|
Hilfe für weiblich und blond Hallöchen,mir ist Eurer tolles Forum empfohlen worden,weil ich mein Problem nicht alleine lösen kann. Ich habe XP Home und bei mir sind über Nacht auf allen Benutzerkonten die Programmsymbole auf dem Desktop,die Startleiste und die Taskleiste?(ich meine was unten rechts im Bild erscheint) verschwunden.Mein Antivir-Programm meldet gleich zu Anfang,daß Eintrag in,,HKEY-CLASSES-ROOT\exefile\shell\open\command und verweist auf die Datei C:\WINDOWS\FONTS\SVCHOST.exe Was hat denn das zu bedeuten? Habe ich etwas verstellt oder gelöscht? Bitte Euch um Hilfe !! Vielen Dank |
Hallo Angela. Zunächst bräuchten wir ein paar mehr Informationen. Der Satz "Mein Antivir-Programm meldet gleich zu Anfang,daß Eintrag in,,HKEY-CLASSES-ROOT\exefile\shell\open\command und verweist auf die Datei C:\WINDOWS\FONTS\SVCHOST.exe" scheint mir irgendwie unvollständig zu sein, meldet denn Antivir etwas Genaueres, also den Namen eines Schädlings? Sicher ist zumindest, dass die Datei svchost.exe im Fonts-Ordner ganz sicher nichts verloren hat, aber lösche mal noch nichts, sondern besorge dir dieses Programm http://www.trojaner-board.de/51130-a...ijackthis.html erstelle damit ein Logfile und kopiere dessen Inhalt hierher. |
Vielen Dank für die 1. Hilfe. Das Programm habe ich runtergeladen.Da alles auf Engl. stand, habe ich einfach auf scann geklickt.Danach wurden mir unendlich viele Zeilen angezeigt.War das bis hierher richtig?? Peinlich aber wahr,ich weiß nicht ,wie ich es hierher kopieren soll.Angela |
Ah so,wenn ich mein Virenprogramm starte zeigt es nach dem Systemtest an : ,, Beim Sicherheitstest wurde ein auffälliger Eitrag festgestellt...... ( Angabe siehe unten ). Dieser Eintrag verweist auf die Datei ( siehe unten ). Bitte überprüfen Sie die Lauffähigkeit ihres Systems und senden Sie bei Problemen die gemeldete Datei mit der AVWIN-LOG-Datei an...... Ich könnte verzweifeln, da ich computermäßig keine Ahnung habe. |
Ja, das war soweit gut. :) Nach dem "Scan" klickt du auf "Save log" wählst dann einen Ordner zum Speichern aus, danach öffnet sich automatisch ein Editorfenster, das das Log enthält. Du markierst darin den gesamten Text, gehst auf Rechtsklick/Kopieren und fügst das dann hier in einen Beitrag ein (du siehst in nahezu jedem Thread hier wie es aussehen sollte:)). |
Dann such mal bitte auch diese avwin.log und kopiere dort ebenfalls heraus, was über eine auffällige Datei drinsteht. |
Ich weiss zwar nicht, ob es die "awin.log" Datei ist, aber der Eintrag ist wie folgt: Name: Standart Typ: REG-S... Wert:"%1"%* |
Logfile of HijackThis v1.98.2 Scan saved at 17:55:26, on 14.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE c:\WINDOWS\Fonts\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\T-Online\T-Online_Software_5\Browser\browser.exe C:\Dokumente und Einstellungen\Angela\Eigene Dateien\Eigene Datenquellen\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing) O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe" O4 - HKLM\..\Run: [DownloadWare] "C:\Programme\DownloadWare\dw.exe" /H O4 - HKLM\..\Run: [zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1 O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [mdetect] C:\WINDOWS\tmp.0267.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [minimo] c:\WINDOWS\Fonts\svchost.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\RunOnce: [*zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: concept/design's onlineTV - {9EC89FE7-1298-44FF-A0AF-6D9AB6054313} - C:\Programme\onlineTV\onlineTV.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe |
Ok, weiter gehts. Normalerweise würde ich es andersherum machen, aber da bei dir ein ziemlich fieser svchost-Prozess drin ist, machen wird mal so, dass du gleich E-Scan erst mal durchlaufen lässt E-Scan herunterladen und updaten wie beschrieben: http://www.trojaner-board.de/42731-escan-anleitung.html dann startest du Windows im angesicherten Modus: http://www.trojaner-board.de/63335-w...s-starten.html und lässt E-Scan wie im link beschrieben durchlaufen. Danach startest du wieder normal und erstellst ein neues Logfile, postest es wieder und sagst uns bitte auch noch, welche Schädlinge von E-Scan gefunden wurden. |
Hallo YAYA , was meinst Du mit ,,fiesen Prozess??,,- doch nicht etwa einen Virus? ich werde jetzt versuchen deinen Ausführungen zu folgen.Die letzte war schwieriger wie'ne Entbindung.Gott sei Dank ,daß meine Große gerade nach Hause kam,sonst würde ich immer noch sitzen und versuchen einzufügen.HI hi |
Ja, also Viren bzw. Trojaner hast du auf jeden Fall, das problem ist bei dem genannten nur, dass der Prozess sich etwas hinterhältig versteckt im Taskmanager. Aber versuche mal das, was ich beschrieben habe, das schafft dir schon einiges vom Hals. P.S.: Nicht schlimm oder wichtig, aber mein Nick ist MountainKing, YIYA ist nur eine Seite in meiner Signatur. :) |
Hallo YAYA hier ist wieder der extremfall.Mein Tasktmanager funktioniert aber .Mit dem können wir ja z.Zt. nur arbeiten,sonst wäre ich nicht mal im Internet.So, gestern Abend war ich ehrlich total überfordert.Ich habe die Seite für den E scan aufgerufen und hab geguckt wie ein Sch... ins Uhrwerk.Muß ich da alle 7 Links runterladen oder eine Seite weiter auf den Button Download und den e scan 2003 runterholen? Du kannst jetzt lachen,aber ich schrieb ja-wieblich und blond.Ach ja-Mann müßte man sein... |
Also ich fände es etwas langweilig, wenn es nur Männer gäbe. :P Nein, du musst nur einen der Links anklicken und dir das Programm herunterladen. Wenn das geschafft ist, erstellst du einen Ordner namens c:\bases (steht auch so beschrieben), danach klickst du mit der rechten maustaste auf die heruntegeladene datei und wählst "Entpacken nach" (oder so ähnlich, hängt von deinem Programm ab), dann wählst du den eben erstellten Ordner aus. Danach gehts dann weiter wie in dem Link beschrieben. |
Lasse gerade den scanner durchlaufen.SCHOOOOOOOCK ! :teufel1: Bin schon bei Virus/Trojaner Nr.81. Habe aber den abgesicherten Modus vergessen-läuft so durch.Macht das was? |
Es wäre in der Tat besser, wenn du den abgesicherten Modus nimmst, weil es Viren/Trojaner gibt, die gezielt bestimmte Scanner behindern und diese werden im abgesicherten Modus nicht mit geladen. Du solltest das also auf jeden Fall trotzdem nochmal im abgesicherten Modus machen. Bitte schreib dir auch die genauen Namen der gefundenen Schädlinge auf und dann hier mit in den Thread. Ich fürchte ja, du wirst um eine Neuinstallation kaum herumkommen. |
habe überwiegend diese Trojaner und Viren angezeigt bekommen Backdoor.SdBot.jt not-a-virus:AdvWare.Wesbar not-a-virus:AdvWare.Cydoor Trojan.Win32.Spabot.e Backdoor Aforce.t ich lasse diese Programm noch einmal in dem abgesicherten Modus laufen. Was muss ich danach machen? Danke |
Um ganz ehrlich zu sein, solltest du dein System neu machen, also deine Festplatte formatieren und Windows neu installieren, denn du hattest/hast Backdoorprogramme laufen, die Angreifern alle Möglichkeiten geben, deinen Rechner zu manipulieren und auch diverse Scanner können keine Garantie für ein sauberes System mehr geben. Das würde nur mit einer Neuinstallation möglich sein. Hast du denn jemand an der Hand, der dir dabei helfen könnte? Poste auf jeden Fall nach dem Scan im abgesicherten Modus ein neues Log von HJT. |
Das mit dem abg.Modus klappt nicht.Ich komme nicht ins Internet um die Seit e www.bsi.bund.de.......aufzurufen.gibt es nicht ein ordentliches Virenprogramm wo ich was löschen kann? |
Probiere es mal hier: http://www.trojaner-board.de/63335-w...s-starten.html Du musst beim Starten des PC die Taste F8 drücken, dann kommt ein Auswahlmenü, wo du auf "Abgesicherter Modus" gehst. |
OH JE , Sorry aber meine letzte Antwort war voll daneben. Ich habe es geschafft, aber es hat mir nicht einen einzigen Virus angezeigt. Nun verstehe ich garnichts mehr.Der E scann, spürt er nur auf oder löscht der auch gleichzeitig? |
Nein, der löscht auch oder benennt die Dateien um, du kannst in der Logdatei mwXface.log die sich im Ordner bases befindet, auch genau nachsehen, was er gemacht hat. Erstelle bitte noch mal ein Logfile mit Hijackthis. |
Logfile of HijackThis v1.98.2 Scan saved at 21:14:54, on 15.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE c:\WINDOWS\Fonts\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\T-Online\T-Online_Software_5\Browser\browser.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\Angela\Eigene Dateien\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing) O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing) O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe" O4 - HKLM\..\Run: [zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [minimo] c:\WINDOWS\Fonts\svchost.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\RunOnce: [*zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: concept/design's onlineTV - {9EC89FE7-1298-44FF-A0AF-6D9AB6054313} - C:\Programme\onlineTV\onlineTV.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) - O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - O16 - DPF: {978A4DB6-D22A-4D55-B350-DAB71097BF69} (Wsd Control) - O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) - O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - O17 - HKLM\System\CCS\Services\Tcpip\..\{35761A2A-2DE4-4BA7-91BC-1D97F6DAC7B6}: NameServer = 217.237.151.33 217.237.149.225 ist dass das richtige? |
Das ist noch ein altes, hoffe ich zumindest, denn da ist der ganze Mist ja noch drin. Nochmal wie beim ersten Mal HJT starten, Scan drücken, Save log drücken und dann die alte datei überschreiben, dann wieder alles hieher kopieren- |
Logfile of HijackThis v1.98.2 Scan saved at 21:43:28, on 15.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE c:\WINDOWS\Fonts\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\explorer.exe C:\Programme\T-Online\T-Online_Software_5\Browser\browser.exe C:\Dokumente und Einstellungen\Angela\Eigene Dateien\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing) O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing) O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe" O4 - HKLM\..\Run: [zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [minimo] c:\WINDOWS\Fonts\svchost.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\RunOnce: [*zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: concept/design's onlineTV - {9EC89FE7-1298-44FF-A0AF-6D9AB6054313} - C:\Programme\onlineTV\onlineTV.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1083276679984 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) - O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab O16 - DPF: {978A4DB6-D22A-4D55-B350-DAB71097BF69} (Wsd Control) - http://install.sofortzugang.com/dial...b?x=1047497548 O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) - O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{35761A2A-2DE4-4BA7-91BC-1D97F6DAC7B6}: NameServer = 217.237.151.33 217.237.149.225 So, ist jetzt überspielt worden |
Wie gesagt, du solltest deinen rechner komplett neu machen und Windows installieren, das wäre das Allerbeste, kennst du nicht jemanden, der dir da helfen kann? Ansonsten müssen wir es nun mal so probieren, Systemwiederherstellung deaktivieren: http://www.systemwiederherstellung-d...indows-xp.html Mit Hijackthis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken): c:\WINDOWS\Fonts\svchost.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebs R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebs O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing) O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe" O4 - HKLM\..\Run: [minimo] c:\WINDOWS\Fonts\svchost.exe O4 - HKLM\..\RunOnce: [*zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom O16 - DPF: {978A4DB6-D22A-4D55-B350-DAB71097BF69} (Wsd Control) - http://install.sofortzugang.com/dia...ab?x=1047497548 Danach startest du wieder in den abgesicherten Modus und suchst die folgenden Dateien und löschst sie: c:\WINDOWS\Fonts\svchost.exe (UNBEDINGT darauf achten, dass es exakt diese ist, im Ordner Fonts!) C:\Programme\DelFin\PromulGate\PgMonitr.exe Danach startest du wieder normal, aktivierst die Systemwiederherstellung wieder und erstellst wieder ein NEUES Logfile und postest es. |
Könnte es mit meiner Tochter machen,aber so genau weiss sie dann auch nicht bescheid. Wir haben ja windows XP schon einmal neu installiert,haben aber noch 2 andere Versionen drauf.Wie bekommen wir die anderen 2 Versionen gelöscht bzw dürfen/können wir dann die 2 anderen Betiebssysteme löschen (alles XP) ? |
Habt ihr mehrere Festplatten bzw. Partitionen? Du meinst wahrscheinlich Benutzerkonten, also nach dem Start von Windows erscheint ein bildischrm, wo sich dann entweder du oder deine Tochter anmeldet. Eine Neuinstallation würde so aussehen: http://8ung.at/chemikers-home/SETUP.html wenn es so ist, wie ich denke, wäre wirklich alles neu, es wären alle Benutzerkonten weg. |
also ich (die Tochter) schreibe jetzt. Benutzerkonten haben wir auch,ja,aber das sind,wo man die Datein bzw Bilder etc.auf seinem Konto abspeichern kann,dass weiss ich. Wir haben insg. 3 Betriebssystemen,alles XP und mom.sind wir auf dem 2 Betriebssystem XP drauf,weil dort noch alle Datein und Programme vorhanden sind. Auf dem 1 ist das gesammte Betriebssystem tot,da passiert gar nix mehr (das war auch mal mit Viren verseucht,da hat Muddern das 2te installiert und das ist jetzt auch verseucht und da hat Muddern das 3 installiert). Und im 3. ten müssten wir microsoft,den t-online messenger etc. (alle Programme u. Hard-u Software) neu installieren und würden gerne wissen wollen, wie und ob man das 1.u2. Betriebssystem löschen kann. Das 3.te NEUE bt.sytm. befindet sich laut Rechner Auskunft auf lokalem Datenträger F:// ... (Partition) Hoffe du kannst es so halb wegs vertehen, da ich auch blond bin :D hi hi Nachricht von Muddern: Vielen Dank für die Hilfe-hätte soviel hilfsbereitschaft nicht erwartet, wenn ich könnte, würde ich Dir jetzt ein küsschen dafür schenken :knuddel: :P *gg* |
Wer hat euch denn die Partitionen erstellt und wie viele habt ihr genau? Und wie kommt ihr in die "anderen" Betriebssysteme, gibt es da einen Auswahlbildschirm am Anfang? Ich sehe da noch nicht so ganz durch, was aber sicher nicht an deiner Haarfarbe liegt. :) Also im Moment geht es um das, was auf C:\ passiert. |
Hallo HK,erstmal guten morgen.Ich komme heute späten nachmittag wieder hier rein .Muß jetzt erst mal arbeiten gehen.Ich hatte ein neues Windows schon vorher installiert ,bevor ich Euer Forum besucht habe,aber mit der Recovery CD.Wir würden nur gerne auf der C:bleiben,wo wir jetzt momentan sind und die großen Schwierigkeiten haben,wegen der ganzen Programme und so.Die Patition für die dritteInstallation habe ich selber ausgewählt,es war eine leere vorhanden die ich einfach genommen habe um darauf das neue XP von der Recovery zu installieren. Gruß Angela bis denni |
Logfile of HijackThis v1.98.2 Scan saved at 17:37:36, on 21.04.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE c:\WINDOWS\Fonts\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Dokumente und Einstellungen\Angela\Eigene Dateien\Eigene Datenquellen\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe O4 - HKLM\..\Run: [Trickler] "c:\windows\temp\adware\fsg_4104.exe" O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s O4 - HKLM\..\Run: [minimo] c:\WINDOWS\Fonts\svchost.exe O4 - HKLM\..\RunOnce: [*zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKCU\..\RunOnce: [BullguardoptIn] C:\WINDOWS\Temp\BullGuard\bulldownload.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: concept/design's onlineTV - {29F40796-7F12-489E-9E79-399836F9D6FE} - C:\Programme\onlineTV\onlineTV.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1083276679984 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) - O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) - O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab |
Also, wir waren jetzt in diesem Fonds Ordner, haben aber nicht die svchost.exe gefunden. Dann haben wir eine Suche durchlaufen lassen vom Computer, der hat uns nur diese rot eingekreiste svchost datei angezeigt. Dann wollten wir sie (nach der suche) löschen und dann kam folgende nachricht: svchost kann nicht gelöscht werden: Der Zugriff wurde verweigert. Stellen sie sicher, dass der Datenträger weder voll noch schreibgeschützt ist und die Datei gerade nicht verwendet wird. Habe diese Suche mal mit "Print Screen" fetsgehalten und dir das bild mal hochgeladen (siehe den Link) und das rot eingekreiste ist die exe, die wir denken, die nicht zu löschen geht. http://people.freenet.de/xxPrinzessinxx/die_exe_1.JPG |
Zunächst im Explorer auf Extras/Ordneroptionen/Ansicht dort den Haken bei "Erweiterungen bei bekannten Dateitypen" RAUS, bei "Geschütze Systemdateien ausblenden" RAUS, bei "Inhalte von Systemordnern anzeigen" REIN. Dann in den abgesicherten Modus starten und diese Datei löschen (ich hoffe, das klappt). Dann mit HJT "fixen": R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1 O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe O4 - HKLM\..\Run: [Trickler] "c:\windows\temp\adware\fsg_4104.exe" O4 - HKLM\..\Run: [minimo] c:\WINDOWS\Fonts\svchost.exe O4 - HKLM\..\RunOnce: [*zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1 O9 - Extra button: concept/design's onlineTV - {29F40796-7F12-489E-9E79-399836F9D6FE} - C:\Programme\onlineTV\onlineTV.exe O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - Neu starten und wieder ein neues Logfile machen. |
Logfile of HijackThis v1.98.2 Scan saved at 17:34:53, on 22.04.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\Dokumente und Einstellungen\Angela\Eigene Dateien\eign.datenquellen\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s O4 - HKLM\..\Run: [zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1 O4 - HKLM\..\RunOnce: [*zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\RunOnce: [BullguardoptIn] C:\WINDOWS\Temp\BullGuard\bulldownload.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1083276679984 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) - O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) - O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab |
Wir haben auf dem Deskop jetzt wieder alle Verknüpfungen wieder druaf und haben dadurch festgestellt, dass auf einmal neue Programme Installiert worden sind, die wir nicht kennen. z.B.: PeerPoints Manager <<< kann es sein, dass die von dem SP2 stammen die meine Mutter schon installiert hatte??? Wir haben die svchost.exe im Ordner nach langem hin und her, nach vielen Umwegen geschafft, sie zu löschen (hoffen wir). |
Peer Points Manager hängt soweit ich weiss mit Kazaa zusammen und ist Spyware, hat zumindest sicher nichts mit dem SP2 zu tun. Deaktiviert die Systemwiederherstellung (siehe oben). Das habe ich noch nie so gesehen: O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto ich würdes es mit Hijackthis fixen. Außerdem noch: O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s O4 - HKLM\..\Run: [zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1 O4 - HKLM\..\RunOnce: [*zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1 Danach wieder starten, die Systemwiederherstellung wieder einschalten und ein neues Log erstellen. |
Hallo MK , bin jetzt wieder da. Also die Programme sin nach dem ersten Start seit Freitag immer noch auf dem Desktop vorhanden,Gott sei Dank.Jetzt wird mir aber nach dem Anmelden auf dem Benutzerkonto folgende Mitteilung angezeigt : ,,Sie haben das Systemkonfigurationsprogramm verwendet um einige Änderungen an den Windows-Startoptionen vorzunehmen.Das Systemkofigurationsprogramm befindet sich zur Zeit im Diagnosemodus oder im Modus für den benutzerdefinierten Systemstart.Daher wird diese Meldung angezeigt und dieses Programm bei jedem Windows-Systemstart ausgeführt. Wählen Sie den normalen Systemstart auf der Registerkarte ,,Allgemein,, Um Windows normal zu starten und sämtliche änderungen , die unter Verwendung des Systemkonfigurationsprogramm durchgeführt wurden..... Ich traue mich nicht diese Einstellung vorzunehmen weil ich Angst habe das dann wieder alles verschwunden ist.Ich habe doch keine Änderungen bewusst durchgeführt, oder doch? und muß ich deine Mitteilung wieder im abgesichertem Modus durchführen?? Gruß Angela |
Das habe ich noch nie so gesehen: Ach so ,Ich habe mal per COMPUTERBILD einige Einstellungen vorgenommen.Vielleicht kommen die Bezeichnungen daher. |
Die Meldung kommt, weil du vor dem Fixen die Systemwiederherstellung nicht ausgeschaltet hast: http://www.trojaner-board.de/63335-w...s-starten.html Mach das, was dort vorgeschlagen wird, dann deaktiviere die Wiederherstellung, fixe die Einträge, starte wieder und schalte die Wiederherstellung wieder ein. |
Logfile of HijackThis v1.98.2 Scan saved at 14:26:59, on 19.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\Dokumente und Einstellungen\Angela\Eigene Dateien\eign.datenquellen\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1 O4 - HKLM\..\RunOnce: [*zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1083276679984 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) - O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) - O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab |
Ist das Logfile aus dem normalen Modus und hast du schon was von den Sachen gefixt, die ich aufgezählt habe? Also, wieder die Systemwiederherstellung deaktivieren, dann fixen: O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1 O4 - HKLM\..\RunOnce: [*zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1 wieder starten, systemwiederherstellung wieder an und neues Log. |
haben das aus dem abgesicherten Modus gemacht. Okay machen es morgen noch mal. Gute Nacht |
Die Logfiles bitte IMMER im normalen Modus machen, sonst sind sie weniger aussagekräftig. |
Logfile of HijackThis v1.98.2 Scan saved at 16:31:29, on 20.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe C:\Dokumente und Einstellungen\Angela\Eigene Dateien\hijackthis1982\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1 O4 - HKLM\..\RunOnce: [*zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1083276679984 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) - O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) - O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab Ich hoffe jetzt das es richtig ist |
Das ist das richtige Log. Hast du denn diese Einträge mal gefixed, die hatte ich schon ein paar mal aufgeführt, oder kommen die einfach immer wieder? O4 - HKLM\..\Run: [zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1 O4 - HKLM\..\RunOnce: [*zshqcj] rundll32 C:\WINDOWS\system32:zshqcj.dll,Init 1 Die automatische Auswertung erkennt sie zwar als ungefährlich, aber das glaube ich irgendwie nicht. HAst du ein Programm namens DocuMagix? Kannst du mal die zshqcj.dll suchen (wahrscheinlich im windows\system 32-ordner) und hier; http://virusscan.jotti.org/de überprüfen lassen (auf durchsuchen gehen dann den pfad zur datei und dann die datei selbst anklicken und auf ok, dann submit)? |
Hallo M K erst mal wieder danke, daß Du mir so behilflich bist. Na klar habe ich die gefixt. (Ich könnte langsam anfangen was anderes zu fixen) HI HI- Die kommen immer wieder. Ich habe heute mal mein ANTIVIRUS -Programm durchlaufen lassen.Es hat mir ein Trojaner angezeigt,die Datei habe ich gelöscht.Mir ist ja die ganze Sache schon langsam peinlich ,aber vor dem fixen muß ich doch deine aufgeführten Angaben mit einem Häckchen versehen,oder?????Du hast Dir hier eine Berlinerin eingefangen und die sind manchmal sehr komplitiert und chaotisch!!!!!!!!!!!!!!!!!Was kann ich jetzt machen? |
Zitat:
Haken setzen und auf Fix Checked klicken. ;) |
Welcher freundliche Helfer bist du denn??? |
Cidre, steht doch da. :D Was ergab die Überprüfung der Dateien? |
Ha ha lesen kann ich auch.Die Überprüfung hat nichts ergeben.Die Datei ist nicht zu finden . Ich weiß aber, das die in Microsoft word vorhanden ist.die läßt sich aber nicht löschen.Ich habs schon parmal versucht.Gruß Angela |
Hast du vor dem "Fixen" jeweils die Systemwiederherstellung deaktiviert? Ust sehr wichtig...alternativ kannst du noch mal versuchen, in den abgesicherten Modus zu starten und dort zu "fixen" (da brauchst du die Systemwiederherstellung nicht vorher auszuschalten). |
Ich habe alles korrekt ausgeführt.Die kommen immer wieder. Ich vermute ,daß es mit demHijackthis zu tun hat.Ich habe edie Ergebnisse vorm reinstellen in WORD bzw. Winword abgespeichert. Doert erscheint auch die zshqcj unter ,,Dukoment öffnen ,,.Wenn ich das dann öffne stehen dort ganz komische Zeichen,aber läßt sich nicht löschen.Dises DocuMagix habe ich nicht. Gruß |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board