Wie werde ich Batch Virus für immer los?!

#16 Hallo, Ihr Lieben,

habe Dr. Web neu geladen und damit gescannt. Nichts mehr gefunden! Was die Funktionsweise von Batch Viren betrifft, wie funktionieren diese? Wann werden sie aktiv? Wie werden sie aktiviert? Wo verstecken sie sich oder kann man sie täglich aus dem Internet wieder bekommen? Habe seit gestern meinen Router dran.

Habe paar .exe Dateien angeklickt, sie ließen sich öffnen! Es ist also nur die eine Demoplattform (Metatrader), die sich nicht öffnen lässt. Warum???

Elibagla gibt beim Scannen folgende Fehlermeldung:

Acceso denegado a la carpeta:

Dann zeigt es den Pfad zu einem Metatrader Indikator, der wohl als verdächtig eingestuft wird. Ich kann dort nur auf OK klicken (vermutlich löschen), dann scannt er weiter. In Virustotal habe ich gestern diese Datei gescannt, aber die Virenscanner haben nichts angezeigt, ist wohl unbekannt oder kein Virus!

Hijackthis (egal, wie ich es umbenenne) lässt sich nicht ausführen, weil diese komische .dll Datei fehlt, die ich doch aber schon geladen hatte.

Ich mache also einen Combofix Scan. Ich hoffe, der geht. Mal schauen, was der anzeigt. Okay?

Bis dann. Dankeschön.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!

#17 Hallo, Ihr Lieben,

habe mit Combofix gescannt, aber die Logdatei ist dann leer geblieben! Heißt das, es wurde nichts gefunden?

Dankeschön.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!

#18 Hiiiiiiiiieeeeeelfeeeeee!!!

Habe gerade nochmal mit Elibagla gescannt. Wieder die Meldung:

Acceso denegado a la carpeta:

Heißt das vielleicht übersetzt: Auf die Datei kann nicht zugegriffen werden???!!!

Ich habe ca. 200 Mal diese Meldung bekommen!!! Habe immer mit OK bestätigt, damit es weiter scannt. Ist das wieder der Batch Virus oder was sonst? Heute früh war alles weg und jetzt ist er wieder da?!!! Wollte testweise diese Dateien bei Virustotal hochladen und bekam die Meldung, dass auf diese Dateien nicht zugegriffen werden kann!

Es sind so Dateien wie:

C:\\Config.Msi (16)
C:\Windows\ie7 (2066)
C:\Windows\Registration (16)
C:\\WUTemp (16)

Was mache ich nun??? Was ist das für ein aggressives Viech? Wie werde ich es los? Bitte alle Schritte ganz genau aufschreiben und auch Alternativen, falls sich was nicht ausführen lässt.

Wie lässt sich der Zugriff auf die Dateien wieder herstellen?

Es eilt ziemlich. Dankeschön im Voraus.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!

#19 RSIT

Download RSIT(by random/random) zum Desktop
Doppelklick RSIT um es zu starten
Klicke auf Continue in das disclaimer Fenster
Wenn der scan be-endet ist werden zwei logs oeffnen
Poste den Inhalt von log.txt und info.txt in dein naechsten Antwort
__________
MfG Argus

#20 Hallo, lieber Arnold,

mein Drucker geht nicht mehr! Dann wollte ich in die Benutzerkonten, um mir wieder Adminrechte zu geben, ging auch nicht! Hat mir keine Benutzer angezeigt! Zum Glück ging noch mein anderes Adminkonto. Da kam ich rein. Leider habe ich nur 1 Log. Es kam wieder die Fehlermeldung: ...konnte nicht gestartet werden, weil MSVBVM60.DLL nicht gefunden wurde. Was nun?

Wen kann ich anrufen, wenn ich nicht mal mehr ins Internet komme?

Hier das Log:

Dankeschön.

Liebe Grüße

Kathrin

Logfile of random's system information tool (written by random/random)
Run by Heike at 2008-09-02 22:46:03
Microsoft Windows XP Professional Service Pack 2
System drive C: has 58 GB (76%) free of 76 GB
Total RAM: 511 MB (39% free)


Scheduled tasks folder

C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1068736799.job

Registry dump

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}]
&Yahoo! Toolbar Helper - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll [2007-05-30 808472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-23 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2004-05-12 744960]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll [2008-02-22 509328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{FF284F5C-7CF9-4682-8701-D467C1DBB99F} - Übersetzer - C:\Programme\PRMT6\PRMTIE\prmtie.dll [2003-11-25 434176]
{EF99BD32-C1FB-11D2-892F-0090271D4F88} - Yahoo! Toolbar - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll [2007-05-30 808472]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=C:\WINDOWS\System32\NvCpl.dll [2003-04-24 4616192]
"AVK Mail Checker"=C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE [2004-05-21 339968]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]
"Zone Labs Client"=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [2004-09-22 714000]
"AppleSyncNotifier"=C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe [2008-07-10 116040]
"QuickTime Task"=C:\Programme\QuickTime\QTTask.exe [2008-05-27 413696]
"iTunesHelper"=C:\Programme\iTunes\iTunesHelper.exe [2008-07-10 289064]
"SunJavaUpdateSched"=C:\Programme\Java\jre1.6.0_05\bin\jusched.exe [2008-02-22 144784]
"TrueImageMonitor.exe"=C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe [2007-02-17 1194728]
"AcronisTimounterMonitor"=C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe [2007-02-17 1966928]
"Acronis Scheduler2 Service"=C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe [2007-02-16 149024]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2008-05-27 413696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe [2008-07-10 289064]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe [2004-10-13 1694208]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe [2008-05-27 413696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Programme\Skype\Phone\Skype.exe [2008-08-11 21741864]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSS6_Suite]
C:\Programme\Steganos Security Suite 6\sss.exe [2003-09-01 835584]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hp psc 1000 series.lnk]
C:\PROGRA~1\HEWLET~1\DIGITA~1\bin\hpohmr08.exe [2003-04-06 147456]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Kathrin Heike^Startmenü^Programme^Autostart^Check for TWS Updates.lnk]
C:\Jts\WiseUpdt.exe /C []

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2007-02-15 236928]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0
relog_ap

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPop.exe"="C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPop.exe:*:Enabled:AVK POP3/IMAP Proxy"
"C:\Programme\SmartFTP\SmartFTP.exe"="C:\Programme\SmartFTP\SmartFTP.exe:*:Enabled:SmartFTP"
"C:\Programme\Yahoo!\Messenger\YahooMessenger.exe"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\Programme\Yahoo!\Messenger\YServer.exe"="C:\Programme\Yahoo!\Messenger\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\Programme\Bonjour\mDNSResponder.exe"="C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Programme\iTunes\iTunes.exe"="C:\Programme\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Programme\FRITZ!DSL\IGDCTRL.EXE"="C:\Programme\FRITZ!DSL\IGDCTRL.EXE:*:Enabled:FRITZ!DSL - igdctrl.exe"
"E:\fsetup.exe"="E:\fsetup.exe:*:Enabled:AVM FSetup Application"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe"="C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe:*:Enabled:AOL"
"C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe"="C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe:*:Enabled:AOL"
"C:\Programme\AOL 9.0\waol.exe"="C:\Programme\AOL 9.0\waol.exe:*:Enabled:AOL 9.0"

List of files/folders created in the last three months

2008-09-02 22:44:24 ----D---- C:\rsit
2008-09-02 14:44:30 ----D---- C:\WINDOWS\temp
2008-08-29 19:37:27 ----D---- C:\Programme\TeaTimer (Spybot - Search & Destroy)
2008-08-29 15:31:03 ----D---- C:\Programme\Teamspeak
2008-08-22 13:17:31 ----D---- C:\Programme\Gemeinsame Dateien\AVM
2008-08-22 13:17:31 ----D---- C:\Programme\FRITZ!BoxPrint
2008-08-21 12:44:11 ----A---- C:\WINDOWS\system32\i2errDeu.dll
2008-08-21 12:44:10 ----A---- C:\WINDOWS\system32\mfc70.dll
2008-08-21 12:41:15 ----RA---- C:\WINDOWS\system32\avmprmon.dll
2008-08-21 12:41:05 ----D---- C:\Programme\FRITZ!Box
2008-08-21 11:56:05 ----A---- C:\WINDOWS\UNO.INI
2008-08-19 15:48:37 ----D---- C:\Dokumente und Einstellungen\Heike\Anwendungsdaten\Macromedia
2008-08-19 15:48:03 ----D---- C:\Dokumente und Einstellungen\Heike\Anwendungsdaten\Mozilla
2008-08-18 17:06:04 ----SHD---- C:\RECYCLER
2008-08-18 16:08:44 ----D---- C:\QooBox
2008-08-18 16:08:44 ----A---- C:\WINDOWS\zip.exe
2008-08-18 16:08:44 ----A---- C:\WINDOWS\VFind.exe
2008-08-18 16:08:44 ----A---- C:\WINDOWS\swxcacls.exe
2008-08-18 16:08:44 ----A---- C:\WINDOWS\swsc.exe
2008-08-18 16:08:44 ----A---- C:\WINDOWS\swreg.exe
2008-08-18 16:08:44 ----A---- C:\WINDOWS\sed.exe
2008-08-18 16:08:44 ----A---- C:\WINDOWS\Nircmd.exe
2008-08-18 16:08:44 ----A---- C:\WINDOWS\grep.exe
2008-08-18 16:08:44 ----A---- C:\WINDOWS\fdsv.exe
2008-08-18 14:14:44 ----D---- C:\Dokumente und Einstellungen\Heike\Anwendungsdaten\Project MT
2008-08-15 17:17:25 ----D---- C:\Programme\Skype
2008-08-15 17:17:24 ----D---- C:\Programme\Gemeinsame Dateien\Skype
2008-08-15 17:16:53 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-08-13 17:08:31 ----HDC---- C:\WINDOWS\$NtUninstallKB952954$
2008-08-13 17:07:54 ----HDC---- C:\WINDOWS\$NtUninstallKB946648$
2008-08-13 17:07:22 ----HDC---- C:\WINDOWS\$NtUninstallKB953839$
2008-08-13 17:04:41 ----HDC---- C:\WINDOWS\$NtUninstallKB951072-v2$
2008-08-13 17:03:29 ----HDC---- C:\WINDOWS\$NtUninstallKB952287$
2008-08-13 17:02:16 ----HDC---- C:\WINDOWS\$NtUninstallKB951066$
2008-08-08 11:52:25 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
2008-08-08 11:43:02 ----D---- C:\Programme\Gemeinsame Dateien\Acronis
2008-08-08 11:43:02 ----D---- C:\Programme\Acronis
2008-08-05 11:21:57 ----A---- C:\WINDOWS\wininit.ini
2008-08-01 17:10:40 ----D---- C:\WINDOWS\system32\LogFiles
2008-08-01 16:22:28 ----D---- C:\Programme\AVM_update
2008-08-01 16:20:14 ----D---- C:\Programme\FRITZ!DSL
2008-07-30 16:00:28 ----A---- C:\WINDOWS\system32\tmp.txt
2008-07-30 16:00:20 ----A---- C:\rapport.txt
2008-07-30 15:59:26 ----A---- C:\WINDOWS\system32\WS2Fix.exe
2008-07-30 15:59:26 ----A---- C:\WINDOWS\system32\VCCLSID.exe
2008-07-30 15:59:26 ----A---- C:\WINDOWS\system32\VACFix.exe
2008-07-30 15:59:26 ----A---- C:\WINDOWS\system32\SrchSTS.exe
2008-07-30 15:59:26 ----A---- C:\WINDOWS\system32\dumphive.exe
2008-07-30 15:59:26 ----A---- C:\WINDOWS\system32\404Fix.exe
2008-07-29 20:15:27 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-07-29 20:15:16 ----D---- C:\Programme\SUPERAntiSpyware
2008-07-28 15:34:24 ----D---- C:\Programme\Gemeinsame Dateien\T-Com
2008-07-27 14:32:16 ----D---- C:\WINDOWS\erdnt
2008-07-27 11:35:31 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-26 17:30:01 ----D---- C:\HJT.com
2008-07-26 17:24:46 ----D---- C:\HJT
2008-07-26 17:10:21 ----D---- C:\Programme\HJT
2008-07-23 13:21:20 ----A---- C:\index.ini
2008-07-23 11:45:35 ----D---- C:\Programme\Astonsoft
2008-07-21 16:40:04 ----D---- C:\Programme\HijackThis
2008-07-21 16:33:29 ----D---- C:\Programme\Trend Micro
2008-07-21 13:33:39 ----D---- C:\Programme\iPod
2008-07-21 13:33:33 ----D---- C:\Programme\iTunes
2008-07-21 13:31:47 ----D---- C:\Programme\Bonjour
2008-07-21 13:30:16 ----D---- C:\Programme\QuickTime
2008-07-17 12:48:54 ----D---- C:\Programme\a-squared Free
2008-07-15 13:26:38 ----D---- C:\Programme\CCleaner
2008-07-12 18:13:42 ----D---- C:\Dokumente und Einstellungen\Heike\Anwendungsdaten\Adobe
2008-07-11 11:09:21 ----D---- C:\Programme\Mozilla Thunderbird
2008-07-11 10:27:00 ----D---- C:\Programme\Mozilla Firefox
2008-07-10 20:56:43 ----D---- C:\Programme\Sophos
2008-07-10 20:03:02 ----D---- C:\Dokumente und Einstellungen\Heike\Anwendungsdaten\T-Online
2008-07-10 19:56:44 ----D---- C:\Dokumente und Einstellungen\Heike\Anwendungsdaten\Identities
2008-07-10 19:56:27 ----ASH---- C:\Dokumente und Einstellungen\Heike\Anwendungsdaten\desktop.ini
2008-07-10 19:56:26 ----SD---- C:\Dokumente und Einstellungen\Heike\Anwendungsdaten\Microsoft
2008-07-09 11:02:56 ----A---- C:\WINDOWS\system32\vsutil_loc0407.dll
2008-07-09 11:02:55 ----A---- C:\WINDOWS\system32\zlcommdb.dll
2008-07-09 11:02:55 ----A---- C:\WINDOWS\system32\zlcomm.dll
2008-07-09 11:02:55 ----A---- C:\WINDOWS\system32\vsregexp.dll
2008-07-09 11:02:50 ----D---- C:\WINDOWS\system32\ZoneLabs
2008-07-09 11:02:50 ----A---- C:\WINDOWS\system32\vsxml.dll
2008-07-09 11:02:50 ----A---- C:\WINDOWS\system32\vspubapi.dll
2008-07-09 11:02:50 ----A---- C:\WINDOWS\system32\vsmonapi.dll
2008-07-09 11:00:56 ----A---- C:\WINDOWS\system32\vsdata.dll
2008-07-09 11:00:55 ----A---- C:\WINDOWS\system32\vsutil.dll
2008-07-09 11:00:55 ----A---- C:\WINDOWS\system32\vsinit.dll
2008-07-09 08:24:50 ----HDC---- C:\WINDOWS\$NtUninstallKB951748$
2008-06-20 09:17:46 ----HDC---- C:\WINDOWS\$NtUninstallKB951376-v2$
2008-06-11 15:09:50 ----HDC---- C:\WINDOWS\$NtUninstallKB951698$
2008-06-11 15:09:12 ----HDC---- C:\WINDOWS\$NtUninstallKB950762$
2008-06-11 15:08:36 ----HDC---- C:\WINDOWS\$NtUninstallKB950760$
2008-06-11 15:08:03 ----HDC---- C:\WINDOWS\$NtUninstallKB951376$

