Multi Problem mit Rechner + Virus worm.win32.netsky |
||
---|---|---|
#0
| ||
24.02.2008, 13:56
Member
Beiträge: 58 |
||
|
||
24.02.2008, 14:28
Ehrenmitglied
Beiträge: 1441 |
#2
Hallo Railroader
du hast keinen Wurm auf dem Rechner, sondern ein gefälschtes Programm geladen... (Error Cleaner) wende bitte Combofix an + poste hier den Report http://virus-protect.org/artikel/tools/combofix.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
24.02.2008, 22:30
Member
Themenstarter Beiträge: 58 |
#3
Hallo Pinguin (hast du auch einen Vornamen?),
was ist denn der Unterschied zwischen einem Worm und einem gefälschten Programm? War eben auf der Combofix-Seite, weiss aber nicht, was Hintergrundwächter sind und wo sie sein können. Wo und wie finde ich die denn? Muss ich für Combofix den Kaspersky wieder deinstallieren? Das möchte ich nicht. Habe den gerade erst mit viel Umstand und Zeitaufwand installiert. Und was sind, bitte schön, denn "logfiles"? Was sagen sie aus? Welche Internas setze ich denn da so einfach mal ins Net? Was euch so einfach und toll erscheint, sind für mich Rätsel, die sich mir da auftun. Beispiel: Bei dem ganzen Brimborium mit Kaspersky, den anderen Virenscannern, dem Worm, dem langsamen Rechner (nur noch rund 10% von sonst bekannter Geschwindigkeit), häufigem Absturz, plötzlicher Stillstand mit Notaus über Power-Knopf fiel mir ein, dass es bei Windows so was wie einen geschützten Modus gibt. Nur wie ging das denn nochmal? Da habe ich erst lange und umständlich in alten Büchern gewälzt, ehe ich den Hinweis mit "F8" fand. Das half aber dann auch nicht so recht weiter. Und irgendwann gegen 2 Uhr fallen einem auch die Augen zu und die Hände auf die Tastatur. War dann auch nicht prickelnd, als ich wieder aufwachte und der Rechner wieder so ein komisches Eigenleben produzierte. Wollte den Rechner schon in die Tonne kloppen. Dann fand ich euch zufällig über Google, und zwar vom Rechner meiner Frau aus, der sonst für mich tabu ist. Sie hatte aber ein Einsehen mit meiner Lage und ließ mich gewähren. Nun hoffe ich mal, dass ich dummer User von euch ein bisschen Hilfe bekomme, die mich aufklärt und langsam zum Ziel führt. Herzlicher Gruß und danke Rolf |
|
|
||
24.02.2008, 22:40
Ehrenmitglied
Beiträge: 1441 |
#4
es wird schon klappen, ich helfe dir
Lade Combofix auf das Windows-Desktop http://download.bleepingcomputer.com/sUBs/ComboFix.exe + Bitte nicht die Maus während Combofix läuft bewegen oder etwas anklicken. Dies könnte Combofix zum Absturz bringen nach einiger Zeit wird sich der Texteditor öffnen - fahre mit der linken Maustaste über den ganzen Text und klicke mit der rechten Taste auf "Kopieren" - dann hier in Forum klicke auf "einfügen" so kann ich den Text sehen und ein Script erstellen, was deinen Rechner wieder sauber macht Gruss Sabina __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
24.02.2008, 23:51
Member
Themenstarter Beiträge: 58 |
#5
Hallo Sabina,
