Hallo Leute

also wieder mal neuinstalliert , vorher mit killdisk.exe-free version
6std.meine platte bereinigt .

aber so wie nach jeder neu-inst.von xp-original ,das seit über 8wochen immer das gleiche problem.
da ich schon so gut wie alles probiert hab , versuch ichs mal über die
Ereignisanzeige , um dort vielleicht was zu erfahren was das problem sein kann.
also um es kurz zu erklären :
los gehts ca.am 2ten tag nach der neuinst.von-xp.
egal welcher brauser - er schliest sich - und wieder(nach 10sec. oder mehr) usw.
egal welche viren-software schliest sich - das sicherheitscenter schreit: av ist deaktiviert
genau so auch spiele oder andere progs.
manchmal wird auch der router übernommen und ich kann nicht mehr mit meinem pw einloggen
somit xp wieder neuinst.und in ca.1-2tage again.
soweit bin ich "glaube" gekommen,dass sich direkt am pc was versteckt ,trotz formatierung
mit f-disk,gparted,killdisk,s0kill und win.sowieso,
und sich bei jeder neu-inst.von windows wieder mit installiert.
gestern zb.direkt nach der neu-xp-inst.den iexplorer-update auf gemacht, das erste mal wieder mit dem netz verbunden und dann kam die fehlermeldung meine zeit stimmt nicht überein ,obwohl in der taskleiste die richtige uhrzeit stand.es half nichts,
kein win-update möglich.(habe alle updates manuell nachgeladen)
das ganze passiert auch dann,wenn ich als erstes irgend eine av-software draufspiele...


Hier immer die selben Fehlermeldungen(warnungen od.anzeigen) in der Ereignisanzeige
zuanfangs bei der Installation von win-xp

Unter Verwalten:
Warnungenen unter Ereignisanzeige - Anwendung :

Quelle:WinMgmt Ereigniserkennung:63
Ein Anbieter, CmdTriggerConsumer, wurde im WMI-Namespace, Root\cimv2, zum Verwenden des Kontos "LocalSystem" registriert. Dieses Konto ist ein bevorzugtes Konto, d.h. der Anbieter kann Sicherheitsverletzungen verursachen, falls Benutzeranfragen nicht richtig verarbeitet werden.


Quelle:WinMgmt Ereigniserkennung:63
Ein Anbieter, HiPerfCooker_v1, wurde im WMI-Namespace, Root\WMI, zum Verwenden des Kontos "LocalSystem" registriert. Dieses Konto ist ein bevorzugtes Konto, d.h. der Anbieter kann Sicherheitsverletzungen verursachen, falls Benutzeranfragen nicht richtig verarbeitet werden.



Quelle:WinMgmt Ereigniserkennung:5603
Ein Anbieter Rsop Planning Mode Provider wurde im WMI-Namespace root\RSOP registriert ohne die HostingModel-Eigenschaft festzulegen. Dieser Anbieter wird unter dem Konto "LocalSystem" ausgeführt. Dieses Konto verfügt über besondere Berechtigungen und der Anbieter kann eine Sicherheitsverletzung verursachen, wenn er Benutzeranforderungen nicht richtig imitiert. Stellen Sie sicher, dass das Sicherheitsverhalten des Anbieters überprüft wurde und aktualisieren Sie die HostingModel-Eigenschaft der Anbieterregistrierung auf ein Konto, das über die minimal erforderlichen Berechtigungen für die angeforderte Funktionalität verfügt.


Quelle:Userenv Ereigniserkennung:1517
Die Registrierung des Benutzers "....-..BCFE5233\..." wurde gespeichert, obwohl eine Anwendung oder ein Dienst auf die Registrierung während der Abmeldung zugegriffen hat. Der von der Registrierung des Benutzers verwendete Speicher wurde nicht freigegeben. Der Upload der Registrierung wird durchgeführt, wenn diese nicht mehr verwendet wird.

Dies wird oft durch Dienste verursacht, die unter einem Benutzerkonto ausgeführt werden. Versuchen Sie diese so zu Konfigurieren, dass sie unter den Konten "Lokaler Dienst" oder "Netzwerkdienst" ausgeführt werden.


Unter Verwalten:
Ereignisanzeige - System :

die ersten 11 einträge unter - Ereignisanzeige - System - bei der inst.von xp wird eine stunde vorraus angezeigt,
obwohl die uhr im bios richtig gestellt ist.
der eintrag serial wird an 5ter stelle angezeigt.

Quelle:serial Ereigniserkennung:2
Bei der Überprüfung, ob \Device\Serial0 ein serieller Anschluss ist, wurde ein FIFO-Baustein entdeckt. Es wird der FIFO-Baustein verwendet.

Fehlermeldung:
Quelle:W32Time Ereigniserkennung:17
Zeitabieter "NtpClient": Beim DNS-Lookup für den manuell konfigurierten Peer "time.windows.com,0x1" ist ein Fehler aufgetreten. Der DNS-Lookup wird in 15 Minuten wiederholt. Fehler: Der Host war bei einem Socketvorgang nicht erreichbar. (0x80072751)

(Zeitabgleich troz internetverbindung nicht möglich)

Quelle:W32Time Ereigniserkennung:29
Der Zeitanbieter "NtpClient" wurde für die Zeiterfassung von mehreren Zeitquellen konfiguriert. Es ist jedoch Keine der Quellen verfügbar. Innerhalb der nächsten 14 Minuten wird kein Versuch unternommen, eine Verbindung mit der Quelle herzustellen. Der NtpClient verfügt über keine Quelle mit genauer Zeit.

erst als ich kaspersky7 inst.habe kam dann diesemeldung in der Ereignisanzeige - System :

Quelle:W32Time Ereigniserkennung:35
Der Zeitdienst synchronisiert die Systemzeit mit folgender Zeitquelle: time.windows.com (ntp.m|0x1|192.168.0.2:123->207.46.130.100:123).


gruss

hier ein logfile :

Logfile of HijackThis v1.99.1
Scan saved at 15:50:31, on 02.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\IObit\Advanced WindowsCare V2\Awcl.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Dokumente und Einstellungen\...\Desktop\zum\ohgott.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183245531359
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1183246095421
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe

int.sec.kaspersky7 brach bei der hälfte des scans (arbeitsplatz)mit einer fehlermeldung ab
(kaspersky wurde nicht richtig gestartet)

hatte beim 2ten versuch mit kasp7 die hd zu scannen einen blue screen:

stop: 0x0000008e(0xc000001d,0xbf8437a9,0xb7c33bf0,0x00000000)
win32k.sys-adress bf8437a9 base at bf800000, datestamp 45f013f6

werd nochmal googln solange sich der brauser nicht schliest.

ist zwar ne sau blöde frage, aber hast du schonmal den Masterbootrecord deiner festplatte gefixt? wenn ja dann öhm..sollte man evtl mal in betracht ziehen ne neue festplatte zu kaufen

hello huhn


also ich habs mit fdisk,killdisk-free,s0kill,gparted und natürlich mit win.formatiert und in allen möglichen formate wie
fat32 zu ntfs - linux - fat32 - ntfs mit gparted um gewandelt.
die festplatte maxtor120gig. ist 2jahre alt

gruss

bei roorkit suche mit kaspersky int.sec7 blue screen dieses mal so:

stop: 0x00000024 (0x001902fe,0xb86b9680,0xb86b937c,0xf75c8763)
ntfs.sys - adress f75c8763 base at f7585000, datestamp 45cc56a7

bin mal mit RootkitRevealer drüber gegangen:


HKLM\SECURITY\Policy\Secrets\SAC* 01.07.2007 00:56 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 01.07.2007 00:56 0 bytes Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 03.07.2007 01:41 0 bytes Access is denied.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\PdmHist\274.4227557401C7BDAA.history 03.07.2007 21:42 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\PdmHist\470.F358DA4801C7BDAA.history\00000000.bak 03.07.2007 21:48 1.58 MB Hidden from Windows API.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\PdmHist\a14.609E016A01C7BDAA.history 03.07.2007 21:43 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\PdmHist\bd8.65AF00AA01C7BDAA.history 03.07.2007 21:43 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\PdmHist\e08.60B3769401C7BDAA.history 03.07.2007 21:43 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\PdmHist\ee8.52B66A8801C7BDAA.history 03.07.2007 21:42 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP7\PdmHist\f34.19CD27E201C7BDAB.history 03.07.2007 21:48 0 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\pak\Cookies\pak@m.webtrends[1].txt 03.07.2007 21:48 266 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Cookies\pak@m.webtrends[2].txt 03.07.2007 21:48 266 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\pak\Cookies\pak@microsoft[1].txt 03.07.2007 21:48 138 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VG92ZZX\back[1].gif 03.07.2007 21:50 5.23 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VG92ZZX\contact[1].jpg 03.07.2007 21:51 1.05 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VG92ZZX\copyright[1].gif 03.07.2007 21:51 1.45 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VG92ZZX\header[1].jpg 03.07.2007 21:51 11.47 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VG92ZZX\icon1[1].gif 03.07.2007 21:50 1.01 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VG92ZZX\newsgroups[1].jpg 03.07.2007 21:51 1.50 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VG92ZZX\post_old[1].gif 03.07.2007 21:51 522 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VG92ZZX\printer[1].gif 03.07.2007 21:49 1.05 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VG92ZZX\ql[1].gif 03.07.2007 21:48 51 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VG92ZZX\ql[2].js 03.07.2007 21:48 5.91 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VG92ZZX\StriderLogo[1].gif 03.07.2007 21:48 7.86 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VG92ZZX\t307024-microsoft-research-strider-ghostbuster-rootkit-detection-and-quotstealth-software-that-hides-in-bios-video-card-eepromquot[1].htm 03.07.2007 21:51 65.64 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VG92ZZX\vbulletin_global[1].js 03.07.2007 21:49 36.41 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VG92ZZX\vbulletin_md5[1].js 03.07.2007 21:49 9.43 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0VG92ZZX\vbulletin_md5[2].js 03.07.2007 21:51 9.43 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6XZNFG0L\arrowLTR[2].gif 03.07.2007 21:48 821 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6XZNFG0L\bgbar[1].jpg 03.07.2007 21:51 401 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6XZNFG0L\collapse_thead[2].gif 03.07.2007 21:50 580 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6XZNFG0L\forums[1].jpg 03.07.2007 21:51 1.08 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6XZNFG0L\groupStyle[1].css 03.07.2007 21:48 1.71 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6XZNFG0L\icon1[1].gif 03.07.2007 21:51 1.01 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6XZNFG0L\lastpost[2].gif 03.07.2007 21:49 117 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6XZNFG0L\message1982692[1].htm 03.07.2007 21:49 64.12 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6XZNFG0L\mode_linear[1].gif 03.07.2007 21:49 609 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6XZNFG0L\newcat[1].gif 03.07.2007 21:51 1.46 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6XZNFG0L\reviews[1].jpg 03.07.2007 21:51 1.10 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6XZNFG0L\rootkit[1].htm 03.07.2007 21:48 22.61 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6XZNFG0L\sendtofriend[1].gif 03.07.2007 21:50 1.10 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6XZNFG0L\vbulletin_global[1].js 03.07.2007 21:51 32.44 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6XZNFG0L\vbulletin_post_loader[1].js 03.07.2007 21:49 3.41 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJNENG38\bgtop[1].jpg 03.07.2007 21:51 1.56 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJNENG38\blueTriangle[1].gif 03.07.2007 21:48 111 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJNENG38\collapse_thead[1].gif 03.07.2007 21:51 580 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJNENG38\google[1].htm 03.07.2007 21:49 3.95 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJNENG38\guides[1].jpg 03.07.2007 21:51 1.00 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJNENG38\header2[1].jpg 03.07.2007 21:51 1.45 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJNENG38\menu_open[1].gif 03.07.2007 21:51 279 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJNENG38\mode_hybrid[1].gif 03.07.2007 21:50 588 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJNENG38\mode_threaded[1].gif 03.07.2007 21:49 562 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJNENG38\navbits_start[1].gif 03.07.2007 21:50 1.16 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJNENG38\og1[1].jpg 03.07.2007 21:49 360 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJNENG38\quote[1].gif 03.07.2007 21:51 2.13 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJNENG38\rmcstyle[1].css 03.07.2007 21:48 7.13 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJNENG38\style-469f4dff-00001[1].css 03.07.2007 21:51 5.62 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XJNENG38\vbulletin_menu[1].js 03.07.2007 21:49 15.78 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZY09OHGY\cellphone[1].gif 03.07.2007 21:49 1.07 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZY09OHGY\css[2].css 03.07.2007 21:48 2.59 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZY09OHGY\favicon[2].ico 03.07.2007 21:50 9.90 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZY09OHGY\forum[1].css 03.07.2007 21:49 8.81 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZY09OHGY\front[1].gif 03.07.2007 21:49 43 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZY09OHGY\google[1].htm 03.07.2007 21:44 3.95 KB Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZY09OHGY\home[1].jpg 03.07.2007 21:51 915 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZY09OHGY\menu_open[2].gif 03.07.2007 21:49 279 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZY09OHGY\ms_masthead_ltr[1].gif 03.07.2007 21:48 43 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZY09OHGY\navbits_finallink[2].gif 03.07.2007 21:51 1.01 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZY09OHGY\navbits_start[1].gif 03.07.2007 21:51 1004 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZY09OHGY\post_old[1].gif 03.07.2007 21:50 522 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZY09OHGY\printer[2].gif 03.07.2007 21:51 1.05 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZY09OHGY\reply[1].gif 03.07.2007 21:51 3.15 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZY09OHGY\rss[1].gif 03.07.2007 21:48 1.16 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZY09OHGY\search[3].htm 03.07.2007 21:49 20.05 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZY09OHGY\sendtofriend[1].gif 03.07.2007 21:51 1.10 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\pak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZY09OHGY\vbulletin_menu[1].js 03.07.2007 21:51 14.89 KB Hidden from Windows API.
C:\WINDOWS\Temp\cch~1e4d2feb5.htp 03.07.2007 21:48 8.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\cch~1e4d3027c.htp 03.07.2007 21:48 8.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\cch~1e5c24f81.htp 03.07.2007 21:48 8.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\cch~1e5c25353.htp 03.07.2007 21:48 8.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\cch~1e5c9b26d.htp 03.07.2007 21:48 8.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\cch~1e5c9b65f.htp 03.07.2007 21:48 8.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\cch~1e5f75769.htp 03.07.2007 21:48 8.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\cch~1e5f79bf6.htp 03.07.2007 21:48 8.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\cch~1e5f8f72a.htp 03.07.2007 21:48 8.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\cch~1e5f8fb59.htp 03.07.2007 21:48 8.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\cch~1e5f8fe42.htp 03.07.2007 21:48 8.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\cch~1e5f90217.htp 03.07.2007 21:48 8.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\cch~1e5fa8a8f.htp 03.07.2007 21:48 8.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\cch~1e5fa8e69.htp 03.07.2007 21:48 8.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\cch~1e61b2660.htp 03.07.2007 21:48 8.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\cch~1e61b2a66.htp 03.07.2007 21:48 8.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\cch~1e61e111e.htp 03.07.2007 21:48 8.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\cch~1e61e1526.htp 03.07.2007 21:48 8.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Temp\PR28.tmp 03.07.2007 21:57 23.09 MB Hidden from Windows API.


hoffe auf eure hilfe

Was für`n Chaos!

Lade dir mal das tool von panda und scanne dein System.

Panda Anti-Rootkit - Download

Aloha

habe ein e-scan gemacht :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.9
Sprache: German
C:\DOKUME~1\pak\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "look2me Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "gain.gator Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\look2me !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 48001
Gefundene Viren: 3
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 10
Dauer des Scans bisher: 00:19:08
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 20:23:33,56
Batchende: 20:23:37,76


gruss

hello felixx65

ja hab ich ausprobiert , hat aber nix angezeigt.

dafür hab ich gator und look2me mit escan gefunden,
das aber trotz löschung bei jedem hochfahren wieder da ist.

gruss

Hallo,ich hatte die selbe Meldung.
Und habe folgendes dazu gefunden.
http://support.microsoft.com/kb/891642/de

Zitat:

Zitat von grrr

hello felixx65

ja hab ich ausprobiert , hat aber nix angezeigt.

dafür hab ich gator und look2me mit escan gefunden,
das aber trotz löschung bei jedem hochfahren wieder da ist.

gruss

Hi,

look2me ist nur schwer vom System zu entfernen. Hier versuchs mal mit einem removal tool.

Look2Me Removal bei den free-Downloads

Gruss

hello felixx65


ja, hab ich geladen gestartet - und hat sich jedesmal nach dem start des tools selbst geschlossen. toll.

gruss

Hm. Es scannt also überhaupt nicht?


Rechtsklick auf Arbeitsplatz -> Eigenschaften -> Systemwiederherstellung -> Systemwiederherstellung deaktivieren anhaken.


Starte deinen PC neu, jetzt drückst du beim Neustarten "F8", wählst mit den Richtungstasten den 2Abgesicherten Modus" müsste ganz oben stehen. Nicht erschrecken, das sieht ein wenig hässlicher aus, als im normalen Modus. Öffne nun die Datei per Doppelklick. Klappt das jetzt?


Poste auch den Log, der erscheint hier. Du kannst nachdem Look2me entfernt wurde deinen PC ganz normal neustarten und dann, im normalen Modus wieder die Systemwiederherstellung aktivieren, indem du den Haken Unter "systemwiederherstellung" im Eigenschafts-Panel beim Arbeitsplatz wieder entfernst.


Edit: Wenn du schon dabei bist, kannst du auch dieses Tool saugen:

Klück


und versuchen im abgesicherten Modus gator damit zu entfernen.


Das mit dem abgesicherten Modus und dem deaktivieren der Systemwiederherstellung ist ganz wichtig! Sollte danach eine Wieder-Verseuchung mit den Schädlingen zu sehen sein, ist davon auszugehen, dass du noch was anderes auf dem PC hast, welches das andere immer wieder nachläd.

Hello disamo

danke vorweg ,hab mir deinen link durchgelesen
nur blick ich nicht so ganz durch.
was man dagegen machen kann,
wenn das immer bei der installation von windows passiert.
bzw.ob das das übel ist.
das system ist ja gleich bei der xp inst. immer verseucht ist.


Quelle:WinMgmt Ereigniserkennung:63
Ein Anbieter, CmdTriggerConsumer, wurde im WMI-Namespace, Root\cimv2, zum Verwenden des Kontos "LocalSystem" registriert. Dieses Konto ist ein bevorzugtes Konto, d.h. der Anbieter kann Sicherheitsverletzungen verursachen, falls Benutzeranfragen nicht richtig verarbeitet werden.


Quelle:WinMgmt Ereigniserkennung:63
Ein Anbieter, HiPerfCooker_v1, wurde im WMI-Namespace, Root\WMI, zum Verwenden des Kontos "LocalSystem" registriert. Dieses Konto ist ein bevorzugtes Konto, d.h. der Anbieter kann Sicherheitsverletzungen verursachen, falls Benutzeranfragen nicht richtig verarbeitet werden.


Hello Win32/Jeefo

danke für deine nachricht,
die systemwiederherstellung ist deaktiviert und dort drin giebts
eine datei namens:
MountPointManagerRemoteDatabase mit 0 kb angeblich
was sich mit nichts löschen läst , plus eine textdatei namens:
tracking 20 kb die sich löschen läst - drin steht mein computername
und einige zeichen :
ì§CfþïѲ® ÀO¹8m

i..k-f8b...5233 Œè»¯à…J·}´(ªò[ ðç õ�ÀÇ
› › ÿÿÿÿ
und noch viele nullen.


so werde mal im abgesicherten die 2 prog laufen lassen.
melde mich dann wieder.

gruss