List of drivers

R1 AFS2K;AFS2k; C:\WINDOWS\system32\drivers\AFS2K.sys [2003-11-13 82380]
R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\intelppm.sys [2004-08-04 40192]
R1 OMCI;OMCI; C:\WINDOWS\system32\SYSTEM32\DRIVERS\OMCI.SYS []
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2004-09-22 271344]
R1 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\system32\System32\drivers\ws2ifsl.sys []
R2 ASCTRM;ASCTRM; C:\WINDOWS\system32\drivers\ASCTRM.sys [2007-05-07 8552]
R2 Aspi32;Aspi32; C:\WINDOWS\System32\drivers\aspi32.sys [2004-06-11 16512]
R2 SLEE_503_DRIVER;Steganos Live Encryption Engine (Version 503) [Driver]; \??\C:\WINDOWS\System32\drivers\SLEE503.sys []
R2 tifsfilter;Acronis True Image FS Filter; C:\WINDOWS\system32\DRIVERS\tifsfilt.sys [2008-08-08 32768]
R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2002-04-01 4816]
R3 E100B;Intel(R) PRO Adapter Driver; C:\WINDOWS\System32\DRIVERS\e100b325.sys [2003-03-04 145408]
R3 GDInterceptor;GDInterceptor; \??\C:\WINDOWS\System32\interceptor.sys []
R3 GEARAspiWDM;GEARAspiWDM; C:\WINDOWS\System32\Drivers\GEARAspiWDM.sys [2008-01-29 16168]
R3 nv;nv; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2003-04-24 1271706]
R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2003-05-06 580992]
R3 TSMPacket;DSL-Manager Service; C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2007-06-26 13824]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbuhci.sys [2004-08-03 20480]
S3 AVMUNET;AVM FRITZ!Box; C:\WINDOWS\system32\DRIVERS\avmunet.sys [2006-11-07 14976]
S3 catchme;catchme; \??\C:\ComboFix\catchme.sys []
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver; C:\WINDOWS\System32\Drivers\dsltestSp5.sys [2007-09-12 26816]
S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\System32\DRIVERS\HPZid412.sys [2003-03-09 51024]
S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\System32\DRIVERS\HPZipr12.sys [2003-03-09 16080]
S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\System32\DRIVERS\HPZius12.sys [2003-03-09 21456]
S3 MEMSWEEP2;MEMSWEEP2; \??\C:\WINDOWS\system32\4.tmp []
S3 MIINPazX;MIINPazX NDIS Protocol Driver; \??\C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS []
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver; \??\C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS []
S3 nm;Netzwerkmonitortreiber; C:\WINDOWS\system32\DRIVERS\NMnt.sys [2004-08-03 40320]
S3 SYMIDS;SYMIDS; \??\C:\WINDOWS\System32\Drivers\SYMIDS.SYS []
S3 SYMIDSCO;SYMIDSCO; \??\C:\WINDOWS\System32\Drivers\SYMIDSCO.SYS []
S3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [2004-08-03 31616]
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\System32\DRIVERS\usbprint.sys [2004-08-03 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\System32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 wanatw;WAN Miniport (ATW); C:\WINDOWS\system32\DRIVERS\wanatw4.sys []
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

List of services

R2 a2free;a-squared Free Service; C:\Programme\a-squared Free\a2service.exe [2008-08-01 380536]
R2 AcrSch2Svc;Acronis Scheduler2 Service; C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe [2007-02-16 411168]
R2 Apple Mobile Device;Apple Mobile Device; C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [2008-07-10 116040]
R2 AVKService;AVK Service; C:\Programme\AntiVirenKit 2004\AVKService.exe [2004-04-27 286720]
R2 AVKWCtl;AVK Wächter; C:\Programme\AntiVirenKit 2004\AVKWCtl.exe [2004-05-24 524288]
R2 AVM IGD CTRL Service;AVM IGD CTRL Service; C:\Programme\FRITZ!DSL\IGDCTRL.EXE [2005-11-21 81920]
R2 Bonjour Service;Bonjour-Dienst; C:\Programme\Bonjour\mDNSResponder.exe [2007-07-24 229376]
R2 NVSvc;NVIDIA Driver Helper Service; C:\WINDOWS\System32\nvsvc32.exe [2003-04-24 69632]
R2 SLEE_503_SERVICE;Steganos Live Encryption Engine (Version 503) [Service]; C:\WINDOWS\System32\SLEE503.exe [2002-11-28 40960]
R2 UMWdf;Windows User Mode Driver Framework; C:\WINDOWS\system32\wdfmgr.exe [2005-01-28 38912]
R2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2004-09-22 918792]
R3 iPod Service;iPod-Dienst; C:\Programme\iPod\bin\iPodService.exe [2008-07-10 532264]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe [2004-07-15 32768]
S3 de_serv;AVM FRITZ!web Routing Service; C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe [2005-11-21 315392]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\System32\HPZipm12.exe [2003-03-09 65795]
S3 SNDSrvc;Symantec Network Drivers Service; C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe [2004-04-29 193760]
S4 sp_rssrv;Spyware Terminator Realtime Shield Service; C:\Programme\Spyware Terminator\sp_rsser.exe []

-----------------EOF-----------------
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!

#21 Hallo, Ihr Lieben,

noch komme ich ins Internet rein, aber was mache ich, wenn nicht mehr?! Wo finde ich eine Anleitung als Notfallliste, die ich dann abarbeiten kann, auch mit Alternativen, falls einige Funktionen nicht wollen?

Was ist mit der Windows Systemwiederherstellung auf einen vorherigen Zeitpunkt? Wenn die Probleme zu groß werden, könnte ich das doch versuchen?

Was passiert genau, wenn ich die Systemwiederherstellung von Windows deaktiviere und dann gleich wieder aktiviere? Werden da alle vorherigen Systemwiederherstellungspunkte gelöscht???

Hier noch einige Hinweise für die Profis unter Euch:

Ich habe seit Montag meinen Router (Fitz!Box 2170 DSL LAN, nur einen PC dran per Kabel, kein Netzwerk, bin bei T-Online, Windows XP Pro SP 2). Seit gestern massive Probleme mit ca. 200 Dateien, die sich nicht öffnen lassen! Zufall? Es sind viele Windows Dateien, die es erwischt hat. Wieso?

Seit ca. einem Monat (seit dem Chaos im Juli mit dem Windowsupdate) gebe ich selten Zugriffsrechte für irgendwelche Programme, wo ich nicht weiß, wozu. Kann es sein, dass ich ein wichtiges Programm ausgesperrt habe, das aber nötig für mich ist? Wo ist denn diese "Schaltzentrale", wo man das nachschauen kann? Ist vielleicht wieder nur ein einziges Häkchen!

Habe in meinem Router die Zugriffe für ITuneshelper und Bonjour Service gesperrt. Die wollen dauernd online. Was ist das für Zeug und wozu braucht man das? Das kam mit den Windows Updates.

Habe derzeit die automatischen Windows Updates deaktiviert, weil ich erst mal abwarten wollte, ob es mit neuen Updates Probleme gibt (sowas wie im Juli will ich nicht nochmal erleben). Wenn nicht, wollte ich diese später manuell updaten.

Welche Zugriffe muss ich denn alles in meinem Router erlauben? Welche Dienste sind wichtig für mich? Oder wo finde ich eine Liste dafür?

Habe noch Zonealarm als Firewall (veraltete Version, will ich aber sowieso deinstallieren und stattdessen Outpost drauf).

Vielleicht finden die Profis unter Euch ja jetzt die entscheidende Lösung. Ich bin leider totaler Laie und für jeden Tipp dankbar.

Bis hoffentlich bald. Dankeschön.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!