war gerade auf der Combofix-Seite, habe mir dort die Anleitung ausgedruckt. Dabei meckerte mein HP-F380-Drucker nach einer neuen Druckpatrone, habe ihm eine neue Patrone gegeben, mußte dennoch erst den Rechner per Notaus abschalten, weil sich das HP-Scanner-Fenster auf dem Desktop nicht entfernen ließ. Combofix und diese Datei zur WinXp Wiederherstellungskonsole habe ich beide nun auf dem Desktop abgespeichert. Mein Rechner hat WinXP 2002 ohne Servicepacks. Wollte früher schon mal SP 1 bzw. SP2 herunterladen, hat der Rechner nicht akzeptiert. Die runtergeladenen Daten liegen nun irgendwo auf der Festplatte als Müll herum. Weiss ich wo und wie die heissen? Keine Anhnung! Da lese ich im Tutorium weiter unten, dass der Rechner wieder hochgefahren wird, aber da gibt es ein neues Problem. Mein Rechner, ein Laptop, fährt nicht herunter!!! Ich kann entweder nur in den Halbruhestand durch zuklappen des Deckels kommen oder wenn ich auf "Runterfahren" geklickt habe den letzten Schritt des Abschaltens durch Drücken des Power-Knopfes (mehr als 5 sek) erzwingen. Warte ich geduldig, dann könnte ich stunden/tagelang warten, bis der Rechner normal runterfährt und abschaltet. Wenn ich dann, wie im Combo-Tutorium beschrieben, auf Hilfethemen wie "Wie man die Windows XP Wiederherstellungskonsole installiert und nutzt" klicke oder im Abschnitt "Schließe oder deaktiviere alle laufenden...." auf 'Thema' klicke, dann lande ich in englischsprachigen Foren, die ich mit meinen geringen Englischkenntnissen nicht verstehe. Gibt es die nicht auch in Deutsch? Mit dem vorhandenen Problem, dass der Rechner nicht runterfährt, habe ich so meine Zweifel, ob der Einsatz von Combofix glatt ablaufen kann. Ich glaube, dass du mir erst mal helfen musst, dass der Rechner wieder normal runterfährt und nicht auf halbem Weg stehen bleibt (der Lüfter läuft an und stellt sich wieder ab). Auch kann ich den Task-Manager nicht aufrufen, denn dann kommt nach Alt-Strg-Entf immer das Fenster "Administrator hat Taskmanager deaktiviert". kann mich aber nicht entsinnen, dass ich das je gemacht habe. Geht das denn überhaupt? Jetzt gongt der PC nervig und ich weiss nicht warum. Blinder Alarm: PC meldete Akku der Funkmaus sei aufzuladen. Stimmte aber nicht, Akkus sind voll. Was soll das? Langsam drehe ich am Rad. Gruß Rolf P.S.: Wer ist nun dümmer, der Rechner oder ich, der davor sitzt? |
|
|
||
25.02.2008, 10:53
Ehrenmitglied
Beiträge: 1441 |
#6
«
wende erst mal an: http://virus-protect.org/artikel/tools/rvaxo.html wahrscheinlich holt das Proggie schon einen Teil der Viren raus - poste hier den report, bitte. «« lade einfach die exe - klicke drauf und fertig, du musst keine Anleitungen durchlesen, wir bekommen das schon hin Lade Combofix auf das Windows-Desktop http://download.bleepingcomputer.com/sUBs/ComboFix.exe dann klicke auf das geladene Symbol von Combofix auf deinem Desktop. - ein Log wird erstellt (es wird sich der Texteditor öffnen - kopiere alles ab) der Rechner fährt nicht runter............. __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
25.02.2008, 23:21
Member
Themenstarter Beiträge: 58 |
#7
Hallo Sabina,
habe den RVAXO mal durchlaufen lassen und folgendes Ergebnis erhalten: >>>>Beginn des Ergebnisses ---RVAXO.exe Updated: 2008-02-24---first run--- Uninstallers: Files found: C:\WINDOWS\system32\_000005_.tmp.dll C:\WINDOWS\dat.txt C:\Dokumente und Einstellungen\Cyber Cody\FAVORI~1\Error Cleaner.url C:\Dokumente und Einstellungen\Cyber Cody\FAVORI~1\Privacy Protector.url C:\Dokumente und Einstellungen\Cyber Cody\FAVORI~1\Spyware&Malware Protection.url Folders Found: Hosts-file was reset, If you use a custom hosts file please replace it... --------------RVAXO.exe last run--------------- Files found: Folders Found: --------------RVAXO.exe finished---------------- <<<<<Ende des Ergebnisses Werde morgen erst wohl sehr spät wieder eingeloggt sein, da ich abends noch eine Sitzung im Kreishaus habe. Gruß Rolf |
