BSOD gehabt?

1.) Zunächst musst du den Eintrag C:\WINDOWS\SYSTEM32\DRIVERS\ICON.EXE fixen und danach die Datei am beschriebenen Ort (C:\WINDOWS\SYSTEM32\DRIVERS\ICON.EXE) suchen und löschen.
Falls das nicht im 'normalen Modus' möglich ist starte in den abgesicherten Modus und versuche es dann.

Wenn das auch nicht möglich ist, versuche die Datei umzubenennen.

Eine weitere Möglichkeit ist im abgesicherten Modus die Eingabeaufforderung zu starten und 'del C:\WINDOWS\SYSTEM32\DRIVERS\ICON.EXE' einzugeben - natürlich ohne Anführungsstriche (del=delete=lösche).

2.) Die Datei rlvknlg.exe und die STDSB.exe mal bei jotti oder virustotal überprüfen lassen.

3.) zur newdotnet7_48.dll; die systemwiederherstellung deaktivieren und mal adware von lavasoft oder SUPERAntiSpyware drüber jagen lassen.

so und dann nochmal ein hjt-log posten...

Zitat:

Zitat von erty

BSOD gehabt?

Mit Kristallkugel gearbeitet?

Zitat:

zur newdotnet7_48.dll; die systemwiederherstellung deaktivieren und ...[Unfug ausgenommen]

@TT2000
Wenn du so was tust, setze lieber den Rechner sofort neu auf, da du danach sowieso keine Internetverbindung mehr bekommst.

ok bear share ist weg

spybot läuft
adaware läuft auch

wie fixe ich ??? kenn mich mal gar nicht aus.

ihr seid so hilfsbereit vielen dank.

wenn ihr mir noch sagt wie man fixt dann poste ich nachher den hijacklogfile

liebe grüße

Zitat:

Zitat von TT2000

wie fixe ich ??? kenn mich mal gar nicht aus.

Anleitung HijackThis ist in meiner Signatur bzw. im Themenbereich "Anleitungen, FAQ und Links" verlinkt.

was mache ich mit dem lsp fix das hab ich nun auch auf dem rechner

was ist jotti?

was hat das mit der kristallkugel auf sich ???

ihr seid echt lustige jungs - aber ich mach mir langsam ernsthaft sorgen um meinen pc - grad ist mozilla total abgeschmirt - wie steht es um meinen rechner???

zu was brauch ich da ne glaskugel, wenn C:\WINDOWS\system32\savedump.exe und C:\WINDOWS\system32\hkcmd.exe aktiv sind?

und zur newdotnet7_48.dll, er hat doch LSPfix runtergeladen...

ok jungs wie mach ich die systemwiederherstellung raus???
denn dann geh ich mal fixen usw. und mach den abgesicherten modus

Online Malware scan

oder

VIRUSTOTAL - Free Online Virus and Malware Scan

oben genannte dateien scannen lassen und Ergebnis posten.

welche soll ich genau scannen lassen ???

ich war noch gar nicht im abgesicherten modus
hab jettz lediglich mal den systemwiderherstelldingsbumbs deaktiviert

Zitat:

Zitat von erty

zu was brauch ich da ne glaskugel, wenn C:\WINDOWS\system32\savedump.exe und C:\WINDOWS\system32\hkcmd.exe aktiv sind?

Das Eine kann mit dem Anderen gar nix zu tun haben, zumindest hat der TO sich nicht um BSOD beschwert.

Zitat:

Zitat von TT2000

der STDSB.exe hat nichts -- keine viren gefunden

Du wurdest gebeten, das Protokoll zu posten. Wenn du ein Laptop hast - ist diese Datei mit großer Wahrscheinlichkeit sauber : STDSB.exe

Also ich hab einen Laptop - dann dürfte ja nun alles passen.

Ich lass heute nochmal spybot und adaware drüber sausen und antivir.

Es kommt ihmmer ne meldung mit spybot hat an der registrierungdatei rumgemacht. Aber ich denke das ist ok.

Ansonsten dürfte alles in Ordnung sein !

Vielen Dank für die Hilfe.

Ihr seid super !!!

Danke

Hallo mich beunruhigt noch folgende Sache.
Der SpyBot-SD Resident zeigt dass 1174 Prozesse verboten sind. Was heißt das? Und es kommen immer so Meldungen mit der Registrierungsbibliothek.
Ist das schlimm?

Der Spybot hat bei einem erneuten Lauf 24 Fehler einwandfrei behoben.
Ad Aware hat auch noch paar critical Objects gefunden - diese hab ich aber nun gereinigt. Wie oft soll ich diese beiden Programme durchlaufen lassen??? immer wöchentlich oder monatlich ??? Wie oft soll ich Antivir drüber laufen lassen ???


Ihr seid echt super klasse das ihr mir so helft.

Das hier ist die Resident.log Datei:

29.07.2006 10:16:17 Verweigert value "SpybotSnD" (new data: ""C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck") hinzugefügt in System Startup global entry!
29.07.2006 20:07:15 Verweigert value "BearShare" (new data: "") gelöscht in System Startup global entry!
29.07.2006 20:07:25 Verweigert value "BearShare" (new data: "") gelöscht in System Startup global entry!
29.07.2006 20:07:44 Verweigert value "BearShare" (new data: "") gelöscht in System Startup global entry!
29.07.2006 20:08:10 Erlaubt value "BearShare" (new data: "") gelöscht in System Startup global entry!
29.07.2006 20:09:09 Verweigert value "SpybotSD TeaTimer" (new data: "") gelöscht in System Startup user entry!
29.07.2006 20:09:14 Verweigert value "{53707962-6F74-2D53-2644-206D7942484F}" (new data: "") gelöscht in Browser Helper Object!
29.07.2006 20:09:18 Verweigert value "{53707962-6F74-2D53-2644-206D7942484F}" (new data: "") gelöscht in Browser Helper Object!
29.07.2006 20:09:22 Verweigert value "{53707962-6F74-2D53-2644-206D7942484F}" (new data: "") gelöscht in Browser Helper Object!
29.07.2006 20:09:25 Verweigert value "{53707962-6F74-2D53-2644-206D7942484F}" (new data: "") gelöscht in Browser Helper Object!
29.07.2006 20:09:41 Verweigert value "{53707962-6F74-2D53-2644-206D7942484F}" (new data: "") gelöscht in Browser Helper Object!
02.11.2006 14:34:46 Verweigert value "zango" (new data: "") gelöscht in System Startup global entry!
02.11.2006 14:34:53 Erlaubt value "AAW" (new data: ""C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe" "+b1"") hinzugefügt in System Startup global entry!
02.11.2006 14:35:20 Verweigert value "{56F1D444-11BF-4879-A12B-79CF0177F038}" (new data: "") gelöscht in Browser Helper Object!
02.11.2006 14:35:24 Verweigert value "{56F1D444-11BF-4879-A12B-79CF0177F038}" (new data: "") gelöscht in Browser Helper Object!
02.11.2006 14:35:28 Verweigert value "{56F1D444-11BF-4879-A12B-79CF0177F038}" (new data: "") gelöscht in Browser Helper Object!
02.11.2006 14:35:30 Verweigert value "{56F1D444-11BF-4879-A12B-79CF0177F038}" (new data: "") gelöscht in Browser Helper Object!
02.11.2006 14:35:33 Erlaubt value "{56F1D444-11BF-4879-A12B-79CF0177F038}" (new data: "") gelöscht in Browser Helper Object!
02.11.2006 14:43:37 Verweigert value "Search Page" (new data: "h**p://www.google.com") geändert in Browser page!
02.11.2006 14:43:39 Verweigert value "Search Bar" (new data: "h**p://www.google.com/ie") hinzugefügt in Browser page!
02.11.2006 14:43:41 Erlaubt value "SearchAssistant" (new data: "h**p://www.google.com/ie") geändert in Browser page!
02.11.2006 14:44:35 Verweigert value "SpybotSD TeaTimer" (new data: "") gelöscht in System Startup user entry!
19.03.2007 22:17:56 Verweigert value "New.net Startup" (new data: "") gelöscht in System Startup global entry!
19.03.2007 22:17:59 Verweigert value "SpybotSnD" (new data: ""C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck") hinzugefügt in System Startup global entry!
19.03.2007 22:18:10 Erlaubt value "{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}" (new data: "") gelöscht in Browser Helper Object!
19.03.2007 22:20:49 Erlaubt value "RelevantKnowledge" (new data: "") gelöscht in System Startup global entry!
19.03.2007 22:29:27 Erlaubt value "ICQ Lite" (new data: "C:\Programme\ICQLite\ICQLite.exe -trayboot") hinzugefügt in System Startup user entry!
19.03.2007 22:30:16 Erlaubt value "{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}" (new data: "") hinzugefügt in Browser Helper Object!
19.03.2007 22:41:19 Erlaubt value "ICQ Lite" (new data: "C:\Programme\ICQLite\ICQLite.exe -trayboot") hinzugefügt in System Startup user entry!
19.03.2007 22:56:28 Erlaubt value "Icon" (new data: "") gelöscht in System Startup global entry!
19.03.2007 22:56:30 Erlaubt value "New.net Startup" (new data: "") gelöscht in System Startup global entry!
19.03.2007 22:56:31 Erlaubt value "{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}" (new data: "") gelöscht in Browser Helper Object!
19.03.2007 22:56:33 Erlaubt value "New.net Startup" (new data: "rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s") hinzugefügt in System Startup global entry!
19.03.2007 22:58:02 Erlaubt value "New.net Startup" (new data: "") gelöscht in System Startup global entry!
19.03.2007 22:58:04 Erlaubt value "New.net Startup" (new data: "rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s") hinzugefügt in System Startup global entry!
19.03.2007 23:01:49 Verweigert value "New.net Startup" (new data: "") gelöscht in System Startup global entry!
19.03.2007 23:02:10 Erlaubt value "New.net Startup" (new data: "") gelöscht in System Startup global entry!
19.03.2007 23:02:13 Erlaubt value "New.net Startup" (new data: "rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s") hinzugefügt in System Startup global entry!
19.03.2007 23:02:28 Erlaubt value "New.net Startup" (new data: "") gelöscht in System Startup global entry!
19.03.2007 23:02:40 Erlaubt value "New.net Startup" (new data: "rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s") hinzugefügt in System Startup global entry!
19.03.2007 23:11:03 Erlaubt value "ICQ Lite" (new data: "C:\Programme\ICQLite\ICQLite.exe -trayboot") hinzugefügt in System Startup user entry!
20.03.2007 09:22:13 Erlaubt value "ICQ Lite" (new data: "C:\Programme\ICQLite\ICQLite.exe -trayboot") hinzugefügt in System Startup user entry!

bin wieder da - lass noch kurz die beiden dateien prüfen
dann schick ich den hjt logfile
danke für eure hilfe

1. 0 bytes size received / Se ha recibido un archivo vacio

1. rlvknlg.exe --> The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

2. der STDSB.exe hat nichts -- keine viren gefunden

Logfile of HijackThis v1.99.1
Scan saved at 22:50:18, on 19.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\drivers\STDSB.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\drivers\Icon.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\InstallShield\Engine\6\Intel 32\IKernel.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dmadmin.exe
C:\Programme\Gemeinsame Dateien\InstallShield\Engine\6\Intel 32\IKernel.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Suche
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Microsoft Windows Update
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_48.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\system32\drivers\STDSB.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [Icon] C:\WINDOWS\system32\drivers\Icon.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Verknüpfung mit IKernel.exe.lnk = C:\Programme\Gemeinsame Dateien\InstallShield\Engine\6\Intel 32\IKernel.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Verknüpfung mit IKernel.exe.lnk = C:\Programme\Gemeinsame Dateien\InstallShield\Engine\6\Intel 32\IKernel.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe