• Liebe User, bitte beachtet folgendes Thema: Was im Forum passiert, bleibt im Forum! Danke!
  • Hallo Gemeinde! Das Problem leidet zurzeit unter technischen Problemen. Wir sind da dran, aber das Zeitkontingent ist begrenzt. In der Zwischenzeit dürfte den meisten aufgefallen sein, dass das Erstellen von Posts funktioniert, auch wenn das Forum erstmal eine Fehlermeldung wirft. Um unseren Löschaufwand zu minimieren, bitten wir euch darum, nicht mehrmals auf 'Post Reply' zu klicken, da das zur Mehrfachposts führt. Grußworte.

Kaspersky AntiVir Problem

FroZenKoBaLt

Mitglied seit
28.11.2003
Beiträge
222
Reaktionen
1
Hi, ich war bis jetzt immer zufrieden mit kaspersky anti virus hat immer schön alle viren gefunden und auch gelöscht nur seit gestern als ich mal wieder eine komplett untersuchung des systems gemacht habe (hat 2 1/2 gedauert) zeigte er mir in der Protokolierung an das er 5 viren gefunden hat und nur 1 gelöscht hat, ich hab dann in den details etwas genauer geschaut da steht aber nur was von "ist infiziert von Trojan Win32.et und dann noch einen namens JS.Psyme.w und noch 3 andere und dann noch eine meldung namens "Löschen ist nicht möglich da datei irreparabel beschädigt" was soll ich nun machen? ich hab die viren (trojaner) aufm rechner und er löscht sie nicht hö? 8[ was tun hilfe plz mfg kob.

Mein system : winxp,p4 3ghz 512ddrram,radeon9800pro falls das was hilft.

PS: ich hatte es übrigens auch vermutet viren aufm rechenr zu haben da mein rechner irre lahm geworden ist in letzter zeit ich höre sogar schon die festplatte laut summen nur wenn ich browser aufmache... hab auch irgendwie 39 prozesse am laufen aber ich will nicht einfach welche beenden da ich nicht genau weiss welcher prozess jetzt zu was gehört^^ ja ich weiß hört sich schlimm an. :(

-edit- ich kopier mal den report rein sry für den langen thread^^-
Statistik:
Startzeit des Tasks: 20.11.2004 00:16:39
Abschlusszeit: 20.11.2004 02:46:41
Untersuchte Objekte: 408449
Gefundene Viren: 5
Desinfizierte Viren: 0
Gelöschte Objekte: 1
In Quarantäne gespeicherte Objekte: 0

Einstellungen:
Untersuchungsobjekte:
Arbeitsplatz
Aktionen für infizierte Objekte:
Infizierte Objekte löschen
Sicherheitsstufe:
Empfohlen
Einstellungen für aus dem Untersuchungsbereich auszuschließende Objekte:
Nicht verwendet

Protokoll:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip\related.htm durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:51
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\AlexaRelated.zip durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:51
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Cydoor.zip\CD_CLINT.DLL durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:51
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Cydoor.zip durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:51
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Cydoor1.zip\b_149300.GIF durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:53
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Cydoor1.zip durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:53
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Cydoor2.zip\sbRecovery.reg durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:53
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Cydoor2.zip durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:53
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Cydoor3.zip\sbRecovery.reg durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:53
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Cydoor3.zip durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:53
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Cydoor4.zip\sbRecovery.reg durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:53
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Cydoor4.zip durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:53
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip\sbRecovery.reg durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:53
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit.zip durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:53
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip\sbRecovery.reg durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:53
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit1.zip durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:53
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit10.zip\sbRecovery.reg durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:53
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit10.zip durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:53
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit11.zip\sbRecovery.reg durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:53
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit11.zip durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:53
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit12.zip\sbRecovery.reg durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:53
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit12.zip durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:53
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit13.zip\sbRecovery.reg durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:53
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit13.zip durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:53
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit14.zip\sbRecovery.reg durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:54
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit14.zip durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:54
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip\sbRecovery.reg durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:54
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit2.zip durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:54
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip\sbRecovery.reg durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:54
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit3.zip durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:54
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip\sbRecovery.reg durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:54
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit4.zip durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:54
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit5.zip\sbRecovery.reg durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:54
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit6.zip\sbRecovery.reg durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:54
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit7.zip\sbRecovery.reg durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:54
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit8.zip\sbRecovery.reg durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:54
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DSOExploit9.zip\sbRecovery.reg durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:54
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WildTangent.zip\Apps/CDA/ActiveLauncher.ini durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:58
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WildTangent1.zip\sbRecovery.reg durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:20:58
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WildTangent3.zip\DMMP/3.0.2.000/files/controlPanel/index.html durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:21:11
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WildTangent3.zip durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:21:11
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WildTangent4.zip\4.1.1/actorobject.dll durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:21:17
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WildTangent4.zip durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:21:17
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WildTangent5.zip\Apps/CDA/CDAEngine0400.dll_tobedeleted durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:21:18
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WildTangent5.zip durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:21:18
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WildTangent6.zip\sbRecovery.reg durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:21:18
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WildTangent7.zip\Apps/CDA/CDAEngine0400.dll_tobedeleted_tobedeleted durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:21:19
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WildTangent7.zip durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:21:19
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WildTangent8.zip\sbRecovery.reg durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:21:19
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WildTangent8.zip durch Kennwort geschützt, nicht bearbeitet 20.11.2004 00:21:19
C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temp\localNrd.cab\polall1l.exe ist infiziert von Virus TrojanDownloader.Win32.Agent.ae 20.11.2004 00:54:40
C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temp\localNrd.cab\polall1l.exe gelöscht 20.11.2004 00:54:41
C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0FPZ2QZ1\explorer[1].chm/explorer.htm ist infiziert von Virus TrojanDownloader.JS.Psyme.w 20.11.2004 00:56:01
C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0FPZ2QZ1\explorer[1].chm/explorer.htm Löschen nicht möglich, Diese Aktion ist für diesen Archivtyp verboten 20.11.2004 00:56:01
C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0FPZ2QZ1\explorer[1].chm Löschen nicht möglich, Objekt ist irreparabel 20.11.2004 00:56:01
C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0FPZ2QZ1\explorer[2].chm ist infiziert von Virus TrojanDownloader.JS.Psyme.w 20.11.2004 00:56:01
C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0FPZ2QZ1\explorer[2].chm Objekt wurde nicht desinfiziert 20.11.2004 00:56:01
C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0FPZ2QZ1\explorer[2].chm Löschen nicht möglich, Objekt ist irreparabel 20.11.2004 00:56:01
C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0FPZ2QZ1\explorer[3].chm ist infiziert von Virus TrojanDownloader.JS.Psyme.w 20.11.2004 00:56:01
C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0FPZ2QZ1\explorer[3].chm Objekt wurde nicht desinfiziert 20.11.2004 00:56:01
C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0FPZ2QZ1\explorer[3].chm Löschen nicht möglich, Objekt ist irreparabel 20.11.2004 00:56:01
C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0FPZ2QZ1\explorer[4].chm ist infiziert von Virus TrojanDownloader.JS.Psyme.w 20.11.2004 00:56:01
C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0FPZ2QZ1\explorer[4].chm Objekt wurde nicht desinfiziert 20.11.2004 00:56:01
C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0FPZ2QZ1\explorer[4].chm Löschen nicht möglich, Objekt ist irreparabel 20.11.2004 00:56:01
 

[USJ]LuNaTiC'

Guest
hast du den scan im abgesicherten modus gemacht? wenn nicht, da machen.
in puncto prozesse kann hijackthis (siehe andere threads) helfen - einfach log hier posten.
 

FroZenKoBaLt

Mitglied seit
28.11.2003
Beiträge
222
Reaktionen
1
LOG :
Logfile of HijackThis v1.98.2
Scan saved at 20:25:19, on 20.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\RefreshLock\RefreshLock.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\DitExp.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Messenger\msmsgs.exe
C:\mIRC\mirc.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Dokumente und Einstellungen\Mario\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=132795
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=132795
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wgtour.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.broodwar.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=132795
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.musikpark-a7.de/check_swf.html
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll (file missing)
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem301.dll (file missing)
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programme\NavExcel\NavHelper\v2.0.4c\NHelper.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\System32\apuc.dll
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [RefreshLock] C:\RefreshLock\RefreshLock.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKCU\..\Run: [my-playlist] "C:\Programme\my-playlist\my-playlist.exe" /Autostart
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000

Blick da eigentlich nicht durch... , btw was bedeuten diese Zahlenfolgen die aussehen wie Cd keys ?
 

Gast

Guest
i quote myself once again:

neustart -> f8 -> abgesicherter modus
DA scannen (anti-vir, spybot, adaware)!!!
davor unter win alle updates machen (win, antivir, spybot, adaware) und unter xp die systemwiederherstellung aus.

desweiteren darf man im safe mode auch mal getrost den kompletten inhalt von C:\dokumente und eintellungen\bla\lokale einstellungen\temp\ und c:\winnt\temp\ bzw. c:\windows\temp\ sowie due\bla\le\temporary internet files löschen.
da sitzt eh nur scheiss.
 

FroZenKoBaLt

Mitglied seit
28.11.2003
Beiträge
222
Reaktionen
1
Hab ich gemacht hab f8 gedrückt dann kamen die ganzen optionen.. ich bin auf "Abgesicherter Modus" danach kam erstmal ne kurze dateien auflistung irgendwie ganz schnell in Dos style und dann erstmal 20 minuten nur ein Blinkender strich den ja jeder kennt ^^
--> _ Ich hab dann den pc normal neu gestartet... und es nochmal versucht 10mins gewartet aber is auch nix passiert :(
 

Gast

Guest
na wenn du jetzt eh nicht mehr booten kannst bau die hd aus, steck sie an den rechner, von dem du grade postet, und scan von dem aus, wie oben beschrieben.
 

FroZenKoBaLt

Mitglied seit
28.11.2003
Beiträge
222
Reaktionen
1
Klar kann ich booten ich meinte nur das ich net in den abgesicherten modus komme...
 

Gast

Guest
also wenn du nicht neu installieren willst, was ich empfehlen würde, wenn kein safe mode mehr geht, würd ich die platte trotzdem ausbauen und woanders scannen.
oder du hast ne bootbare linux cd mit virenscanner...
 

FroZenKoBaLt

Mitglied seit
28.11.2003
Beiträge
222
Reaktionen
1
Hört sich vieleicht dumm an aber ich lass dann einfach alles beim alten .... Ich versuchs mal mit programmen die unter windows alles löschen können weiss da jemand zufällig eins ?
 

Gast

Guest
du kannst versuchen nen neuen useraccount zu erstellen (admin), mit dem anmelden (beim anmelden RCTRL halten), mit pskill alle verdächtigen tasks zu killen, dann mit msconfig die autostart zu säubern, die registry nach gefundenem zu durchsuchen + zu löschen (registrar!) und dann ihre installation auf der festplatte zu löschen.
desweiteren ruhig mal alle oben angegebenen ordner säubern und den bzw. die ordner "Downloaded Program Files" auf verdächtige objekte überprüfen.
im internetexplorer kann man unter xp unter extras auch die pluginverwaltung nutzen.
dann die installation von antivir löschen, neu installieren, updaten, sofort scannen (options: heureistik an + auf hoch!!!).
danach noch mal spybot ranlassen und gl -_-

ob das alles was bringt bzw. in wie weit is die frage...
 

[For]Hood2

Guest
ok lasst mal Papa ran:
download adaware: www.lavasoft.de
installieren, updaten und einen full system scan machen
neustarten
dann download: http://www.spywareinfo.com/~merijn/files/cwshredder.zip
entpacken und laufen lassen klick auf fix und lass ihn alles fixen was er will.
dann
gehste nach systemsteuerung software and deinstalliert folgende Sachen:
My Bar
Wildtangent
Internet Optimizer

neustarten
dann machste einen neuen HIjackthis log und wir schauen mal was übrig ist
 

FroZenKoBaLt

Mitglied seit
28.11.2003
Beiträge
222
Reaktionen
1
K thx schonmal system scan läuft und hab schonmal unter software geschaut (aber noch nix gelöscht) dort finde ich nur Ie optimizer und Search bar aber leider nicht dieses Wildtanget und btw wie kannste das alles aus dem hijackthis log auslesen? ich dachte eher die viren sind in dem Protokoll des kasperski anti vir vorhanden bzw stehen da... irgendwie fand ich dieses Hijackthis sehr sinnlos da er irgendwie nach meiner ansiicht nur alle prozesse aufgelistet hat :( aber naja me no ahnung also ich wart dann mal scan ab.
 

[For]Hood2

Guest
Original geschrieben von FroZenKoBaLt
K thx schonmal system scan läuft und hab schonmal unter software geschaut (aber noch nix gelöscht) dort finde ich nur Ie optimizer und Search bar aber leider nicht dieses Wildtanget und btw wie kannste das alles aus dem hijackthis log auslesen?
Zum Vergrößern anklicken....

siehe meine Sig, deinstallier Searchbar und den IE optimizer

ch dachte eher die viren sind in dem Protokoll des kasperski anti vir vorhanden bzw stehen da... irgendwie fand ich dieses Hijackthis sehr sinnlos da er irgendwie nach meiner ansiicht nur alle prozesse aufgelistet hat :( aber naja me no ahnung also ich wart dann mal scan ab
Zum Vergrößern anklicken....
Die Trojan downloader sind meist Adware um den Rest kümmern wir uns auch noch, aber Du hast schlimmeres auf deiner HD wie das Javascript. HijackThis zeigt die Adware an und zwar an allen orten wo sie sich verstecken kann (bis auf einen). Das ist viel wichtiger wie gleich alles mit einem Rutsch zu entfernen (was nicht möglich ist). Das ist die wahre Aufgabe von HijackThis nicht das auflisten der Prozesse

btw verschieb bitte HijackTHis in einen eignene Ordner, das Tool macht Backups und die sind aufn Desktop lästig. Also öffne den Explorer und erstelle ein eigenen Ordner wie c:\Hjt und verschieb es dahin oder verschieb es in die eigenen Dateien.
 

FroZenKoBaLt

Mitglied seit
28.11.2003
Beiträge
222
Reaktionen
1
So ok scan drüber gelaufen scredder auch und hyjack this daten hier :

Kleiner auszug aus dem Adaware Scan :

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 135
Objects found so far: 646

20:38:42 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:24:35.31
Objects scanned:253627
Objects identified:603
Objects ignored:0
New critical objects:603

Cwschredder : Stand am ende das er 3 Sachen gefixt hat.

Hijackthis :
Logfile of HijackThis v1.98.2
Scan saved at 20:56:14, on 22.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\RefreshLock\RefreshLock.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\CNYHKey.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Mario\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wgtour.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.broodwar.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.musikpark-a7.de/check_swf.html
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll (file missing)
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem301.dll (file missing)
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programme\NavExcel\NavHelper\v2.0.4c\NHelper.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\System32\apuc.dll
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [RefreshLock] C:\RefreshLock\RefreshLock.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKCU\..\Run: [my-playlist] "C:\Programme\my-playlist\my-playlist.exe" /Autostart
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: concept/design's onlineTV - {C65E655C-0C87-4774-8C3A-90BC04163C6C} - C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.broodwar.de
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...9f9e34251ac3:6dd61e3c0d2ffd26e901740462c0873e
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_download.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52....apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe


So thx schonmal für die hilfe :),ich werd hjthis jetzt mal nen eigenen ordner machen.
-edit- (Ich hatte übrigens noch nichts gelöscht oder gefixt bei dem Adaware scan als er mich gefragt hat ob ich die sachen da löschen will.)
 

[For]Hood2

Guest
hm darum solltest du eigentlich adaware laufen lassen damit wir hier nicht 600 sachen wegklciken müssen, also solltest du adaware schon geschlossen haben dann mach bitte noch einen full systemscan, wenn er fertig ist dann klickst du mit rechts in die liste und wählst alle markieren und dann unten rechts auf delete, säubern , weiter (verdammt vergessen was da steht) das kann etwas dauern und dann machste bitte ein neues HijackThis Log.

Du bist aus Kassel?
 

FroZenKoBaLt

Mitglied seit
28.11.2003
Beiträge
222
Reaktionen
1
So : Log :
Logfile of HijackThis v1.98.2
Scan saved at 21:39:17, on 22.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\RefreshLock\RefreshLock.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\CNYHKey.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\HjThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wgtour.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.broodwar.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.musikpark-a7.de/check_swf.html
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [RefreshLock] C:\RefreshLock\RefreshLock.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKCU\..\Run: [my-playlist] "C:\Programme\my-playlist\my-playlist.exe" /Autostart
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: concept/design's onlineTV - {C65E655C-0C87-4774-8C3A-90BC04163C6C} - C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.broodwar.de
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52....apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe


Ne bin nicht aus Kassel A7 ist nur meine lieblingsdisse >8)
 

[For]Hood2

Guest
Tja was man alles so aussn HijackThisLog sehen kann ... die LieblingDisco, dann aber wohnst Du im Umkreis Kassel, ich arbeite in Kassel daher

kopier dir das post in ein neues Textfile auf deinen Desktop oder druck es dir aus

ok run HijackThis und markiere folgende Sachen:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe

ok Dann schliesse alle Fenster, inclusive dieses dann klickst du fix marked und bootest in den abgesicherten Modus (sollte wieder gehen) wenn nicht mach einen normalen neustart.

gehe in den explorer und lösche folgende Dateien und Ordner:
C:\Programme\NavExcel Search Toolbar\ <--Ordner
C:\Programme\Common files\SearchUpgrader\ <--Ordner
C:\Programme\WildTangent\\Ordner
neustart (wenn im abgesicherten Modus)

So dann gehst du auf Windows update und machst ALLE security updates bis keine mehr da sind oder Du installierst SP2 und machst dann die ausstehenden updates
Des weiteren empfehle ich folgende Progamme:
  • Spywareblaster <= SpywareBlaster will prevent spyware from being installed.
  • IE/Spyad <= IE/Spyad places over 4000 websites and domains in the IE Restricted list which will severely impair attempts to infect your system. It basically prevents any downloads (Cookies etc) from the sites listed, although you will still be able to connect to the sites.
  • MVPS Hosts file <= The MVPS Hosts file replaces your current HOSTS file with one containing well know ad sites etc. Basically, this prevents your computer from connecting to those sites by redirecting them to 127.0.0.1 which is your local computer
  • Google Toolbar <= Get the free google toolbar to help stop pop up windows.
I also suggest that you delete any files from "temp", "tmp" folders. In Internet Explorer, click on "Tools" => "Internet Options" => "Delete Files" and select the box that says "Delete All Offline Content" and click on "OK" twice. Also, empty the recycle bin by right clicking on it and selecting "Empty Recycle Bin". These steps should be done on a regular basis.


EDIT: Dann gehst Du mal 1-2 Tage surfen und machst dann ein HijackThis LOG dann sehen wir ob Du sauber bist, kannst das auch in den Sticky Thread posten
 

FroZenKoBaLt

Mitglied seit
28.11.2003
Beiträge
222
Reaktionen
1
Ok also ich kann das jetzt leider nicht mehr machen da ich jetzt ins fitness muss! ich werde es morgen dann machen, aber ich danke dir schonmal sehr für deine hilfe : 2 dumme nub fragen hab ich dennoch noch ^^ also : Du schreibst ich soll das was du da geschrieben hast Markieren und dann in den abgesicherten modus aber was dann? du erwähnst nix von einfügen also wieso markieren? ( ganz davon abgesehen jetzt das ich dann im abgesichten modus die sachen lösche). gut und 2tens : Das kommt jetzt bestimmt dumm aber was is mit dem hauptproblem den trojanern in dem temporally ordner? hat die adaware gelöscht? und wenn nicht dann also auch temporally ordner im abgesicherten modus komplett löschen ja? ok thx schonmal ^^

PS : Komme aus Wiesbaden/Hessen fahre aber öfters am wochende mit freunden ins A7

mfg bye gn8 kob =)
 

[For]Hood2

Guest
nein du startest HijackThis erneut klickst auf scan, machst einen Haken vor den Sachen die ich Dir genannt habe, dann klickst in HijackThis auf "Fix checked", dann bootest Du in den abgesicherten Modus

Wie ich schon sagte die Trojaner sind Werbetrojaner sogenannte Adware, die man mit Adaware entfernt...
Ausserdem:
I also suggest that you delete any files from "temp", "tmp" folders. In Internet Explorer, click on "Tools" => "Internet Options" => "Delete Files" and select the box that says "Delete All Offline Content" and click on "OK" twice. Also, empty the recycle bin by right clicking on it and selecting "Empty Recycle Bin". These steps should be done on a regular basis.

Ich wollte das nicht extra übersetzen:/
 

FroZenKoBaLt

Mitglied seit
28.11.2003
Beiträge
222
Reaktionen
1
k erledigt, ich poste in 2 tagen mal nen log von mir in den thread hier also thx nochmal für die ganze hilfe.
 

FroZenKoBaLt

Mitglied seit
28.11.2003
Beiträge
222
Reaktionen
1
So hier nochmal der log nun nach 2 tagen :-)

Logfile of HijackThis v1.98.2
Scan saved at 19:01:44, on 25.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\DitExp.exe
C:\RefreshLock\RefreshLock.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Messenger\msmsgs.exe
C:\HjThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wgtour.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.broodwar.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.musikpark-a7.de/check_swf.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~2\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [RefreshLock] C:\RefreshLock\RefreshLock.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKCU\..\Run: [my-playlist] "C:\Programme\my-playlist\my-playlist.exe" /Autostart
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: concept/design's onlineTV - {C65E655C-0C87-4774-8C3A-90BC04163C6C} - C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.broodwar.de
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52....apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://install.cokemusic.de/client/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
 

[For]Hood2

Guest
verdammt gator übersehen?
run hijackthis, click scan, mach einen haken vor:
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
schliesse alle anderen Fenster
klick auf Fix
reboot
gehe in den explorer und lösche das Verzeichnis:
C:\Programme\Gemeinsame Dateien\GMT\

Papierkorb löschen

Danach solltest Du clean sein, kannst ja mal mit Kapersky einen FUll scan machen

Kleiner Tip noch lade Dir neuste SunJava runter entweder 1.4.2.06 oder 1.5 da könnte demnächst was anrollen
 

FroZenKoBaLt

Mitglied seit
28.11.2003
Beiträge
222
Reaktionen
1
K hab ich, nur eins versteh ich noch net warum steht bei dem Hjthis scan das bei mir nur 33 prozesse laufen, und wenn ich strg+alt+entf und da schaue stehen da 42...
 

FroZenKoBaLt

Mitglied seit
28.11.2003
Beiträge
222
Reaktionen
1
Also dieses cokemusic is so nen Musicabspielprog wenn man sich kostenlose lieder zieht von coke da gabs mal so ne aktion so 5 zettel auf colaflaschen mit codes gegen 1 lied ... was das andere is "Meinstall" kp, hood was meinst? *g*
 

Gast

Guest
k entwarnung

"quicktime" =8(

aber: AOLMIcon.exe + PRISMSTA.exe + PSDrvCheck.exe?!
 

[For]Hood2

Guest
Verdammt hab nur ich solche Probleme diesen Thread zulesen, alle anderen gehen, nur in diesem komme ich nur bei jedem 5-8 klicken rein

PRISMSTA.exe wird von der wireless karte benutzt

PSDrvCheck.exe Pinnacle Karte

AOLMIcon.exe finde ich nichts negatives zu benutzt DU AOL?

016 kann man mit spywareblaster checken
 

FroZenKoBaLt

Mitglied seit
28.11.2003
Beiträge
222
Reaktionen
1
Also ich kam auch nur bei jedem 10ten versuch in JEDEN der threads im bw.de forum hab dann in meinem profil die posts auf 10 pro seite beschränkt jetzt komm ich immer direkt rein, nein AOL benutze ich net ach und was is jetzt mit den prozessen? warum listet Hjthis nur 33 auf und bei strg+alt+ seh ich 42 laufen?
 

[For]Hood2

Guest
Hijack sieht nicht alle Prozesse ist bekannt, wird evt bei der nächsten Version gefixt

ok dan nfix den auch noch
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
 
Shihatsu

Shihatsu

Administrator
Mitglied seit
26.09.2001
Beiträge
49.577
Reaktionen
10.228
[ot]hier steht woran das liegt und was dagegen zu tun ist bei langen threads @ hood[/ot]
 

FroZenKoBaLt

Mitglied seit
28.11.2003
Beiträge
222
Reaktionen
1
Done, thx.
Kaspersky Scan = 0 Verdächtige dateien gefunden ich danke allen die mir hier geholfen haben, big thx. mfg kob

PS: Mein rechner speed hat sich übrigens auch wirklich wieder verschnellert...
 

[For]Hood2

Guest
wasr mir ein vergnügen

@Shihatsu danke, hatte es schon gefunden
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben