Rechner verseucht-u.a.gskkmtusw.exe und Bos/Agent.dkw Warnungen von Antivir

#0
07.01.2008, 15:20
Member

Beiträge: 37
#1 Hallo, ich brauche dringend Hilfe!
Antivir hört nicht mehr auf mit div.Warnungen, div. Programme bzw. Dateien sind nicht mehr zu öffnen oder halt ganz weg.

Kann jemand bitte mal über die Lockdatei Hijackthis schauen?

Wäre super!!!

Logfile of HijackThis v1.99.1
Scan saved at 15:09:34, on 07.01.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\lg_fwupdate\fwupdate.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Dokumente und Einstellungen\Valued\Desktop\Viren\Antiviren\Hijackthis.com

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [mouseElf] C:\Programme\Genius NetScroll + Series Mouse\mouseElf.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [tray"] "C:\Programme\CodedColor\byngo.exe /tray"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [fmybdpe] C:\WINDOWS\System32\fmybdpe.exe
O4 - HKLM\..\Run: [hcqddttxdt] C:\WINDOWS\System32\hcqddttxdt.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PowerBar] "C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Print Spooler Service (ekewqd58guid) - Unknown owner - C:\WINDOWS\System32\hcqddttxdt.exe (file missing)
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
Seitenanfang Seitenende
07.01.2008, 16:47
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

bitte folgende Dateien online prüfen lassen:
C:\WINDOWS\System32\fmybdpe.exe
C:\WINDOWS\System32\hcqddttxdt.exe
C:\WINDOWS\System32\hcqddttxdt.exe

Virustotal:
http://www.virustotal.com/de/
Einfach Dateiname reinkopieren (in das Eingabefeld) und poste das Ergebnis mit Filename.

Du hast ein total veraltetes Windows, SP1!
Unbedingt auf SP2 "aufrüsten".

Arbeite auch den Rest von http://board.protecus.de/t23188.htm
ab und poste die Logs (bis auf das HJ-Log)...

And now, it's Pinguin-time! :o'))))))))

Chris
Seitenanfang Seitenende
07.01.2008, 17:51
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#3 Diddlina ;)

Zitat

And now, it's Pinguin-time! :o'))))))))
Pinguin ist zur Stelle
ja, hier gibt es tüchtig Arbeit !!!!!!!

poste bitte das log von Combofix
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
07.01.2008, 18:31
Member

Themenstarter

Beiträge: 37
#4 Also... auf gehts:
Also... virus total sagt:
C:\WINDOWS\System32\fmybdpe.exe
0 bytes size received / Se ha recibido un archivo vacio
C:\WINDOWS\System32\hcqddttxdt.exe
0 bytes size received / Se ha recibido un archivo vacio

Combofix:
Valued - 07.01.2008 18:16:19,03 Service Pack 1
ComboFix 06.09.27 - Running from: "C:\Dokumente und Einstellungen\Valued\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-12-08 to 2007.01.2008 ))))))))))))))))))))))))))))))))))


No new files created in this timespan


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2014.09.2001 09:08 6912 --a------ C:\WINDOWS\system32\drivers\gmfiltr.sys
2012.12.2002 00:14 7424 --a------ C:\WINDOWS\system32\drivers\mskssrv.sys
2012.12.2002 00:14 5504 --a------ C:\WINDOWS\system32\drivers\mstee.sys
2012.12.2002 00:14 5248 --a------ C:\WINDOWS\system32\drivers\mspclock.sys
2012.12.2002 00:14 45696 --a------ C:\WINDOWS\system32\drivers\stream.sys
2012.12.2002 00:14 4096 --a------ C:\WINDOWS\system32\drivers\swenum.sys
2012.12.2002 00:14 130304 --a------ C:\WINDOWS\system32\drivers\ks.sys
2011.09.2002 08:36 158464 -ra------ C:\WINDOWS\system32\drivers\s3gnbm.sys
2011.03.2002 18:57 43776 -ra------ C:\WINDOWS\system32\drivers\viaudio.sys
2011.01.2005 16:05 92672 --a------ C:\WINDOWS\system32\drivers\mmrtkrnl.sys
2010.08.2004 21:05 18944 --a------ C:\WINDOWS\system32\drivers\wpdusb.sys
2009.08.2007 13:04 40768 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2008.07.2005 15:17 99584 --------- C:\WINDOWS\system32\drivers\InCDfs.sys
2008.07.2005 15:17 8704 --------- C:\WINDOWS\system32\drivers\InCDrec.sys
2008.07.2005 15:17 29696 --------- C:\WINDOWS\system32\drivers\InCDpass.sys
2008.07.2005 15:17 28672 --------- C:\WINDOWS\system32\drivers\InCDrm.sys


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"PowerBar"="\"C:\\Programme\\CyberLink DVD Solution\\Multimedia Launcher\\PowerBar.exe\" /AtBootTime"
"InfoCockpit"="C:\\Programme\\T-Online\\T-Online_Software_6\\Info-Cockpit\\IC_START.EXE /nosplash"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mouseElf"="C:\\Programme\\Genius NetScroll + Series Mouse\\mouseElf.exe"
"Realtime Audio Engine"="mmrtkrnl.exe"
"tray\""="\"C:\\Programme\\CodedColor\\byngo.exe /tray\""
"RemoteControl"="\"C:\\Programme\\CyberLink DVD Solution\\PowerDVD\\PDVDServ.exe\""
"InCD"="C:\\Programme\\Ahead\\InCD\\InCD.exe"
"LGODDFU"="C:\\Programme\\lg_fwupdate\\fwupdate.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
@=""
"Sony Ericsson PC Suite"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"
"ToADiMon.exe"="C:\\Programme\\T-Online\\T-Online_Software_6\\Basis-Software\\Basis1\\ToADiMon.exe -TOnlineAutodialStart"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"fmybdpe"="C:\\WINDOWS\\System32\\fmybdpe.exe"
"hcqddttxdt"="C:\\WINDOWS\\System32\\hcqddttxdt.exe"
"avgnt"="\"C:\\Programme\\Avira\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,80,01,00,00,00,00,00,00,80,02,00,00,00,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"InfoCockpit"="C:\\Programme\\T-Online\\T-Online_Software_6\\Info-Cockpit\\IC_START.EXE /nosplash"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"InfoCockpit"="C:\\Programme\\T-Online\\T-Online_Software_6\\Info-Cockpit\\IC_START.EXE /nosplash"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Completion time: 07.01.2008 18:16:52,09
ComboFix.txt

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:20:33, on 07.01.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\lg_fwupdate\fwupdate.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Dokumente und Einstellungen\Valued\Desktop\Viren\HJT.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [mouseElf] C:\Programme\Genius NetScroll + Series Mouse\mouseElf.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [tray"] "C:\Programme\CodedColor\byngo.exe /tray"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [fmybdpe] C:\WINDOWS\System32\fmybdpe.exe
O4 - HKLM\..\Run: [hcqddttxdt] C:\WINDOWS\System32\hcqddttxdt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PowerBar] "C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Print Spooler Service (ekewqd58guid) - Unknown owner - C:\WINDOWS\System32\hcqddttxdt.exe (file missing)
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

--
End of file - 5987 bytes

datfind:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D812-F4F6

Verzeichnis von C:\WINDOWS\system32

07.01.2008 17:57 23.168 FFASTLOG.TXT
07.01.2008 15:32 1.374 wpa.dbl
25.11.2007 21:11 2.328 qtplugin.log
28.10.2007 11:02 398.316 perfh009.dat
28.10.2007 11:02 60.584 perfc009.dat
28.10.2007 11:02 409.160 perfh007.dat
28.10.2007 11:02 71.462 perfc007.dat
28.10.2007 11:02 950.122 PerfStringBackup.INI
30.07.2007 18:20 30.040 wuaucpl.cpl.mui
30.07.2007 18:20 30.040 wuapi.dll.mui
30.07.2007 18:19 1.712.984 wuaueng.dll
30.07.2007 18:19 549.720 wuapi.dll
30.07.2007 18:19 325.976 wucltui.dll
30.07.2007 18:19 203.096 wuweb.dll
30.07.2007 18:19 216.408 wuaucpl.cpl
30.07.2007 18:19 92.504 cdm.dll
30.07.2007 18:19 53.080 wuauclt.exe
30.07.2007 18:19 43.352 wups2.dll
30.07.2007 18:18 34.136 wucltui.dll.mui
30.07.2007 18:18 33.624 wups.dll
30.07.2007 18:18 20.824 wuaueng.dll.mui
26.07.2007 13:49 133.280 FNTCACHE.DAT
26.07.2007 13:29 65.693 NULL
26.07.2007 13:28 16.832 amcompat.tlb
26.07.2007 13:28 23.392 nscompat.tlb
19.01.2007 11:53 51.056 sirenacm.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D812-F4F6

Verzeichnis von C:\DOKUME~1\Valued\LOKALE~1\Temp

07.01.2008 18:21 94.908 datfind.txt
07.01.2008 18:01 16.384 ~DFFC2E.tmp
07.01.2008 17:57 16.384 ~DFAECA.tmp
3 Datei(en) 127.676 Bytes
0 Verzeichnis(se), 26.162.700.288 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D812-F4F6

Verzeichnis von C:\WINDOWS

07.01.2008 18:00 1.622.545 WindowsUpdate.log
07.01.2008 17:57 283 lgfwup.ini
07.01.2008 17:56 0 0.log
07.01.2008 17:56 159 wiadebug.log
07.01.2008 17:56 50 wiaservc.log
07.01.2008 17:55 2.048 bootstat.dat
07.01.2008 17:55 113.918 ntbtlog.txt
07.01.2008 17:50 32.592 SchedLgU.Txt
07.01.2008 16:28 77.824 offitems.log
07.01.2008 12:28 649.231 setupapi.log
07.01.2008 12:28 185.680 setupact.log
18.12.2007 19:58 65.536 outlook.pst
18.12.2007 19:57 987 win.ini
04.12.2007 19:42 116 NeroDigital.ini
23.10.2007 21:54 0 OpPrintServer.INI
01.09.2007 14:39 850.168 DPINST.LOG
03.08.2007 17:40 7.921 extend.dat
02.08.2007 14:30 67.092 wmsetup.log Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D812-F4F6

Verzeichnis von C:\WINDOWS\temp

07.01.2008 17:56 16.384 Perflib_Perfdata_6e0.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 26.162.696.192 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D812-F4F6

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.06.2007 11:21 5.021 swflash.inf
11.03.2003 10:01 65 desktop.ini
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
4 Datei(en) 6.945 Bytes
0 Verzeichnis(se), 26.162.696.192 Bytes frei
.


das war`s!!!! Dank für Eure Hilfe...
Seitenanfang Seitenende
07.01.2008, 19:20
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#5 Diddlina

««
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

Print Spooler Service - deaktivieren !

Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Print Spooler Service" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"Print Spooler Service " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "Print Spooler Service " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

-------------------------------------------------------------------------------------

HijackThis
Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu.

Zitat

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [fmybdpe] C:\WINDOWS\System32\fmybdpe.exe
O4 - HKLM\..\Run: [hcqddttxdt] C:\WINDOWS\System32\hcqddttxdt.exe

O23 - Service: Print Spooler Service (ekewqd58guid) - Unknown owner - C:\WINDOWS\System32\hcqddttxdt.exe (file missing)
PC neustarten

»»
wende sdfix im abgesicherten modus an - poste dann den Report
http://virus-protect.org/artikel/tools/sdfix.html

»»
scanne mit kaspersky-Tool - poste den Report
http://virus-protect.org/artikel/tools/kaspersky.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
08.01.2008, 06:33
Member

Themenstarter

Beiträge: 37
#6 hat etwas gedauert,aber jetzt:


SDFix: Version 1.63

07.01.2008 - 20:04:01,42

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:
ekewqd58guid

Path:
C:\WINDOWS\System32\hcqddttxdt.exe /service

ekewqd58guid Deleted

Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found..

Kaspersky:

detected: virus Heur.Invader (modification) File: c:\windows\system32\mmrtkrnl.exe
habe ich deleted.
Seitenanfang Seitenende
08.01.2008, 10:39
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#7 Diddlina

poste bitte das neue log vom HijackThis ;)

+
poste dieses Log

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
08.01.2008, 16:19
Member

Themenstarter

Beiträge: 37
#8 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:15:55, on 08.01.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\lg_fwupdate\fwupdate.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Valued\Desktop\Viren\HJT.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [mouseElf] C:\Programme\Genius NetScroll + Series Mouse\mouseElf.exe
O4 - HKLM\..\Run: [tray"] "C:\Programme\CodedColor\byngo.exe /tray"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVP] "C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_07.01.2008_19-47.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PowerBar] "C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: setup_7.0.0.180_07.01.2008_19-47 - Kaspersky Lab - C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_07.01.2008_19-47.exe

--
End of file - 6057 bytes


The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Home Edition
Version: 5.1.2600 Service Pack 1
Jan 8, 2008 16:17:54


---> Begin Service Listing <---

Unknown Service # 1
Service Name: AntiVirScheduler
Display Name: AntiVir PersonalEdition Classic Planer
Start Mode: Auto
Start Name: LocalSystem
Description: Dienst zur Steuerung von AntiVir Prüfaufträgen und ...
Service Type: Own Process
Path: "c:\programme\avira\antivir personaledition classic\sched.exe"
State: Running
Process ID: 1500
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 2
Service Name: AntiVirService
Display Name: AntiVir PersonalEdition Classic Guard
Start Mode: Auto
Start Name: LocalSystem
Description: Bietet permanenten Schutz vor Viren und Malware mit der AntiVir ...
Service Type: Own Process
Path: "c:\programme\avira\antivir personaledition classic\avguard.exe"
State: Running
Process ID: 1312
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #3
Service Name: InCDsrv
Display Name: InCD Helper
Start Mode: Auto
Start Name: LocalSystem
Description: Helper service for the InCD filesystem ...
Service Type: Own Process
Path: c:\programme\ahead\incd\incdsrv.exe
State: Running
Process ID: 952
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 4
Service Name: LightScribeService
Display Name: LightScribeService Direct Disc Labeling Service
Start Mode: Auto
Start Name: LocalSystem
Description: Used by the LightScribe software components to support 3rd party disc labeling applications using ...
Service Type: Own Process
Path: c:\programme\gemeinsame dateien\lightscribe\lssrvc.exe
State: Running
Process ID: 1536
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 5
Service Name: MSSQL$SONY_MEDIAMGR
Display Name: MSSQL$SONY_MEDIAMGR
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\sony\shared plug-ins\media manager\mssql$sony_mediamgr\binn\sqlservr.exe -ssony_mediamgr
State: Running
Process ID: 1584
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 6
Service Name: MSSQLServerADHelper
Display Name: MSSQLServerADHelper
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\microsoft sql server\80\tools\binn\sqladhlp.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 7
Service Name: MZCCntrl
Display Name: T-Online WLAN Adapter Steuerungsdienst
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\gemeinsame dateien\marmiko shared\mzccntrl.exe
State: Running
Process ID: 1600
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 8
Service Name: setup_7.0.0.180_07.01.2008_19-47
Display Name: setup_7.0.0.180_07.01.2008_19-47
Start Mode: Auto
Start Name: LocalSystem
Description: Kaspersky Anti-Virus provides anti-virus services to applications and performs real-time ...
Service Type: Own Process
Path: "c:\dokumente und einstellungen\all users\desktop\kaspersky lab tool\setup_7.0.0.180_07.01.2008_19-47.exe" -r
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 9
Service Name: SQLAgent$SONY_MEDIAMGR
Display Name: SQLAgent$SONY_MEDIAMGR
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\sony\shared plug-ins\media manager\mssql$sony_mediamgr\binn\sqlagent.exe -i sony_mediamgr
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #10
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{6f1e33e6-5cc1-4fa2-af42-81ced494f1fe}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 11
Service Name: usnjsvc
Display Name: Messenger USN Journal Reader-Service für freigegebene Ordner
Start Mode: Manual
Start Name: LocalSystem
Description: Ein von Messenger installierter Service, der Freigabeszenarien ...
Service Type: Own Process
Path: c:\programme\msn messenger\usnsvc.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 86 Win32 services on this machine.
11 were unrecognized.

Script Execution Time: 3,3125 seconds.
Seitenanfang Seitenende
08.01.2008, 17:26
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#9 Diddlina

HijackthisSetze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked + starte den Rechner neu.

Zitat

O23 - Service: Print Spooler Service (ekewqd58guid) - Unknown owner - C:\WINDOWS\System32\hcqddttxdt.exe (file missing)
überprüfe dann in einem neuen HijackTHis-log, ob der Eintrag verschwunden ist....

-----

scanne mit dr.web und poste den report (falls etwas gefunden wird...)
http://virus-protect.org/cureit.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
08.01.2008, 18:34
Member

Themenstarter

Beiträge: 37
#10 O23 - Service: Print Spooler Service (ekewqd58guid) - Unknown owner - C:\WINDOWS\System32\hcqddttxdt.exe (file missing)

Der ist im letzten Hijackreport schon nicht mehr aufgeführt gewesen. So auch nicht zu makieren oder zu löschen.(siehe letzten Report oben)
habe dennoch noch einmal neu gemacht,auch da war dieser Eintrag nicht.

Dr. Web hat mir nur eine Datei angezeigt:

mzccntrl.exe;c:\programme\gemeinsame dateien\marmiko shared;Adware.Msearch.origin;

Die habe ich gelöscht und neu gestartet.
Seitenanfang Seitenende
08.01.2008, 20:44
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#11 Diddlina

es sieht schon viel besser aus ;)

klicke sdfix im normalmodus, scanne mit Sophos, wähle Option 6 und poste den Report
http://www.virus-protect.org/artikel/tools/sdfix.html

reinschreiben: 1 oder 2 oder 3

1 : es wird a-squared geladen
2 : wird Norman geladen
3 : wird Sophos geladen
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
09.01.2008, 07:32
Member

Themenstarter

Beiträge: 37
#12 hallo Pinguin..
erst einmal Dankeschön für Deine Hilfe, echt Wahnsinn!!! na, und Deine aufbauenden Worte..lach..;)

ich habe in meiner untätigen Zeit hier das SP2 drauf gemacht, ich hoffe das war nicht ganz so schlimm?? hab ein wenig die platte aufgeräumt und mal defragmentiert..

hier denn mal der Report von Sophos:

Sophos Anti-Virus
Version 4.25.0 [Win32/Intel]
Virus data version 4.25E, January 2008
Includes detection for 331157 viruses, trojans and worms
Copyright (c) 1989-2008 Sophos Plc, www.sophos.com

System time 22:24:19, System date 08 January 2008
Command line qualifiers are: -f -remove -nc -nb --stop-scan

Full Scanning

>>> Virus 'Mal/Behav-027' found in file C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\avzkrnl.dll
Removal failed
>>> Virus 'Mal/EncPk-BA' found in file C:\Dokumente und Einstellungen\Valued\Eigene Dateien\Eigene Musik\Musik\Neue Musik\virtualdj_trial.exe
Removal successful
>>> Virus 'Mal/EncPk-BA' found in file C:\Dokumente und Einstellungen\Valued\Eigene Dateien\VirtualDJ\virtualdj_trial.exe
Removal successful
>>> Virus 'Mal/EncPk-BA' found in file C:\System Volume Information\_restore{F062D123-9F13-4B23-9713-FFC3ED60B27A}\RP357\A0126688.exe
Removal successful
>>> Virus 'Mal/EncPk-BA' found in file C:\VirtualDJ 1\virtualdj_trial.exe
Removal successful

1 boot sector swept.
26435 files swept in 5 hours, 4 minutes and 37 seconds.
5 viruses were discovered.
5 files out of 26435 were infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
Ending Sophos Anti-Virus.
Seitenanfang Seitenende
09.01.2008, 11:55
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#13 Diddlina

das schicke Kaspersky-Proggie einen Virus zu erkennen ist ja nun nicht die feine Art vom Sophos - muss da mal hinmailen .. nun ja, die Konkurenz wird gern als Virus dargestellt ;)

Du kannst mit deinem Antivirus noch mal im abgesicherten Modus drüberbügeln...

««
Mit dem Rechner müsste alles wieder i,o. sein - wenn es noch Probleme gibt - melde dich.
Alles Gute für Compi + dich . ;)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: