Multi Problem mit Rechner + Virus worm.win32.netsky

#1 Guten Morgen in Nah und Fern,
Da die Suchmaschine aktuell überlastet ist, keine Suchergebnisse zeigt, sehe ich momentan nur den Weg eines neuen Themas, das vielleicht schon da ist. Sorry!

Ich habe dieses Forum eher zufällig mit google gefunden. Ich hoffe nun auf Hilfe zu meinen Problemen:
- Rechner Acer 1300 mit WinXP Pro (Build 2600, ohne SP) fährt nicht mehr runter, abschalten nur mit Stecker ziehen oder mit Drücken vom Power-Knopf länger als 5 Sekunden,
- Virenalarm mit worm.Win32.NetSky (ohne weiteren Buchstaben hinten)
- Icon Error Cleaner und noch zwei solcher Icons
- mehrere Exe sollen da was machen/wurden bei einem Vorgang (?) nicht gefunden: jusched.exe, apdproxy.exe
- dann scheint eine DLL ein Problem zu sein: PNCRT.dll

Habe in anderen Postings schon was von Combofix oder ähnlichem gelesen, kann das aber nicht zuordnen, weil keine Ahnung.

Habe auf meinen Rechner bisher ergebnislos den Antivir laufen lassen, dann abgeschaltet. Dann einen anderen Antiviren-Scanner (weiss den Namen nicht mehr) ausprobiert, nichts genutzt.
Mir die Computerbild gekauft und den Kaspersky installiert, den Lizenzschlüssel über anderen Rechner beschafft (eigener Rechner direkt beim ersten Anzeichen vom Net getrennt), danach Rechner kurzzeitig ans Netz dran wegen Updating Kaspersky, dann wieder weg vom Netz.

Kaspersky hat sieben Schädlinge gefunden, gelöscht, aber es war nicht der worm.win32.netsky dabei. Muss ich mir weiter Sorgen machen?

Welche Daten braucht ihr nun, damit eine Hilfe möglich wird und wie komme ich da dran?

Ich bitte um einfach formulierte und ausführliche Antworten, da ich ein 53jähriger dummer User bin, der manchmal recht sorglos mit PC und Internet umgeht und immer wieder fasziniert ist, warum alles klappt wie es klappt.
Wenn dann ein Alarm kommt, gerate ich in Unruhe.

Ich muss noch hinzufügen, dass diese Icon wie "Error Cleaner" plötzlich da waren, diese wurden dann anfangs nach dem Hochfahren von mir vom Desktop gelöscht, kamen aber immer wieder.
Nun habe ich den Kaspersky 2x durchlaufen lassen, seither sind diese Icon vom Desktop verschwunden.
Woher stammen diese Icon wie Error Cleaner eigentlich? Haben die was mit dem CCleaner zu tun?
Was ist eigentlich das hier so zu lesende "Hijackthis" oder so ähnlich?
Auf Antworten freue ich mich sehr!

Vorab schon mal Danke und viele Grüße vom Niederrhein
Rolf

#2 Hallo Railroader

du hast keinen Wurm auf dem Rechner, sondern ein gefälschtes Programm geladen... (Error Cleaner)

wende bitte Combofix an + poste hier den Report
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 Hallo Pinguin (hast du auch einen Vornamen?),
was ist denn der Unterschied zwischen einem Worm und einem gefälschten Programm?
War eben auf der Combofix-Seite, weiss aber nicht, was Hintergrundwächter sind und wo sie sein können. Wo und wie finde ich die denn?
Muss ich für Combofix den Kaspersky wieder deinstallieren? Das möchte ich nicht.
Habe den gerade erst mit viel Umstand und Zeitaufwand installiert.
Und was sind, bitte schön, denn "logfiles"? Was sagen sie aus? Welche Internas setze ich denn da so einfach mal ins Net?

Was euch so einfach und toll erscheint, sind für mich Rätsel, die sich mir da auftun.

Beispiel:
Bei dem ganzen Brimborium mit Kaspersky, den anderen Virenscannern, dem Worm, dem langsamen Rechner (nur noch rund 10% von sonst bekannter Geschwindigkeit), häufigem Absturz, plötzlicher Stillstand mit Notaus über Power-Knopf fiel mir ein, dass es bei Windows so was wie einen geschützten Modus gibt. Nur wie ging das denn nochmal?
Da habe ich erst lange und umständlich in alten Büchern gewälzt, ehe ich den Hinweis mit "F8" fand. Das half aber dann auch nicht so recht weiter. Und irgendwann gegen 2 Uhr fallen einem auch die Augen zu und die Hände auf die Tastatur. War dann auch nicht prickelnd, als ich wieder aufwachte und der Rechner wieder so ein komisches Eigenleben produzierte. Wollte den Rechner schon in die Tonne kloppen. Dann fand ich euch zufällig über Google, und zwar vom Rechner meiner Frau aus, der sonst für mich tabu ist. Sie hatte aber ein Einsehen mit meiner Lage und ließ mich gewähren.

Nun hoffe ich mal, dass ich dummer User von euch ein bisschen Hilfe bekomme, die mich aufklärt und langsam zum Ziel führt.

Herzlicher Gruß und danke
Rolf

#4 es wird schon klappen, ich helfe dir

Lade Combofix auf das Windows-Desktop
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

+ Bitte nicht die Maus während Combofix läuft bewegen oder etwas anklicken. Dies könnte Combofix zum Absturz bringen

nach einiger Zeit wird sich der Texteditor öffnen - fahre mit der linken Maustaste über den ganzen Text und klicke mit der rechten Taste auf "Kopieren" - dann hier in Forum klicke auf "einfügen"

so kann ich den Text sehen und ein Script erstellen, was deinen Rechner wieder sauber macht

Gruss
Sabina
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#5 Hallo Sabina,
war gerade auf der Combofix-Seite, habe mir dort die Anleitung ausgedruckt.
Dabei meckerte mein HP-F380-Drucker nach einer neuen Druckpatrone, habe ihm eine neue Patrone gegeben, mußte dennoch erst den Rechner per Notaus abschalten, weil sich das HP-Scanner-Fenster auf dem Desktop nicht entfernen ließ.

Combofix und diese Datei zur WinXp Wiederherstellungskonsole habe ich beide nun auf dem Desktop abgespeichert.
Mein Rechner hat WinXP 2002 ohne Servicepacks. Wollte früher schon mal SP 1 bzw. SP2 herunterladen, hat der Rechner nicht akzeptiert. Die runtergeladenen Daten liegen nun irgendwo auf der Festplatte als Müll herum. Weiss ich wo und wie die heissen? Keine Anhnung!

Da lese ich im Tutorium weiter unten, dass der Rechner wieder hochgefahren wird, aber da gibt es ein neues Problem.
Mein Rechner, ein Laptop, fährt nicht herunter!!! Ich kann entweder nur in den Halbruhestand durch zuklappen des Deckels kommen oder wenn ich auf "Runterfahren" geklickt habe den letzten Schritt des Abschaltens durch Drücken des Power-Knopfes (mehr als 5 sek) erzwingen.

Warte ich geduldig, dann könnte ich stunden/tagelang warten, bis der Rechner normal runterfährt und abschaltet.

Wenn ich dann, wie im Combo-Tutorium beschrieben, auf Hilfethemen wie "Wie man die Windows XP Wiederherstellungskonsole installiert und nutzt" klicke oder im Abschnitt "Schließe oder deaktiviere alle laufenden...." auf 'Thema' klicke, dann lande ich in englischsprachigen Foren, die ich mit meinen geringen Englischkenntnissen nicht verstehe. Gibt es die nicht auch in Deutsch?

Mit dem vorhandenen Problem, dass der Rechner nicht runterfährt, habe ich so meine Zweifel, ob der Einsatz von Combofix glatt ablaufen kann.

Ich glaube, dass du mir erst mal helfen musst, dass der Rechner wieder normal runterfährt und nicht auf halbem Weg stehen bleibt (der Lüfter läuft an und stellt sich wieder ab).
Auch kann ich den Task-Manager nicht aufrufen, denn dann kommt nach Alt-Strg-Entf immer das Fenster "Administrator hat Taskmanager deaktiviert". kann mich aber nicht entsinnen, dass ich das je gemacht habe. Geht das denn überhaupt?

Jetzt gongt der PC nervig und ich weiss nicht warum.
Blinder Alarm: PC meldete Akku der Funkmaus sei aufzuladen. Stimmte aber nicht, Akkus sind voll. Was soll das? Langsam drehe ich am Rad.

Gruß
Rolf

P.S.: Wer ist nun dümmer, der Rechner oder ich, der davor sitzt?

#6 «
wende erst mal an:
http://virus-protect.org/artikel/tools/rvaxo.html
wahrscheinlich holt das Proggie schon einen Teil der Viren raus - poste hier den report, bitte.

««
lade einfach die exe - klicke drauf und fertig, du musst keine Anleitungen durchlesen, wir bekommen das schon hin

Lade Combofix auf das Windows-Desktop
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

dann klicke auf das geladene Symbol von Combofix auf deinem Desktop. - ein Log wird erstellt (es wird sich der Texteditor öffnen - kopiere alles ab)
der Rechner fährt nicht runter.............
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#7 Hallo Sabina,
habe den RVAXO mal durchlaufen lassen und folgendes Ergebnis erhalten:

>>>>Beginn des Ergebnisses

---RVAXO.exe Updated: 2008-02-24---first run---
Uninstallers:

Files found:
C:\WINDOWS\system32\_000005_.tmp.dll
C:\WINDOWS\dat.txt
C:\Dokumente und Einstellungen\Cyber Cody\FAVORI~1\Error Cleaner.url
C:\Dokumente und Einstellungen\Cyber Cody\FAVORI~1\Privacy Protector.url
C:\Dokumente und Einstellungen\Cyber Cody\FAVORI~1\Spyware&Malware Protection.url

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Files found:

Folders Found:

--------------RVAXO.exe finished----------------

<<<<<Ende des Ergebnisses

Werde morgen erst wohl sehr spät wieder eingeloggt sein, da ich abends noch eine Sitzung im Kreishaus habe.

Gruß
Rolf

#8 Hallo Rolf,

das sieht ja schon mal gut aus das Schlimmste ist schon raus
nun klicke auf das Combofix-Symbol, warte den Scan ab (kann ein Weilchen dauern) - dann kopiere den Text, der erscheint ab und stelle ihn hier ein.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#9 Hallo Sabina,
gerade bin ins Forum eingestiegen, da blieb der Rechner wieder stehen und nix ging mehr, nur der Notaus. Dann nach dem Hochfahren hat er die Sitzung wiederhergestellt und nun bin ich wieder hier.

Vor dem Combofix Durchlauf habe ich mit CCleaner noch mal einen Waschgang erledigt. Dann den Kaspersky abgeschaltet.

Habe dann den Combofix durchlaufen lassen, aber zum Schluß wollte er den Rechner runterfahren, schaffte es aber nur bis zum Punkt "Windows - Ihre Einstellungen werden gespeichert", dann 10 Minuten geduldig gewartet, dann mal irgendwelche Tasten wahllos gedrückt, dann auf einmal fuhr er runter und wieder rauf.

Beim Hochfahren aktivierte er automatisch den zuvor abgeschalteten Kaspersky, den ich dann wieder deaktiveren wollte. Dabei zeigte er mir verschiedene Fenster mit irgendwelchen Angaben "Prozessorfehler, kann dies nicht, kann das nicht", die ich alle per Mausklick geschlossen habe.
Dann war Ruhe, Combofix erledigte die Log-Speicherung und gut war.

Nun folgt hier per Copy-Befehl die Combofix-Log-Liste:

>>>> Beginn Combofix Log-Datei>>>>>
ComboFix 08-02-25 - Cyber Cody 2008-02-27 19:57:02.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.706 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Cyber Cody\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
ADS - svchost.exe: deleted 88 bytes in 2 streams.

((((((((((((((((((((((( Dateien erstellt von 2008-01-27 bis 2008-02-27 ))))))))))))))))))))))))))))))
.

2008-02-25 23:14 . 2008-02-25 23:14 <DIR> d----c--- C:\RVAXO
2008-02-25 23:11 . 2008-02-24 08:16 711,037 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-02-25 23:11 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-02-22 00:34 . 2008-02-23 01:32 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-02-22 00:34 . 2008-02-23 01:32 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-02-22 00:33 . 2008-02-27 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-02-22 00:33 . 2008-02-27 20:10 1,403,168 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-02-22 00:33 . 2008-02-27 20:10 81,440 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-02-22 00:33 . 2008-02-27 20:01 19,820 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-02-22 00:33 . 2008-02-27 20:01 8,684 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-02-20 22:33 . 2008-02-21 23:24 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-20 22:32 . 2008-02-20 22:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PC Tools
2008-02-20 21:13 . 2008-02-20 21:13 <DIR> d-------- C:\Programme\CCleaner
2008-01-29 23:03 . 2008-01-29 23:03 <DIR> d-------- C:\Dokumente und Einstellungen\Cyber Cody\Anwendungsdaten\WEB.DE

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-24 14:37 --------- d-----w C:\Programme\Yahoo!
2008-02-23 23:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-20 23:12 --------- d-----w C:\Programme\PhotoRescue PC
2008-02-20 23:12 --------- d-----w C:\Programme\DaViDeo3
2008-02-12 18:20 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-01-28 23:06 --------- d-----w C:\Programme\Mozilla Thunderbird
2006-06-28 19:25 42,648 ----a-w C:\Dokumente und Einstellungen\Cyber Cody\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-02-07 21:08 11,072,160 ----a-w C:\Programme\antivir_workstation_win7u_de_h.exe
2006-01-20 17:44 39,936 ----a-w C:\Programme\ANTIVIR3.VDF
2006-01-20 17:44 122,880 ----a-w C:\Programme\ANTIVIR2.VDF
2006-01-20 17:44 1,642,536 ----a-w C:\Programme\AVREP.DLL
2006-01-20 17:44 1,008,128 ----a-w C:\Programme\AVEWIN32.DLL
2006-01-06 08:26 675,328 ----a-w C:\Programme\ANTIVIR1.VDF
2005-11-07 08:19 4,323,840 ----a-w C:\Programme\ANTIVIR0.VDF
2005-10-24 06:18 4,459,008 ----a-w C:\Programme\ANTIVIR.VDF
2005-06-07 09:34 77,864 ----a-w C:\Programme\NOTIFIER.EXE
2005-06-07 09:34 158,208 ----a-w C:\Programme\UNRAR.DLL
2000-01-07 10:53 696,320 ----a-w C:\Programme\Gemeinsame Dateien\XCMHook.dll
2000-01-06 14:57 24,576 ----a-w C:\Programme\Gemeinsame Dateien\XCPCMenu.exe
1999-05-07 03:22 8,944 ----a-w C:\WINDOWS\inf\USBSCAN.SYS
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{451692E8-E49F-471E-B230-D36C4A3C7374}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Mozilla Quick Launch"="d:\Programme\Mozilla.exe" [2005-09-15 18:41 98192]
"WEB.DE Club E-Mail Alarm"="D:\Web-de-Funktionen\WEB.DE Club E-Mail Alarm\EmailAlarm.exe" [2008-01-24 13:08 2091008]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LManager"="C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE" [2002-05-29 12:53 139264]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-03-28 09:41 188416]
"CARPService"="carpserv.exe" [2002-09-25 02:36 4608 C:\WINDOWS\system32\carpserv.exe]
"WheelMouse"="Amoumain.exe" []
"PRISMSVR.EXE"="C:\Programme\T-Com\Sinus 154 card\PRISMSVR.exe" [2004-07-02 15:27 295001]
"HP Software Update"="D:\Programme\HP F380\HP Software Update\HPWuSchd2.exe" [2006-02-19 02:41 49152]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 01:50 155648]
"AVP"="D:\Kaspersky_2008\avp.exe" [2007-03-09 20:50 200768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-18 13:00 13312]
"ALUAlert"="C:\Programme\Symantec\LiveUpdate\ALUNotify.exe" [2004-08-24 11:32 263280]
"Symantec NetDriver Warning"="C:\PROGRA~1\SYMNET~1\SNDWarn.exe" [2004-10-29 08:52 218232]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

R0 ElbyVCD;ElbyVCD;C:\WINDOWS\System32\DRIVERS\ElbyVCD.sys [2002-11-28 11:43]
R0 ppa;Iomega Parallelanschluss-Filtertreiber;C:\WINDOWS\System32\DRIVERS\ppa.sys [2001-08-17 12:53]
R2 NwSapAgent;SAP-Agent;C:\WINDOWS\System32\svchost.exe [2005-01-07 19:54]
R3 Arfumftr;USB RF-Mouse filter driver;C:\WINDOWS\System32\DRIVERS\Arfumftr.sys [2003-01-07 17:33]
R3 HSFHWVIA;HSFHWVIA;C:\WINDOWS\System32\DRIVERS\HSFHWVIA.sys [2002-09-25 02:36]
R3 TDSLAdapter;T-DSL-Adapter (T-Online);C:\WINDOWS\System32\DRIVERS\TDSLAdap.sys [2001-02-12 20:02]
S3 TDSLProtocol;T-DSL-Protocol (T-Online);C:\WINDOWS\System32\DRIVERS\TDSLProt.sys [2001-02-12 20:02]
S3 TS154_CB;Sinus 154 card Driver;C:\WINDOWS\System32\DRIVERS\TS154ICB.sys [2004-11-19 11:50]
S3 w32n5223;w32n5223 Protocol Driver;C:\PROGRA~1\T-COM\T-COMW~1\INSTAL~1\WINXP\w32n5223.SYS []

.
Inhalt des "geplante Tasks" Ordners
"2006-01-13 12:04:19 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-27 20:12:01
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe [6.00.2600.0000]
-> C:\WINDOWS\System32\Amhooker.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Mouse\Amoumain.exe
D:\Programme\HP F380\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Apoint2K\Apntex.exe
D:\Programme\HP F380\Digital Imaging\bin\hpqSTE08.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-27 20:15:59 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-27 19:15:54
<<<<<Ende Combofix Log-Datei<<<<<

In der ausgedruckten Combofix-Anleitung las ich was von "HijackThis-Log einfügen". Was ist das ? Keine Ahnung!

Dann möchte ich meiner freudigen Überraschung Ausdruck geben, dass sich in der Männer dominierten PC-Welt eine excellente Fachfrau behauptet. Mein Respekt! Das meine ich ganz ehrlich und gerade heraus!

Ich bin gespannt, was ich nun tun muss und was noch auf mich zukommt.
Herzlicher Gruß
Rolf

#10 Hallo

zuerst deinstallierst du den Kaspersky, denn du hast auch noch den Symantec auf dem Rechner - und das ist des Guten zuviel.
ist es ein gekauftes Programm ? Symantec auch ? Bezahlst du beide ?

D:\Kaspersky_2008\avp.exe

2.
poste nach Anleitung ein Log vom HijacktHis
http://virus-protect.org/hjtkurz.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#11 Hallo,
wo der Symantec herkommt, weiss ich nicht. Bis zu deiner aktuellen Einlassung war mir nicht bewußt, dass so was überhaupt da ist.
Was muss ich genau tun, um den Symantec los zu werden. Bitte um Anleitung im Verfahren "ich nehme dich an die Hand und sage dir, was du machen musst".

Den Kaspersky will ich unbedingt behalten, ist ein registrierte Free-Lizenz mit Ablauf im Janaur 2009 (zwischendurch mit dreimonatiger Verlängerung der Free-Lizenz, stammt von der aktuellen ComputerBild-CD).

Danke und meine hoffnung gibt nicht auf
Rolf

P.S.:
Wie kann ich eigentlich einen Avatar einbinden? Muss ich da eine Wartezeit nach meiner Registirerung abwarten?

#12 ¨Hallo,

öffne das HijackThis
http://virus-protect.org/hjtkurz.html

1.
Beim Erststart:
Do a system scan and save a logfile - es öffnet sich der Editor - poste das Log hier

2.
öffne wieder HijackThis - diesmal mit "Do a system scan only"
klicke auf: Config
klicke auf: MiscTools
Klicke auf: Open Unistall Manger
klicke auf: Save List

es erscheint eine uninstall_list.txt - speichere die txt ab und poste sie hier
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#13 Jau, gut!
Und was ist mit meinen Fragen zu Symantexc und Avatar?

Muss ich denn vor dem HaiJäck-Start wieder den Virenscanner abschalten?
Reicht es, wenn ich von der HaiJäck-Seite den Installer runterlade oder nur die .exe oder beides?

Hurra, mein Windows-Task Manager funzt wieder. Schon toll, danke.

Hier kommen die Daten vom Erstlauf unter HighJackthis:
>>>>>>Beginn der Datenliste>>>>>
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:51:03, on 28.02.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
C:\WINDOWS\System32\carpserv.exe
C:\Programme\Mouse\Amoumain.exe
C:\Programme\T-Com\Sinus 154 card\PRISMSVR.EXE
D:\Programme\HP F380\HP Software Update\HPWuSchd2.exe
D:\Programme\Mozilla.exe
D:\Web-de-Funktionen\WEB.DE Club E-Mail Alarm\EmailAlarm.exe
D:\Programme\HP F380\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Apoint2K\Apntex.exe
D:\Programme\HP F380\Digital Imaging\bin\hpqSTE08.exe
D:\HaiJäck\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://original.antivir-pe.de/scripts/avira_news_de.php
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {451692E8-E49F-471E-B230-D36C4A3C7374} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {2E758911-64CB-45F8-A661-E70B8D19DE93} - (no file)
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 card\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [HP Software Update] D:\Programme\HP F380\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVP] "D:\Kaspersky_2008\avp.exe"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "d:\Programme\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [WEB.DE Club E-Mail Alarm] D:\Web-de-Funktionen\WEB.DE Club E-Mail Alarm\EmailAlarm.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Programme\HP F380\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Kaspersky_2008\scieplugin.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {6813A39F-8B3A-4C94-95C8-974003CEB678} - D:\XP-AntiSpy 3.61\xp-antispy_deutsch392\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {6813A39F-8B3A-4C94-95C8-974003CEB678} - D:\XP-AntiSpy 3.61\xp-antispy_deutsch392\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093017131737
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1168198057743
O16 - DPF: {B020B534-4AA2-4B99-BD6D-5F6EE286DF5C} (Symantec Download Bridge) - http://www2.service.t-online.de/dyn/c/23/34/15/2334156.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F2A1585-17CB-498A-9E8B-1DE764F0072A}: NameServer = 192.168.2.1
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - D:\Kaspersky_2008\avp.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 6452 bytes
<<<<<<<<<<<<<<<<<<<<Ende der Datenliste<<<<<

Nun folgt die Uninstall_List:
>>>>>Beginn der Liste>>>>
Ad-Aware SE Personal
Adobe Flash Player Plugin
Adobe Photoshop 5.5
Adobe Reader 8.1.0 - Deutsch
Ahead Nero Burning ROM
ALPS Touch Pad Driver
ARCHIV-CD
Ashampoo WinOptimizer Platinum 3
a-squared Free 1.6.1
AutoRun USB
CC_ccStart
ccCommon
CCleaner (remove only)
CloneCD
Conexant Soft 56K Modem
CRW Series Driver v1.17r023
CyberView X - SF v1.15
DaViDeo 3
EVEREST Home Edition v2.20
HijackThis 2.0.2
HP Customer Participation Program 7.0
HP Imaging Device Functions 7.0
HP Photosmart Essential
HP Photosmart, Officejet and Deskjet 7.0.A
HP Solution Center 7.0
HP Update
iPhoto Plus 4
iWheelWorks V7.40
J2SE Runtime Environment 5.0 Update 10
Kaspersky Personal Security Suite V
Kaspersky Personal Security Suite V
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 2.0
Microsoft Data Access Components KB870669
Microsoft Internet Explorer 6 SP1
Microsoft Office XP Professional mit FrontPage
MovieJack 3
Mozilla Firefox (2.0.0.12)
Mozilla Thunderbird (1.5.0.4)
Outlook Express Q823353
PDFCreator
PhotoRescue 1.0.632 Hama Version
PL-2303 USB-to-Serial
PowerDVD
PowerTuning für Windows XP
QuickTime
S3Display
S3Gamma2
S3Info2
SafeCast Shared Components
Sinus 154 card
SymNet
T-DSL SpeedManager
T-DSL Treiber
T-Sinus 154 Komfort
Twister and Utilities
VideoLAN VLC media player 0.6.2
WEB.DE Club E-Mail Alarm
Windows Commander (Remove or Repair)
Windows Installer 3.1 (KB893803)
Windows Media Encoder 9 Series
Windows Media Encoder 9 Series
Windows Media Format Runtime
Windows Media Player 10
XP-AntiSpy 3.61
<<<<<<<<<<<<<<<Ende der Datenliste von uninstall_list<<<<<

Gruß
Rolf

#14 Hallo

der Symantec ist noch in den Diensten aktiv, jedoch nicht in der unistall-Liste
darum kümmern wir uns später ....
Auch sehe ich, dass du die neusten Windowsupdates nicht geladen hast....

1.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
der im SicherheitsForum als zu "fixen" (löschen) empfohlen wurde) - keine anderen !!
und wähle fix checked. + starte den Rechner neu.

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O2 - BHO: (no name) - {451692E8-E49F-471E-B230-D36C4A3C7374} - (no file)

O3 - Toolbar: (no name) - {2E758911-64CB-45F8-A661-E70B8D19DE93} - (no file)

Beispiel:


2.
neue Startseite - IE
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

3.
scanne mit Ewido, nach dem scan entscheide, dass alles gefundene entfernt wird (remove) + kopiere hier den scanreport
http://virus-protect.org/onlinescan.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#15 Hallo,
mein Rechner akzeptiert keine Windows-Updates, habe schon mehrfach versucht WinXP SP1 und/oder SP2 upzudaten, immer erfolglos.
Das funktioniert weder von microsoft-Seite noch von CpmputerBild-CD noch von CDs anderer Computerzeitschriften noch von sonstiger ehrlicher Quelle.

ad1.:
"starte den Rechner neu", was mache ich denn, wenn PC nicht runterfährt?
Notaus per 5-Sek-Druck auf Powerknopf, dann wieder hochfahren?

ad2.:
was heisst, bitte schön, "neue Startseite - IE"?
Vielen Dank für die weitere Hilfestellung.

Greetings
Rolf