe ich wie du beschrieben hast den Avenger ausgeführt und hier ist das Logfile: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\nefotscw ******************* Script file located at: \??\C:\rtcudgjw.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\systems.txt not found! Deletion of file C:\WINDOWS\system32\systems.txt failed! Could not process line: C:\WINDOWS\system32\systems.txt Status: 0xc0000034 File C:\WINDOWS\system32\npptdpnm.dll not found! Deletion of file C:\WINDOWS\system32\npptdpnm.dll failed! Could not process line: C:\WINDOWS\system32\npptdpnm.dll Status: 0xc0000034 File C:\WINDOWS\system32\npptdpnm.dat deleted successfully. File C:\WINDOWS\explore.exe not found! Deletion of file C:\WINDOWS\explore.exe failed! Could not process line: C:\WINDOWS\explore.exe Status: 0xc0000034 File C:\WINDOWS\system32\_svchost.exe not found! Deletion of file C:\WINDOWS\system32\_svchost.exe failed! Could not process line: C:\WINDOWS\system32\_svchost.exe Status: 0xc0000034 Folder C:\Programme\SPYWAREfighter deleted successfully. Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully. Could not delete registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|spywarefighterguard Deletion of registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|spywarefighterguard failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\npptdpnm not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\npptdpnm failed! Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. Bisher hatte ich in der Symbolleiste rechts unten immer ein SpywareFighter Symbol, aber das ist jetzt nicht mehr da. Was ich noch vergessen habe zu erzählen, ich nutze den Firefox als Browser und hatte den I-Explorer "deinstalliert". Jetzt ist aber in der Start Leiste wieder sein Icon. Das scheint mir noch etwas komisch. Vielen Dank erst mal. Aeneas Dieser Beitrag wurde am 14.02.2008 um 17:30 Uhr von Aeneas editiert.
|
|
|
||
14.02.2008, 22:45
Ehrenmitglied
Beiträge: 1441 |
#11
««
warum den IE deinstallieren ??? Wie willst du dann die WindowsUpdates machen ?? «« scanne mit bitdefender + poste den scanreport http://virus-protect.org/onlinescan.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
15.02.2008, 01:49
Member
Beiträge: 16 |
#12
Wenn ich ehrlich bin habe ich noch nie ein Windows Update gemacht...
Also, ich habe BitDefender installiert und dann einen Scann vom Typ deep gemacht. Hier das Logfile: BitDefender Log File !!!!! Product : BitDefender Total Security 2008 Version : BitDefender UIScanner v.11 Log date : 01:47:54 15/02/2008 Log path : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bitdefender\Desktop\Profiles\Logs\deep_scan\1203036474_1_01.xml Scan Pathsath0000: C:\ Path0001: D:\ Scan Options:Scan for viruses : Yes Scan for adware : Yes Scan for spyware : Yes Scan for applications : Yes Scan for dialers : Yes Scan for rootkits : Yes Target selection options:Scan registry keys : Yes Scan cookies : Yes Scan boot sectors : Yes Scan memory processes : Yes Scan archives : Yes Scan runtime packers : Yes Scan emails : Yes Scan all files : Yes Heuristic Scan : Yes Scanned extensions : Excluded extensions : Target ProcessingDefault action for infected objects : Disinfect Default action for suspicious objects : None Default action for hidden objects : None Scan engines summaryNumber of virus signatures : 980845 Archive plugins : 41 Email plugins : 6 Scan plugins : 12 Archive plugins : 41 System plugins : 4 Unpack plugins : 7 Overall scan summaryScanned items : 361169 Infected items : 11 Suspicious items : 0 Resolved items : 11 Individual viruses found : 5 Scanned directories : 11241 Scanned boot sectors : 4 Scanned archives : 21925 Input-output errors : 25 Scan time : 00:01:06:32 Files per second : 90 Scanned processes summaryScanned : 52 Infected : 0 Scanned registry keys summaryScanned : 312 Infected : 0 Scanned cookies summaryScanned : 0 Infected : 0 Remaining issues:Object Name Threat Name Final Status Resolved issues:Object Name Threat Name Final Status C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12\4ef9724c-2d021f25=]Installer.class Trojan.Downloader.Java.Agent.A Deleted C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Thunderbird\Profiles\vyukxvu8.default\Mail\mx.freenet.de\Inbox=](message 15)=][Subject: Ebay geanderter E-Mail-Adresse][Date: Mon, 16 Apr 2007 11:04:55 -0500]=](MIME part)=]55972010.zip=]Ebay.doc.exe Trojan.Downloader.Nurech.AI Deleted C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Thunderbird\Profiles\vyukxvu8.default\Mail\mx.freenet.de\Inbox=](message 16)=][Subject: Ebay: Sie haben Ihre Email Adresse gea][Date: Mon, 16 Apr 2007 18:19:36 -0400]=](MIME part)=]9791124.zip=]Ebay.doc.exe Trojan.Downloader.Nurech.AI Deleted C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Thunderbird\Profiles\vyukxvu8.default\Mail\mx.freenet.de\Trash=](message 5)=][Subject: Ebay geanderter E-Mail-Adresse][Date: Mon, 16 Apr 2007 11:04:55 -0500]=](MIME part)=]55972010.zip=]Ebay.doc.exe Trojan.Downloader.Nurech.AI Deleted C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Thunderbird\Profiles\vyukxvu8.default\Mail\mx.freenet.de\Trash=](message 6)=][Subject: Ebay: Sie haben Ihre Email Adresse gea][Date: Mon, 16 Apr 2007 18:19:36 -0400]=](MIME part)=]9791124.zip=]Ebay.doc.exe Trojan.Downloader.Nurech.AI Deleted D:\Thunderbird Backup - Profiles\1\Profiles\vyukxvu8.default\Mail\mx.freenet.de\Inbox=](message 15)=][Subject: Ebay geanderter E-Mail-Adresse][Date: Mon, 16 Apr 2007 11:04:55 -0500]=](MIME part)=]55972010.zip=]Ebay.doc.exe Trojan.Downloader.Nurech.AI Deleted D:\Thunderbird Backup - Profiles\1\Profiles\vyukxvu8.default\Mail\mx.freenet.de\Inbox=](message 16)=][Subject: Ebay: Sie haben Ihre Email Adresse gea][Date: Mon, 16 Apr 2007 18:19:36 -0400]=](MIME part)=]9791124.zip=]Ebay.doc.exe Trojan.Downloader.Nurech.AI Deleted D:\Thunderbird Backup - Profiles\1\Profiles\vyukxvu8.default\Mail\mx.freenet.de\Trash=](message 5)=][Subject: Ebay geanderter E-Mail-Adresse][Date: Mon, 16 Apr 2007 11:04:55 -0500]=](MIME part)=]55972010.zip=]Ebay.doc.exe Trojan.Downloader.Nurech.AI Deleted D:\Thunderbird Backup - Profiles\1\Profiles\vyukxvu8.default\Mail\mx.freenet.de\Trash=](message 6)=][Subject: Ebay: Sie haben Ihre Email Adresse gea][Date: Mon, 16 Apr 2007 18:19:36 -0400]=](MIME part)=]9791124.zip=]Ebay.doc.exe Trojan.Downloader.Nurech.AI Deleted C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12\4ef9724c-2d021f25=]ProxyClassLoader.class Trojan.Exploit.Byteverify.AC Deleted C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12\4ef9724c-2d021f25=]OwnClassLoader.class Trojan.Exploit.Byteverify.V Deleted Objects that were not scanned:Object Name Reason Final Status Und was nun? Vielen Dank, gute Nacht Aeneas |
|
|
||
15.02.2008, 10:25
Ehrenmitglied
Beiträge: 1441 |
#13
Aeneas
«« der Bitdefender ist Trial, also in zwei Wochen kaufen oder deinstallieren.. «« lade sdfix - im abgesicherten Modus anwenden - poste nach Neustart den Report http://virus-protect.org/artikel/tools/sdfix.html «« poste dieses log http://virus-protect.org/registry_stuff.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
15.02.2008, 12:54
Member
Beiträge: 16 |
#14
Also hier der Report von SDFix:
SDFix: Version 1.142 Run by Jens on 2008-02-15 at 13:12 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting... Normal Mode: Checking Files: No Trojan Files Found Removing Temp Files... ADS Check: Final Check: catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-15 13:26:12 Windows 5.1.2600 Service Pack 2 FAT NTAPI scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Wie schaut's jetzt aus? Danke Aeneas Dieser Beitrag wurde am 15.02.2008 um 13:38 Uhr von Aeneas editiert.
|
|
|
||
15.02.2008, 15:04
Ehrenmitglied
Beiträge: 1441 |
#15
Hallo,
es ist wieder alles in Ordnung __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
Sitz hier eben an nem Rechner von nem Bekannten der sich ein Prog. Namens "Spywarefighter heruntergeladen" und installiert hat.Wir bekommen das Ding nicht mehr vom Rechner.Bei der deinstall. fährt der Rechner herunter.
Wer kann mir helfen?Um was handelt es sich überhaupt,denn der Rechner zeigte beim hochfahren einen schweren systemfehler an und fuhr gleich wieder herunter.Nun haben wir ihn in der letzten gängigen windowskonfig hochgefahren.
Besten Dank im Vorraus
Kay
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:52:40, on 29.07.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\atievxx.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lexmark P910 Series\ezprint.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\WINDOWS\System32\lxbycoms.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\NASENMANN\Desktop\HJT\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {943CBD6C-F4DE-40e4-AA43-7B964FAE81F1} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [lxbymon.exe] "C:\Programme\Lexmark P910 Series\lxbymon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark P910 Series\ezprint.exe"
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: lxby_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxbycoms.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
--
End of file - 6352 bytes