|
|
||
26.02.2008, 00:46
Ehrenmitglied
Beiträge: 1441 |
#8
Hallo Rolf,
das sieht ja schon mal gut aus das Schlimmste ist schon raus nun klicke auf das Combofix-Symbol, warte den Scan ab (kann ein Weilchen dauern) - dann kopiere den Text, der erscheint ab und stelle ihn hier ein. __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
27.02.2008, 21:22
Member
Themenstarter Beiträge: 58 |
#9
Hallo Sabina,
gerade bin ins Forum eingestiegen, da blieb der Rechner wieder stehen und nix ging mehr, nur der Notaus. Dann nach dem Hochfahren hat er die Sitzung wiederhergestellt und nun bin ich wieder hier. Vor dem Combofix Durchlauf habe ich mit CCleaner noch mal einen Waschgang erledigt. Dann den Kaspersky abgeschaltet. Habe dann den Combofix durchlaufen lassen, aber zum Schluß wollte er den Rechner runterfahren, schaffte es aber nur bis zum Punkt "Windows - Ihre Einstellungen werden gespeichert", dann 10 Minuten geduldig gewartet, dann mal irgendwelche Tasten wahllos gedrückt, dann auf einmal fuhr er runter und wieder rauf. Beim Hochfahren aktivierte er automatisch den zuvor abgeschalteten Kaspersky, den ich dann wieder deaktiveren wollte. Dabei zeigte er mir verschiedene Fenster mit irgendwelchen Angaben "Prozessorfehler, kann dies nicht, kann das nicht", die ich alle per Mausklick geschlossen habe. Dann war Ruhe, Combofix erledigte die Log-Speicherung und gut war. Nun folgt hier per Copy-Befehl die Combofix-Log-Liste: >>>> Beginn Combofix Log-Datei>>>>> ComboFix 08-02-25 - Cyber Cody 2008-02-27 19:57:02.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.706 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Cyber Cody\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ADS - svchost.exe: deleted 88 bytes in 2 streams. ((((((((((((((((((((((( Dateien erstellt von 2008-01-27 bis 2008-02-27 )))))))))))))))))))))))))))))) . 2008-02-25 23:14 . 2008-02-25 23:14 <DIR> d----c--- C:\RVAXO 2008-02-25 23:11 . 2008-02-24 08:16 711,037 --a------ C:\WINDOWS\system32\RVAXO.bat 2008-02-25 23:11 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe 2008-02-22 00:34 . 2008-02-23 01:32 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-02-22 00:34 . 2008-02-23 01:32 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat 2008-02-22 00:33 . 2008-02-27 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-02-22 00:33 . 2008-02-27 20:10 1,403,168 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-02-22 00:33 . 2008-02-27 20:10 81,440 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2008-02-22 00:33 . 2008-02-27 20:01 19,820 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-02-22 00:33 . 2008-02-27 20:01 8,684 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx 2008-02-20 22:33 . 2008-02-21 23:24 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-02-20 22:32 . 2008-02-20 22:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PC Tools 2008-02-20 21:13 . 2008-02-20 21:13 <DIR> d-------- C:\Programme\CCleaner 2008-01-29 23:03 . 2008-01-29 23:03 <DIR> d-------- C:\Dokumente und Einstellungen\Cyber Cody\Anwendungsdaten\WEB.DE . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-24 14:37 --------- d-----w C:\Programme\Yahoo! 2008-02-23 23:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-02-20 23:12 --------- d-----w C:\Programme\PhotoRescue PC 2008-02-20 23:12 --------- d-----w C:\Programme\DaViDeo3 2008-02-12 18:20 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared 2008-01-28 23:06 --------- d-----w C:\Programme\Mozilla Thunderbird 2006-06-28 19:25 42,648 ----a-w C:\Dokumente und Einstellungen\Cyber Cody\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-02-07 21:08 11,072,160 ----a-w C:\Programme\antivir_workstation_win7u_de_h.exe 2006-01-20 17:44 39,936 ----a-w C:\Programme\ANTIVIR3.VDF 2006-01-20 17:44 122,880 ----a-w C:\Programme\ANTIVIR2.VDF 2006-01-20 17:44 1,642,536 ----a-w C:\Programme\AVREP.DLL 2006-01-20 17:44 1,008,128 ----a-w C:\Programme\AVEWIN32.DLL 2006-01-06 08:26 675,328 ----a-w C:\Programme\ANTIVIR1.VDF 2005-11-07 08:19 4,323,840 ----a-w C:\Programme\ANTIVIR0.VDF 2005-10-24 06:18 4,459,008 ----a-w C:\Programme\ANTIVIR.VDF 2005-06-07 09:34 77,864 ----a-w C:\Programme\NOTIFIER.EXE 2005-06-07 09:34 158,208 ----a-w C:\Programme\UNRAR.DLL 2000-01-07 10:53 696,320 ----a-w C:\Programme\Gemeinsame Dateien\XCMHook.dll 2000-01-06 14:57 24,576 ----a-w C:\Programme\Gemeinsame Dateien\XCPCMenu.exe 1999-05-07 03:22 8,944 ----a-w C:\WINDOWS\inf\USBSCAN.SYS . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{451692E8-E49F-471E-B230-D36C4A3C7374}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Mozilla Quick Launch"="d:\Programme\Mozilla.exe" [2005-09-15 18:41 98192] "WEB.DE Club E-Mail Alarm"="D:\Web-de-Funktionen\WEB.DE Club E-Mail Alarm\EmailAlarm.exe" [2008-01-24 13:08 2091008] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LManager"="C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE" [2002-05-29 12:53 139264] "HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-03-28 09:41 188416] "CARPService"="carpserv.exe" [2002-09-25 02:36 4608 C:\WINDOWS\system32\carpserv.exe] "WheelMouse"="Amoumain.exe" [] "PRISMSVR.EXE"="C:\Programme\T-Com\Sinus 154 card\PRISMSVR.exe" [2004-07-02 15:27 295001] "HP Software Update"="D:\Programme\HP F380\HP Software Update\HPWuSchd2.exe" [2006-02-19 02:41 49152] "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 01:50 155648] "AVP"="D:\Kaspersky_2008\avp.exe" [2007-03-09 20:50 200768] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-18 13:00 13312] "ALUAlert"="C:\Programme\Symantec\LiveUpdate\ALUNotify.exe" [2004-08-24 11:32 263280] "Symantec NetDriver Warning"="C:\PROGRA~1\SYMNET~1\SNDWarn.exe" [2004-10-29 08:52 218232] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk] backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup R0 ElbyVCD;ElbyVCD;C:\WINDOWS\System32\DRIVERS\ElbyVCD.sys [2002-11-28 11:43] R0 ppa;Iomega Parallelanschluss-Filtertreiber;C:\WINDOWS\System32\DRIVERS\ppa.sys [2001-08-17 12:53] R2 NwSapAgent;SAP-Agent;C:\WINDOWS\System32\svchost.exe [2005-01-07 19:54] R3 Arfumftr;USB RF-Mouse filter driver;C:\WINDOWS\System32\DRIVERS\Arfumftr.sys [2003-01-07 17:33] R3 HSFHWVIA;HSFHWVIA;C:\WINDOWS\System32\DRIVERS\HSFHWVIA.sys [2002-09-25 02:36] R3 TDSLAdapter;T-DSL-Adapter (T-Online);C:\WINDOWS\System32\DRIVERS\TDSLAdap.sys [2001-02-12 20:02] S3 TDSLProtocol;T-DSL-Protocol (T-Online);C:\WINDOWS\System32\DRIVERS\TDSLProt.sys [2001-02-12 20:02] S3 TS154_CB;Sinus 154 card Driver;C:\WINDOWS\System32\DRIVERS\TS154ICB.sys [2004-11-19 11:50] S3 w32n5223;w32n5223 Protocol Driver;C:\PROGRA~1\T-COM\T-COMW~1\INSTAL~1\WINXP\w32n5223.SYS [] . Inhalt des "geplante Tasks" Ordners "2006-01-13 12:04:19 C:\WINDOWS\Tasks\Symantec NetDetect.job" - C:\Programme\Symantec\LiveUpdate\NDETECT.EXE . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-02-27 20:12:01 Windows 5.1.2600 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\explorer.exe [6.00.2600.0000] -> C:\WINDOWS\System32\Amhooker.dll . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\PAStiSvc.exe C:\WINDOWS\System32\wdfmgr.exe C:\Programme\Mouse\Amoumain.exe D:\Programme\HP F380\Digital Imaging\bin\hpqtra08.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\Apoint2K\Apntex.exe D:\Programme\HP F380\Digital Imaging\bin\hpqSTE08.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-02-27 20:15:59 - machine was rebooted ComboFix-quarantined-files.txt 2008-02-27 19:15:54 <<<<<Ende Combofix Log-Datei<<<<< In der ausgedruckten Combofix-Anleitung las ich was von "HijackThis-Log einfügen". Was ist das ? Keine Ahnung! Dann möchte ich meiner freudigen Überraschung Ausdruck geben, dass sich in der Männer dominierten PC-Welt eine excellente Fachfrau behauptet. Mein Respekt! Das meine ich ganz ehrlich und gerade heraus! Ich bin gespannt, was ich nun tun muss und was noch auf mich zukommt. Herzlicher Gruß Rolf |
|
|
||
27.02.2008, 23:23
Ehrenmitglied
Beiträge: 1441 |
#10
Hallo
zuerst deinstallierst du den Kaspersky, denn du hast auch noch den Symantec auf dem Rechner - und das ist des Guten zuviel. ist es ein gekauftes Programm ? Symantec auch ? Bezahlst du beide ? D:\Kaspersky_2008\avp.exe 2. poste nach Anleitung ein Log vom HijacktHis http://virus-protect.org/hjtkurz.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
28.02.2008, 10:16
Member
Themenstarter Beiträge: 58 |
#11
Hallo,
wo der Symantec herkommt, weiss ich nicht. Bis zu deiner aktuellen Einlassung war mir nicht bewußt, dass so was überhaupt da ist. Was muss ich genau tun, um den Symantec los zu werden. Bitte um Anleitung im Verfahren "ich nehme dich an die Hand und sage dir, was du machen musst". Den Kaspersky will ich unbedingt behalten, ist ein registrierte Free-Lizenz mit Ablauf im Janaur 2009 (zwischendurch mit dreimonatiger Verlängerung der Free-Lizenz, stammt von der aktuellen ComputerBild-CD). Danke und meine hoffnung gibt nicht auf Rolf P.S.: Wie kann ich eigentlich einen Avatar einbinden? Muss ich da eine Wartezeit nach meiner Registirerung abwarten? |
|
|
||
28.02.2008, 12:20
Ehrenmitglied
Beiträge: 1441 |
#12
¨Hallo,
öffne das HijackThis http://virus-protect.org/hjtkurz.html 1. Beim Erststart: Do a system scan and save a logfile - es öffnet sich der Editor - poste das Log hier 2. öffne wieder HijackThis - diesmal mit "Do a system scan only" klicke auf: Config klicke auf: MiscTools Klicke auf: Open Unistall Manger klicke auf: Save List es erscheint eine uninstall_list.txt - speichere die txt ab und poste sie hier __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
28.02.2008, 16:32
Member
Themenstarter Beiträge: 58 |
#13
Jau, gut!
Und was ist mit meinen Fragen zu Symantexc und Avatar? Muss ich denn vor dem HaiJäck-Start wieder den Virenscanner abschalten? Reicht es, wenn ich von der HaiJäck-Seite den Installer runterlade oder nur die .exe oder beides? Hurra, mein Windows-Task Manager funzt wieder. Schon toll, danke. Hier kommen die Daten vom Erstlauf unter HighJackthis: >>>>>>Beginn der Datenliste>>>>> Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:51:03, on 28.02.2008 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\System32\PAStiSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE C:\WINDOWS\System32\carpserv.exe C:\Programme\Mouse\Amoumain.exe C:\Programme\T-Com\Sinus 154 card\PRISMSVR.EXE D:\Programme\HP F380\HP Software Update\HPWuSchd2.exe D:\Programme\Mozilla.exe D:\Web-de-Funktionen\WEB.DE Club E-Mail Alarm\EmailAlarm.exe D:\Programme\HP F380\Digital Imaging\bin\hpqtra08.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\Apoint2K\Apntex.exe D:\Programme\HP F380\Digital Imaging\bin\hpqSTE08.exe D:\HaiJäck\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://original.antivir-pe.de/scripts/avira_news_de.php O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {451692E8-E49F-471E-B230-D36C4A3C7374} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {2E758911-64CB-45F8-A661-E70B8D19DE93} - (no file) O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtaET2S.EXE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 card\PRISMSVR.EXE" /APPLY O4 - HKLM\..\Run: [HP Software Update] D:\Programme\HP F380\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVP] "D:\Kaspersky_2008\avp.exe" O4 - HKCU\..\Run: [Mozilla Quick Launch] "d:\Programme\Mozilla.exe" -turbo O4 - HKCU\..\Run: [WEB.DE Club E-Mail Alarm] D:\Web-de-Funktionen\WEB.DE Club E-Mail Alarm\EmailAlarm.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Programme\HP F380\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Kaspersky_2008\scieplugin.dll O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {6813A39F-8B3A-4C94-95C8-974003CEB678} - D:\XP-AntiSpy 3.61\xp-antispy_deutsch392\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {6813A39F-8B3A-4C94-95C8-974003CEB678} - D:\XP-AntiSpy 3.61\xp-antispy_deutsch392\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093017131737 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1168198057743 O16 - DPF: {B020B534-4AA2-4B99-BD6D-5F6EE286DF5C} (Symantec Download Bridge) - http://www2.service.t-online.de/dyn/c/23/34/15/2334156.html O17 - HKLM\System\CCS\Services\Tcpip\..\{8F2A1585-17CB-498A-9E8B-1DE764F0072A}: NameServer = 192.168.2.1 O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - D:\Kaspersky_2008\avp.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe -- End of file - 6452 bytes <<<<<<<<<<<<<<<<<<<<Ende der Datenliste<<<<< Nun folgt die Uninstall_List: >>>>>Beginn der Liste>>>> Ad-Aware SE Personal Adobe Flash Player Plugin Adobe Photoshop 5.5 Adobe Reader 8.1.0 - Deutsch Ahead Nero Burning ROM ALPS Touch Pad Driver ARCHIV-CD Ashampoo WinOptimizer Platinum 3 a-squared Free 1.6.1 AutoRun USB CC_ccStart ccCommon CCleaner (remove only) CloneCD Conexant Soft 56K Modem CRW Series Driver v1.17r023 CyberView X - SF v1.15 DaViDeo 3 EVEREST Home Edition v2.20 HijackThis 2.0.2 HP Customer Participation Program 7.0 HP Imaging Device Functions 7.0 HP Photosmart Essential HP Photosmart, Officejet and Deskjet 7.0.A HP Solution Center 7.0 HP Update iPhoto Plus 4 iWheelWorks V7.40 J2SE Runtime Environment 5.0 Update 10 Kaspersky Personal Security Suite V Kaspersky Personal Security Suite V Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Microsoft .NET Framework 2.0 Microsoft Data Access Components KB870669 Microsoft Internet Explorer 6 SP1 Microsoft Office XP Professional mit FrontPage MovieJack 3 Mozilla Firefox (2.0.0.12) Mozilla Thunderbird (1.5.0.4) Outlook Express Q823353 PDFCreator PhotoRescue 1.0.632 Hama Version PL-2303 USB-to-Serial PowerDVD PowerTuning für Windows XP QuickTime S3Display S3Gamma2 S3Info2 SafeCast Shared Components Sinus 154 card SymNet T-DSL SpeedManager T-DSL Treiber T-Sinus 154 Komfort Twister and Utilities VideoLAN VLC media player 0.6.2 WEB.DE Club E-Mail Alarm Windows Commander (Remove or Repair) Windows Installer 3.1 (KB893803) Windows Media Encoder 9 Series Windows Media Encoder 9 Series Windows Media Format Runtime Windows Media Player 10 XP-AntiSpy 3.61 <<<<<<<<<<<<<<<Ende der Datenliste von uninstall_list<<<<< Gruß Rolf Dieser Beitrag wurde am 28.02.2008 um 20:59 Uhr von Railroader editiert.
|
|
|
||
29.02.2008, 00:49
Ehrenmitglied
Beiträge: 1441 |
#14
Hallo
der Symantec ist noch in den Diensten aktiv, jedoch nicht in der unistall-Liste darum kümmern wir uns später .... Auch sehe ich, dass du die neusten Windowsupdates nicht geladen hast.... 1. mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag der im SicherheitsForum als zu "fixen" (löschen) empfohlen wurde) - keine anderen !! und wähle fix checked. + starte den Rechner neu. Zitat R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2Beispiel: 2. neue Startseite - IE gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein 3. scanne mit Ewido, nach dem scan entscheide, dass alles gefundene entfernt wird (remove) + kopiere hier den scanreport http://virus-protect.org/onlinescan.html __________ Gruss Pinguin bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/ |
|
|
||
29.02.2008, 12:00
Member
Themenstarter Beiträge: 58 |
#15
Hallo,
mein Rechner akzeptiert keine Windows-Updates, habe schon mehrfach versucht WinXP SP1 und/oder SP2 upzudaten, immer erfolglos. Das funktioniert weder von microsoft-Seite noch von CpmputerBild-CD noch von CDs anderer Computerzeitschriften noch von sonstiger ehrlicher Quelle. ad1.: "starte den Rechner neu", was mache ich denn, wenn PC nicht runterfährt? Notaus per 5-Sek-Druck auf Powerknopf, dann wieder hochfahren? ad2.: was heisst, bitte schön, "neue Startseite - IE"? Vielen Dank für die weitere Hilfestellung. Greetings Rolf |
|
|
||
Da die Suchmaschine aktuell überlastet ist, keine Suchergebnisse zeigt, sehe ich momentan nur den Weg eines neuen Themas, das vielleicht schon da ist. Sorry!
Ich habe dieses Forum eher zufällig mit google gefunden. Ich hoffe nun auf Hilfe zu meinen Problemen:
- Rechner Acer 1300 mit WinXP Pro (Build 2600, ohne SP) fährt nicht mehr runter, abschalten nur mit Stecker ziehen oder mit Drücken vom Power-Knopf länger als 5 Sekunden,
- Virenalarm mit worm.Win32.NetSky (ohne weiteren Buchstaben hinten)
- Icon Error Cleaner und noch zwei solcher Icons
- mehrere Exe sollen da was machen/wurden bei einem Vorgang (?) nicht gefunden: jusched.exe, apdproxy.exe
- dann scheint eine DLL ein Problem zu sein: PNCRT.dll
Habe in anderen Postings schon was von Combofix oder ähnlichem gelesen, kann das aber nicht zuordnen, weil keine Ahnung.
Habe auf meinen Rechner bisher ergebnislos den Antivir laufen lassen, dann abgeschaltet. Dann einen anderen Antiviren-Scanner (weiss den Namen nicht mehr) ausprobiert, nichts genutzt.
Mir die Computerbild gekauft und den Kaspersky installiert, den Lizenzschlüssel über anderen Rechner beschafft (eigener Rechner direkt beim ersten Anzeichen vom Net getrennt), danach Rechner kurzzeitig ans Netz dran wegen Updating Kaspersky, dann wieder weg vom Netz.
Kaspersky hat sieben Schädlinge gefunden, gelöscht, aber es war nicht der worm.win32.netsky dabei. Muss ich mir weiter Sorgen machen?
Welche Daten braucht ihr nun, damit eine Hilfe möglich wird und wie komme ich da dran?
Ich bitte um einfach formulierte und ausführliche Antworten, da ich ein 53jähriger dummer User bin, der manchmal recht sorglos mit PC und Internet umgeht und immer wieder fasziniert ist, warum alles klappt wie es klappt.
Wenn dann ein Alarm kommt, gerate ich in Unruhe.
Ich muss noch hinzufügen, dass diese Icon wie "Error Cleaner" plötzlich da waren, diese wurden dann anfangs nach dem Hochfahren von mir vom Desktop gelöscht, kamen aber immer wieder.
Nun habe ich den Kaspersky 2x durchlaufen lassen, seither sind diese Icon vom Desktop verschwunden.
Woher stammen diese Icon wie Error Cleaner eigentlich? Haben die was mit dem CCleaner zu tun?
Was ist eigentlich das hier so zu lesende "Hijackthis" oder so ähnlich?
Auf Antworten freue ich mich sehr!
Vorab schon mal Danke und viele Grüße vom Niederrhein
Rolf