#22 Hallo Kathrin!
Wie es aussieht, scheint bei Dir etwas zu existieren, was sich verstecken will und das bei Dir Angriff auf (sämtliche?) Dateien macht.Du schriebst, das schon Windowsdateien befallen sind, das ist kein gutes Zeichen.Wenn Du wirklich der Meinung bist, dass die "Wirtsdatei" diese ist, die immer in Deinem Programm (Metatrader) angemeckert wird, dann würde ich das ganze Programm mal deinstallieren+neuinstallieren.Die "MSVBVM60.DLL" wird angeblich nicht gefunden, habe mich mal in der Nacht informiert und bin zu dem Schluß gekommen, dass bei dieser (1)MSVBVM60.dll-,-(2)dem Reg-Eintrag [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "msv1_0"-der bei Dir fraglicherweise mit "relog_ap" ergänzt wurde(!!!) und dem Zugriffsrechten ein Zusammenhang besteht.Du kannst ja in der Registry den Pfad mal aufsuchen,mir ist ein Fall bekannt, wo hinter "msv1_0" gleich eine Trojaner oder Virus-dll aufgerufen wurde, bei Dir ist es vllt. eine Tarnung, und irgendwo in Deiner Reg steht dann vielleicht "relog_ap"= XYZ?? Virus.dll o.ä. Mir kommt der Eintrag komisch vor (ich habe nur msv1_0 dort stehen), aber anderseits hast Du soviele Programme installiert, die ich selber nicht kenne, die diese Zugriffsrechte vllt. irgendwie bewußt filtern/umleiten.Deine anderen Fragen kann ich Dir jetzt aus Zeitgründen nicht beantworten.Wenn Du willst, schreibe ich heute abend mal was zu 1-2 Punkten !
Es können ja mal die anderen User einen Kommentar zu meinen Vermutungen schreiben, vllt.löst diese Frage mit dem o.G. Reg.-Eintrag ja erstmal das Problem, dass die Fehlermeldung mit der .dll verschwindet, und das vllt. dadurch Combofix und HJT wieder funktionieren,- wenn nicht dann auch mal in Betracht ziehen, diese (Combofix+HJT) zudem neu downzuloaden und dann ausführen.

#23 Hallo, lieber Provisitor,

zuerst ließ sich mein Demokonto nicht mehr öffnen (Metatrader). Das heißt ja nicht, dass da ein Schädling drin sein muss. Da habe ich es erstmals gemerkt. Das war vor ca. 2 Wochen. Die Datei, die nicht mehr geöffnet werden konnte, ist ein Metatrader Indikator. Es muss also dort kein Virus sein oder anderer Schädling, nur lässt sich diese Datei bzw. diese Plattform nicht mehr starten, nicht öffnen. Andere Ursachen? Wenn es ein Schädling ist, hätte er doch längst schneller alles lahmgelegt, oder?

Was ist also der Auslöser, wenn er aktiv wird??? Habe ich irgedwo was übersehen, anzuklicken?

Ich weiß nicht, ob das im Zusammenhang mit den befallenen Windows Dateien steht. Vielleicht habe ich ja 2 verschiedene Probleme. Eventuell muss ich auch nur was in Windows anklicken, damit diese Dateien alle wieder funktionieren?

Welche Programme sind Dir denn unbekannt? Ich kenne auch viele Programme nicht, die ich so habe :-). Die kamen mit irgendwelchen Windowsupdates oder weiß der Geier woher.

Vielleicht gibt es auch Probleme, weil ich jetzt 3 Benutzerkonten habe in Windows XP. Vor Juli hatte ich nur ein Adminkonto mit vollen Zugriffsrechten und fertig! War eine ganze Weile (3 bis 4 Wochen) jetzt nur im eingeschränkten Benutzerkonto unterwegs.

Werde gerne mal in der Registry den von Dir als auffällig angesehenen Pfad aufsuchen. Doch was mache ich, wenn er sich nicht öffnen lässt oder ich nichts sehe?

Habe heute wieder mit aSquared gescannt und keine Schädlinge gefunden. Aber wie und womit findet man versteckte Schädlinge???

Es eilt ziemlich, da ich ja nicht weiß, wie lange es dauert, bis ich auch nicht mehr ins Internet komme!

Ich lauere schon auf weitere Profitipps :-).

Bis gleich also. Dankeschön.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!

#24 ...und die eingeschränkten Konten funktionieren wieder (weil Du ja gestern von Problemen damit berichtet hattest) ??
bis heute Abend .
Ich bitte die Moderatoren/User auch einmal um ein Statement !!

#25 Hallo, lieber Provisitor,

ich komme sowohl mit dem eingeschränkten als auch mit meinen 2 Adminkonten ins Internet (noch). Aber wenn ich von einem Adminkonto aus meinem eingeschränkten Konto Adminrechte geben will, geht das nicht, weil ich keine Benutzer mehr angezeigt bekomme! Es geht also nicht mehr viel! Und wohl auch nicht mehr lange!

Wo komme ich in die Registry? Also wo sehe ich die Hkey .....? Die Suchfunktion in Windows geht auch nicht mehr!

Ich versuche jetzt diese MSVBVM60.dll neu zu laden und dann noch Hijackthis. Mal sehen, ob ich das hinbekomme. Wenn nicht, was dann?

Der Countdown läuft! Dankeschön.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!

#26 Hallo Kathrin
Beschreibe wieso das Suchen nicht mehr geht, Start -(ist dann der "Suchen Icon weg oder ist er noch da???)
In die Registry kommst Du mit Start--> Ausführen--(reinschreiben) regedit -dann o.k.
Du siehst dann ein "Verzeichnis" das wie eine "herkömmliche" Ordnerstruktur angeordnet ist,- mit (+) lassen sich dann die Unterordner anzeigen,- so kannst Du Dich bis ans Ziel durchklicken. Solltest Du dabei ein bisschen die Übersicht verlieren, so kannst Du den Cursor (Maus) auf einen Ordner "ablegen"-und Du siehst am unteren Rand den vollständigen Pfad angezeigt, wo sich der Cursor gerade befindet.Aber bitte lösche erstmal nichts.
Suche nur im Pfad:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
die Zeile wo "authentication packages" steht,-clicke diesen Eintrag an,- das er "blau" wird, jetzt gehst Du auf "Ändern" via Rechtsclick (obwohl wir in Wirklichkeit aber erstmal nichts ändern wollen) - aber so bekommst Du in einem kleinen Fenster angezeigt was da für ein Wert eingetragen ist (notiere es Dir/kopieren) Schließe das Fenster mit "Abbrechen" damit Du nichts ausversehen änderst und dann abspeichert.Ich bin mir nicht sicher ob dieser Zusatz (relog_ap) --wenn er wirklich bei Dir dort mit drin steht---etwas schädliches ist, oder ob es von Windows gesetzt wird, wenn Du auf dem PC ein Gastkonto eröffnest.Ich habe auf meinem PC kein Gastkonto eingerichtet, deshalb kann ich es auch bei mir nicht kontrollieren. Deshalb wäre ich an dieser Stelle mal dankbar, ob irgend ein User das mal bei sich kontrollieren würde, wenn er ein Gastkonto hat.
..und Kathrin Dein Programm (Metatrader) kenne ich auch nicht weiter, habe nur im I-Net gesehen, dass das irgenetwas mir Diagrammen ist,-wenn es dieses ist, weder Funktion noch für was Du da einen Indikator?? brauchst, weiß ich jetzt nicht- sorry da stehe ich etwas im Dunkeln,- ich brauche sowas nicht, ist nicht mein Gebiet.Weil Du immer wieder schreibst "nicht das Programm sondern der "Indikator???"- ist verdächtig.Eine genaue Dateibezeichnung +Endung wäre mir lieber.
Wann genau kommen die Fehlermeldungen mit der .dll - Nach welchen missglückten Programmstarts etc.??
Hast Du schon mal "geliebäugelt" mit der Idee doch mal das System neu aufzusetzen, das geht vllt. schneller und ist sicherer.Da hast Du auch sämtliche Überreste von Deinen verworfenen Programmen los !

#27 Hallo, lieber Provisitor,

hier isser, nach langer Mühe, Log von Hijackthis:

Liebe Grüße

Kathrin
________________________________________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:12:06, on 04.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\Heike\Eigene Dateien\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - C:\Programme\PRMT6\PRMTIE\prmtie.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_Suite] "C:\Programme\Steganos Security Suite 6\sss.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_SAFE] "C:\Programme\Steganos Security Suite 6\safe.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm
O9 - Extra 'Tools' menuitem: Übersetzen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - C:\Programme\PRMT6\PRMTIE\prmtie5.htm
O9 - Extra button: (no name) - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT6\PRMTIE\options.htm
O9 - Extra 'Tools' menuitem: Übersetzungsoptionen anpassen - {7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - C:\Programme\PRMT6\PRMTIE\options.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {31E68DE2-5548-4B23-88F0-C51E6A0F695E} (Microsoft PID Sniffer) - https://support.microsoft.com/OAS/ActiveX/odc.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {94B82441-A413-4E43-8422-D49930E69764} - https://rtc3.webresponse.one.microsoft.com/media/xp/TLIEFlash.CAB
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2004\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE503.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9475 bytes
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!

#28 Hallo, lieber Provisitor,

unter Authentication Packages steht:

msv1_0
relog_ap

Bei der Suchfunktion unter Windows wedelt nur der Suchhund, es erscheint aber kein Suchfenster zur Eingabe.

Ich habe mal noch eine andere Idee. Mein Drucker geht ja seit gestern nicht mehr im T-Online-E-Mail-Programm. Bin deshalb in ein Textprogramm rein, um mir dort die Texte reinzukopieren und auszudrucken, das geht (noch). Heute erschien irgendwas von Windows mit Lizensvereinbarung akzeptieren und so ein Zeug. Habe diese Software alles beim PC-Kauf dazubekommen, aber nie aktualisiert, brauche ich selten.

Kann es sein, dass Windows aus irgendeinem Grund rumzickt? Was die Lizenz betrifft? Ich habe ordnungsgemäß beim Kauf meines Dell-PC´s vor 5 Jahren das Windows XP Pro dazubekommen und noch paar Textbearbeitungsprogramme. Ich habe derzeit die automatischen Updates deaktiviert für Windows, habe sie zwar wieder aktiviert, aber sie deaktivieren sich immer wieder.

Habe vorhin mit Dr. Web gescannt, der hat nur 3 Probleme gefunden, es war aber Combofix, was er als Schädlinge eingestuft hat, also wohl Fehlalarm.

Ich habe kein Gastkonto unter Windows eingerichtet.

Metatrader ist eine Tradingplattform von einem Broker. Die Indikatoren kann sich jeder selbst reintun wie er will, da muss man nicht programmieren können. Da muss kein Schädling drin sein, aber diese Plattform wollte sich nicht mehr öffnen lassen. Die Indikatoren sind in MQL programmiert.

Was ist jetzt mit der Windows Systemwiederherstellung? Wenn ich meinen PC zu einem früheren Zeitpunkt zurücksetze, wo ein Wiederherstellungspunkt erstellt wurde? Oder zickt mein PC dann doch wieder rum?

Wer hat noch Ideen? Alles neu aufsetzen, da weiß ich nicht, ob ich das hinbekomme!

Schaut Euch bitte mein HJT Log an, ob Ihr was findet, okay?

Bis bald. Dankeschön.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!

#29 Wie hast Du denn jetzt den HJT-Log hergezaubert??
relog_ap scheint was mit "Acronis" zutun zu haben, ist das von Dir gewollt/installiert ?? Scheint dann ok zu sein, da gehört eine relog_ap.dll dazu sehe ich gerade im Netz.
Das mit der kaputten Suchfunktion ist ja nun wieder so ein Ding, so langsam glaube ich auch, dass sich bei Dir etwas "durchnagt".
Wenn alle Stricke platzen, kannst Du das ja mal mit der Systemwiederherstellung probieren, schau am Ende, wenn der Prozess fertig ist, genau auf das Fenster ob da auch nicht etwa "Ihr System konnte nicht zurückgesetzt werden" steht.Probiere ob dann die Funktionen wieder gehen, aber ich sage gleich die Virenfunde in den Restores sind dann noch da (kann nicht anders sein -oder Du hast einen Virenscanner der sie alle daraus geholt hat)

Zitat

Ich versuche jetzt diese MSVBVM60.dll neu zu laden

...und wo hast Du sie denn hin geladen ???

#30 Hallo, lieber Provisitor,

habe mir diese komische MSVBVM60.dll wieder neu geladen. Habe sie auf meinem PC gespeichert, wo sonst? Welche Möglichkeiten gab es denn sonst noch :-). Dann habe ich mir auch Hijackthis neu geladen, umbenannt und auch auf meinem PC gespeichert. Mir kam es doch nur darauf an, dass ich schnell ein Log machen kann. HJT scheint aber nichts gefunden zu haben.

Ja, Acronis habe ich mir selbst installiert, ist ein Backupprogramm. Leider geht es damit aber nicht, dass ich mir Backups auf meine DVD/RW´s speichern kann.

Ich komme nicht mehr normal in die Systemwiederherstellung! Wird nicht mehr angezeigt! Kann ich unter Start - Ausführen da rein? Wenn ja, wie lautet der Befehl dazu?

Ansonsten geht es vielleicht im abgesicherten Modus? Wie komme ich darüber in die Systemwiederherstellung rein? Wie ist das Passwort für das dortige Adminkonto? Habe das noch nie benutzt und dort kein Passwort vergeben.

Kann es vielleicht sein, dass es mir bei der Installation meines Routers was durcheinander gehaun hat? Mein PC ist mir mehrmals abgestürzt durch Zonealarm! Eventuell hängt es damit zusammen?

Wie stellt man also beschädigte Dateien wieder her?

Oder wenn es doch ein Batch Virus ist, wie werde ich ihn los???

Dankeschön.

Liebe Grüße

Kathrin
__________
Ich habe keine Ahnung, aber ich weiß das Ziel . Dann finde ich die optimalste Lösung!