|
Zone Alarm schaltet automatisch ab ?!? Hallo Ihr, bin ganz neu im Forum und möchte mich erst mal vorstellen. Bin 31 komm vom schönen Bodensee und Ihr könnt mich Lüff schimpfen. Wie bei vielen anderen hat mich ein riesiges Problem auf Eure Seite gebracht. Seid kurzem komme ich nicht mehr ins I-Net. Wir haben einen DSL Router und alle Einstellung sind OK. Habe mein System ganz neu draufgenudelt und nur Probleme damit ( WIN XP Prof. mit AMD Athlon 3000+ 1G Speicher tec.). Nun kam ich vom Essen an meinen Rechner und ZoneAlarm war aus.....ich dachte noch hä :-?...aber als ich es wieder starten wollte ging es kurz danch wie von Geisterhand wieder aus...und seid dem komme ich auch nicht mehr ins Netz...hatte mit meinem alten System und einer damals noch (unoffiziellen XP Version) keinen Probleme :koch: ...komischerweise findet aber auch Spybot S&D gar nichts mehr...früher waren da immermal wieder ein paar Spuren..aber nun....ales immer OK...glaub ich aber nicht... Würde mich freuen wenn ihr mir helfen könntet...ach ja, im Taskmanager finde ich jetzt ein neue Anzeige tibs3 :-???. Lüff |
Erstelle mit hijackthis einen Log und stelle ihn hier ins Forum Download+ Anleitung gibts hier http://www.trojaner-board.de/51130-a...ijackthis.html |
Danke Dir cronos, hier der LogFile Logfile of HijackThis v1.99.0 Scan saved at 19:57:26, on 08.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE F:\Programme\Logitech\iTouch\iTouch.exe C:\WINDOWS\System32\tibs3.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe F:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE f:\Programme\Logitech\MouseWare\system\em_exec.exe F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe F:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\System32\mshta.exe C:\WINDOWS\explorer.exe F:\Downloads\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de/ie R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://google.de R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Markus`s I-Explorer R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINDOWS\system32\pidd.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [zBrowser Launcher] f:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [Zone Labs Client] "f:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [Personal ID] F:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = F:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - (no file) O15 - Trusted Zone: http://*.69sexsearch.com O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\nosuch.mht!http://xzy.aflashcounter.com/a/masta.chm::/exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104172058703 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www.nfq.de/hb/plugin/mssurvid.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DB5C6059-E5CA-499F-82AD-C0E3226FFB3B}: NameServer = 192.168.2.1 O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Danke Lüff :crazy: |
Hi, lueff, folgendes gehört mit HJT im abgesciherten Modus gefixt: R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Markus`s I-Explorer O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - (no file) O15 - Trusted Zone: http://*.69sexsearch.com O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\nosuch.mht!http://xzy.aflashcounter.com/a/masta.chm::/exe Wenn Du folgende nicht kennst/willst, ebenfalls fixen: O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www.nfq.de/hb/plugin/mssurvid.cab Folgende läßt du bitte bei Jotti online scannen: C:\WINDOWS\system32\pidd.dll C:\WINDOWS\System32\tibs3.exe bitte berichte über das jeweilige Ergebnis (sind jeweils 11 Zeilen) Anschließend normal booten und neues Logfile erstellen. Prüfe dann Deine vertrauenswürdigen Seiten (trusted zones) auf ihre Sicherheitseinstellungen. cacatoa |
Cacatoas Worten ist nur noch eins hinzuzufügen. Du benötigst auch noch Microsofts Service Pack 2.Welches unter dem folgenden Link zu haben ist. ------------->Download <------------- |
Hallo Cronos, hi cacatoa, vielen lieben Dank für Eure Tips :-) Aber um mal ganz ehrlich zu sein...wie kann ich bzw. was bedeutet "musst Du fixen im Abgesicherten Modus" ? In Klammern setzen oder ganz die Schlüssel löschen ? Habe mal im Normalmodus nachgeshen und dort finde ich die Einträge gar nicht..denkt Ihr denn ich kann dann wieder online gehen ? Wenn nicht, kann ich ja auch nicht online scannen ?! Also nochmals lieben Dank Lüff Komm ich denn um die SP 2 nicht rum ? HAb so viel negatives gelesen.... |
Hi, Fixen im abgesicherten Modus hießt, nach dem scan die von mir bechriebenen Punkte mit einem Häkchen markieren und unten auf "fix checked" clicken. Wie schauts mit den Jotti-Ergebnissen aus? Mit SP 2 hatte ich noch nie irgendein Problem; hier wird viel geredet und viele sog. Probs sind hausgemacht. Grüße cacatoa |
Hallo Cacota, habs soeben gemacht....... mich machen die Einträge mit Symantec auch ein wenig stutzig...hab keine Antivieren Programm drauf... Werde jetzt gleich mal schaun ob ich online gehen kann und werde dann die Scans einstellen.... ALSO: Geht immer noch nichts....leider...zonealarm geht sofort nach dem Start wieder offline und ich komme nur für ca. 2 sec. online...das reicht leider nicht zum scannen.....werde nochmals HJT drüber laufen lassen und schaun ob noch was rumfliegt... |
Ich kann zwar keine symantec-Einträge finden, aber die ppupdates usw (also die letzten drei) würde ich fixen. cacatoa |
Also cacota, hab soeben noch mal einen Log erstellt: Logfile of HijackThis v1.99.0 Scan saved at 11:15:16, on 09.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE F:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe F:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE f:\Programme\Logitech\MouseWare\system\em_exec.exe F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe F:\Programme\WinZip\WZQKPICK.EXE F:\Downloads\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://google.de R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Markus`s I-ExplorerIST OK!!! R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINDOWS\system32\pidd.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [zBrowser Launcher] f:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [Zone Labs Client] "f:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [Personal ID] F:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = F:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - WAS IST DAS??http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104172058703 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DB5C6059-E5CA-499F-82AD-C0E3226FFB3B}: NameServer = 192.168.2.1 O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe So...aber online kann ich immer noch nicht *heul* |
Ich dreh gleich durch..*heul* Habe nach einem Neustart nochmals gescannt..und alles schien mir OK.... Dacht kann ja nicht schaden wenn ich ZA mal ganz runter schmeiß und nochmals neu drauf mache..also alle Schlüssel raus nach der Deinstall und Neustart und dann installationsroutine...und siehe da...schon bei den Einstellung ist ZA wieder wech.....was zum Geier ist DAS??? Und ich kann keinen Meter mehr online.... Finde aber bei den aktiven Tasks nicht...gar nichts..... :heulen: :heulen: :heulen: |
Hi, lueff, arbeitest Du von einem anderen Rechner aus? Kannst Du damit auch die Datei: C:\WINDOWS\system32\pidd.dll nicht online bei Jotti scannen? Hatte eben ein Brett vor´m Kopf; natürlich habe ich die Symantecs gesehen. Hattest du veillleicht mal irgendwann Norton drauf? Er ist bekannt dafür, daß er nach der Deinstallation immer noch Relikt draufläßt.. cacatoa |
Hi Cacota, nein habe nie Norton drauf gehabt...aber mal einen online scan durchgeführt glaub ich...evt. sind das noch die Reste...ja, arbeite momentan vom Laptop....aber ich komme nicht auf meinen anderen Rechner trotz Netzwerk...wie soll ich denn die DAtei über einen anderen Rechenr Scannen ? Sorry wenn ich mich so blöb anstelle...aber ich bin eben doch mehr User als Builder ;-). Habe aber CDN WIN TOOL PROF drauf etc. aber komischerweise dauert auch das runterfahren jetzt noch länge als mit mienen "manuellen" Einstellungen...so ca. 40 sec. Würde mich freuen wenn Du mir nochmals kurz Antworten könntest wie ich denn die Datei scann kann bei Jotti. Kann aber vom PID Stic kommen denke ich... Markus (Lüff) |
@ Lueff: Jetzt machen wir was anderes: Lade Dir von einem funktionierenden Rechner den eScan in dieser Version (mwav.exe) herunter. Erstelle auf Diesem Rechner einen Ordner C:\bases (wichtig!!). Entpacke die mwav.exe in diesen Ordner. Führe ein update aus (kavupd.exe) Brenne alles auf eine CD. Scanne dann Dein System (mwavscan). Kreuze an: "scan all local drives". Lasse eScan laufen (Dauer ca. 1 Std.) Berichte was er gefunden hat. cacatoa |
Ja, mach ich.....und Danke schon mal.... :bussi: |
@ lueff: Nur mal so: Wieso brauchst Du zone alarm (software-firewall), wenn Du eh einen Router hast (hardware-firewall)? cacatoa |
so nun noch mal ne kleine Frage: Kann eScan die Vieren auch bereinigen ? Ist es ratsam eScan zu kaufen ? Habe mich eigentlich immer erfolgreich gegen Antivir. gew. finde das Scanner die Rechenr so lahm machen..und wie gesagt, mit meinem "alten" System hatte ich nie Problem mit ernsthaften "Gegnern". nochmals Greez vom Bodensee lüff PS: Und Du meinst SP2 drauf....und ZA ist OK oder ? |
Gute Frage... habe mich damit noch nie auseinander gesetzt..reicht denn der HWF aus ? Denke immer das der alles dicht macht wenn ich die Sicherheit erhöhe.... |
Hi, lueff, erstens: Die Version von eScan, die ich Dir verlinkt habe, entfernt die Bösartigkeiten noch (alte Version). Zweitens: nochmal die Frage nach ZA und Router? cacatoa Mach Dich mal auf die Board-Suche zum Thema HWF... |
Denke mal Du hast meinen Beitrag nicht bzw. noch nicht gelesen...fahre ja über den Router...aber wie gesagt...die Einstellungen sind schon auf einigermassen sicher...aber mehr hab ich mich nicht getraut...und ist die HWF denn wirklich sicher...mein Rechner scheint ja einiges abbekommen zu haben trotz Router....und ich dachte schaden kanns ja nicht....ging ja bis jetzt auch immer gut... lüff |
Hab meinen letzten post editiert; hast Du noch nicht gesehen ;) Außerdem wissen wir ja nochnicht, ob der Rechner wirklich was abbekommen hat, oder ob das Prob ganz woanders liegt. Warten wir mal das Ergebnis des eScan ab (bitte hier reinposten; geht folgendermaßen: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. Bis gleich. Schau mal in deine PN. cacatoa |
So, scan fertig...aber ich finde die Datei nicht. Steht die im TEmp Ordner ? Habe den Scan von CD ausgeführt...oder soll ich eScan mal auf Platte spielen und von dort aus starten ?! Hat irgendwas mit 49 Infectet und 35 korregiert angezeigt gehabt.... |
Sorry, war mein Fehler :headbang: :headbang: :headbang: Wo soll er sie den hinspeichern? Auf CD kann er nicht. Suche mal nach einer Datei die mwav.log heißt auf dem Rechner; vielleicht hat er sie irgendwo abgelegt. Ansonsten hat er das, was er gefunden hat, eh vernichtet. Poste dann noch ein neues Logfile. cacatoa |
Ja, gell...aber hab nichts gefunden...soll ich nochmal von einer Festplatte aus scannen ? Logfile of HijackThis v1.99.0 Scan saved at 13:47:27, on 09.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE F:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe f:\Programme\Logitech\MouseWare\system\em_exec.exe F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe F:\Programme\WinZip\WZQKPICK.EXE F:\Downloads\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://google.de R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Markus`s I-Explorer R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINDOWS\system32\pidd.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [zBrowser Launcher] f:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [Zone Labs Client] "f:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [mwavscan] "E:\bases\mwavscan.com" /s O4 - HKCU\..\Run: [Personal ID] F:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = F:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104172058703 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DB5C6059-E5CA-499F-82AD-C0E3226FFB3B}: NameServer = 192.168.2.1 O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Aber I-Net geht trotzdem nicht mehr....kein Chance...komisch.... |
hab ich mir gedacht, wo hätte er es hinschreiben sollen. Mich würde interessieren, was er macht, wenn du nochmal scannst (von Platte). Wenns dann immer noch nicht geht, dürfen wir uns was einfallen lassen... Evtl stimmt Deine Netzwerk-Konfig nicht. cacatoa |
@cacota, Nein, Netz müsste stimmen...zumindest was ich sehen kann...hängen gerade noch zwei Rechner mit identischen Einstellungen am Netz...scheint mir fast so. als würden die Datenpacks gar nicht raus gehen...irgendwas blockt da den Datenverkehr....bei Status von LAN sind bei Aktivität Gesendet 369 und Empfangen 122...und dies bei gut 40min Dauer....das kann unmöglich stimmen.....WINS eigener Taskmanager zeigt nicht wirklich alle laufenden Prozesse an, oder ? Ich glaub das nicht.....irgendwas ist hier faul....was mich vorallem stutzig macht, ist die Tatsache das trotz popup Blocker bei surfen ständig die lästigen Dinger kamen.... Ach ja, bin gerade nochmal am Scannen... |
Kommst du im abgesicherten Modus raus? |
Keine Ahnung....geht das jetzt ? Muss ich dann mit allen Netzwerktreibern laden eingeben ? Werde es nach dem Scan mal testen..... Bin eh erstaunt das sogar das scrollrad ging im abgesicherten....war dort seid dem Umstieg auf XP nicht mehr.... |
Test ist gut. Sag´mir bitte, wie es funktioniert. cacatoa |
So Scan fertig: Aber keine Ergebnisse werde einen Auszug trotzdem mal Posten. Sun Jan 09 14:53:08 2005 => ***** Scanning C:\WINDOWS Folder ***** Sun Jan 09 14:53:08 2005 => ***** Checking for specific ITW Viruses ***** Sun Jan 09 14:53:08 2005 => Checking for Welchia Virus... Sun Jan 09 14:53:08 2005 => Checking for LovGate Virus... Sun Jan 09 14:53:08 2005 => Checking for CodeRed Virus... Sun Jan 09 14:53:08 2005 => Checking for OpaServ Virus... Sun Jan 09 14:53:08 2005 => Checking for Sobig.e Virus... Sun Jan 09 14:53:08 2005 => Checking for Winupie Virus... Sun Jan 09 14:53:08 2005 => Checking for Swen Virus... Sun Jan 09 14:53:08 2005 => Checking for JS.Fortnight Virus... Sun Jan 09 14:53:08 2005 => Checking for Novarg Virus... Sun Jan 09 14:53:08 2005 => ***** Scanning complete. ***** Sun Jan 09 14:53:08 2005 => Total Number of Files Scanned: 73123 Sun Jan 09 14:53:08 2005 => Total Number of Virus(es) Found: 13 Sun Jan 09 14:53:08 2005 => Total Number of Disinfected Files: 0 Sun Jan 09 14:53:08 2005 => Total Number of Files Renamed: 0 Sun Jan 09 14:53:08 2005 => Total Number of Deleted Files: 0 Sun Jan 09 14:53:08 2005 => Total Number of Errors: 9 Sun Jan 09 14:53:08 2005 => Time Elapsed: 00:57:33 Sun Jan 09 14:53:08 2005 => Virus Database Date: 2005/01/09 Sun Jan 09 14:53:08 2005 => Virus Database Count: 115062 Sun Jan 09 14:53:08 2005 => Scan Completed. Ist wohl nichts dabei.... Test mit online folgt.. gleich... LOG aus Abgesichertem Modus in dem ich im übrigen ohne Probleme online gehen konnte :balla: Logfile of HijackThis v1.99.0 Scan saved at 15:07:09, on 09.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE F:\Downloads\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://google.de R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Markus`s I-Explorer R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINDOWS\system32\pidd.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [zBrowser Launcher] f:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [Zone Labs Client] "f:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [mwavscan] "E:\bases\mwavscan.com" /s O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\vtd_16.exe !! O4 - HKCU\..\Run: [Personal ID] F:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = F:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104172058703 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DB5C6059-E5CA-499F-82AD-C0E3226FFB3B}: NameServer = 192.168.2.1 O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe gruss Markus |
Hi, lueff, Logfile aus abgesichertem Modus bringt nichts. Was heißt das denn: Sun Jan 09 14:53:08 2005 => Total Number of Virus(es) Found: 13 Jetzt aber bitte in der mwav.log nachschaun, was es war... |
Hab ich nachgeschaut...hat aber nix gefunden...deshalb bin ich ja so verwundert.... Bin jetzt mal für ein stündchen oder so wech...werde mich nachher nochmal drum kümmern...bis dahin schon mal ganz lieben dank lüff |
gib´ mal bei der Suche anstelle von "infected" das wort "tagged" ein. Bis später. cacatoa |
So@cacota, bin wieder da und habe die Files ausgewertet...anbei die Liste. Sun Jan 09 14:22:42 2005 => File H:\Programme\NewDotNet\newdotnet6_38.dll tagged as not-a-virus:AdWare.NewDotNet. No Action Taken. Sun Jan 09 14:22:43 2005 => File H:\Programme\QuickSearch\QuickSearchBar1_27.dll tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken. Sun Jan 09 14:23:10 2005 => File H:\Programme\themexp\Themexp.org File\NNEZTA388.exe tagged as not-a-virus:AdWare.NewDotNet. No Action Taken. Sun Jan 09 14:23:10 2005 => File H:\Programme\themexp\Themexp.org File\TBEZA127Q.exe tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken. Sun Jan 09 14:33:52 2005 => File I:\Programme\Downloads\DivX503Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Jan 09 14:34:35 2005 => File I:\Programme\Downloads\Lady_Start\68708.exe tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken. Sun Jan 09 14:34:36 2005 => File I:\Programme\Downloads\Login_Bildschirm\81446.exe tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken. Sun Jan 09 14:35:21 2005 => File I:\Programme\Downloads\setupmp3towav.exe tagged as not-a-virus:AdWare.Gator.1050. No Action Taken. Sun Jan 09 14:44:06 2005 => File I:\Programme\MP3 to WAV Decoder\ezStub.exe tagged as not-a-virus:AdWare.EZula.ai. No Action Taken. Sun Jan 09 14:44:07 2005 => File I:\Programme\MP3 to WAV Decoder\Trickler_PIC_M3_Development.exe tagged as not-a-virus:AdWare.Gator.1050. No Action Taken. Sun Jan 09 14:46:31 2005 => File I:\Programme\Spybot - Search & Destroy 1.1\Recovery\eZulaHotText67.zip tagged as not-a-virus:AdWare.EZula.ae. No Action Taken. Sun Jan 09 14:46:31 2005 => File I:\Programme\Spybot - Search & Destroy 1.1\Recovery\eZulaHotText68.zip tagged as not-a-virus:AdWare.EZula.z. No Action Taken. Sun Jan 09 14:46:31 2005 => File I:\Programme\Spybot - Search & Destroy 1.1\Recovery\eZulaHotText79.zip tagged as not-a-virus:AdWare.EZula.ae. No Action Taken. und nochmals die nun richtig erstellte Logfile Datei Logfile of HijackThis v1.99.0 Scan saved at 17:41:30, on 09.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE F:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe f:\Programme\Logitech\MouseWare\system\em_exec.exe F:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe F:\Programme\WinZip\WZQKPICK.EXE F:\Downloads\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://google.de R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Markus`s I-Explorer R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINDOWS\system32\pidd.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [zBrowser Launcher] f:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [Zone Labs Client] "f:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [mwavscan] "E:\bases\mwavscan.com" /s O4 - HKCU\..\Run: [Personal ID] F:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = F:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104172058703 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DB5C6059-E5CA-499F-82AD-C0E3226FFB3B}: NameServer = 192.168.2.1 O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe so nun hoffe ich mal das Du damit etwas anfangen kannst ?! LG Lüff |
Hi, o.k., also die hier erst mal fixen und dann manuell löschen: R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINDOWS\system32\pidd.dll Aber jetzt fällt mir auf, daß HJT die Laufwerke H und I gar nicht untersucht hat, da kann ich dir lange Tipps geben, ohne daß es was hilft. Ich sehe z.B., daß escan einen New.Net Eintrag gefunden hat. New.Net ist durchaus verantwortlich, daß Du nicht mehr ins INet kannst. Also lade dir jetzt LSPFix runter, lass es laufen und ziehe die New.Net Einträge nach rechts und clicke auf "remove". Dann könnte es sein, daß du wieder isn INet kommst (für´s erste) Weiterhin lade dir AdAware SE runter, update es, und lass es laufen; mal schaun, was da noch alles kommt. Dann gehst Du in Spybot auf "Wiederherstellen" und löschst die Quarantäne-Datei. Zum Schluß löschst Du manuell die ganzen "Adware"-Dateien, die eScan gefunden hat (Nur Adware, nicht Tool.Win32.Reboot) Nach dem ganzen schickst Du bitte ein neues, ebenso komplettes Logfile. Das sollte doch langsam werden. Bin jetzt mal ne halbe Stunde weg, aber Du hast eh zu tun. cacatoa |
Hi cacota, ja, würde ich gerne, aber LSP findet nur folgende dlls: mswsock.dll winrnr.dll rsvps.dll und keine new.net einträge..... die Platten H und I sind meine alte Festplatte (IDE) und die habe ich in der Tat gerade eben erst wieder angehängt...könnte es sein, dass mein altes System diese ganz gut vertragen hat und das neue eben nicht ?! Habe nun ein Raid System. :crazy: |
Hi, lueff, bin erst mal ratlos. Mach aber trotzdem die Dinge, die wir bisher besprochen haben. Ich schau mich mal um... cacatoa |
so nun nach erledigter Arbeit nochmals einen kompletten Logfile Logfile of HijackThis v1.99.0 Scan saved at 19:40:39, on 09.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE F:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe F:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE f:\Programme\Logitech\MouseWare\system\em_exec.exe F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe F:\Programme\WinZip\WZQKPICK.EXE F:\Downloads\hijackthis199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://google.de R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Markus`s I-Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [zBrowser Launcher] f:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [Zone Labs Client] "f:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [mwavscan] "E:\bases\mwavscan.com" /s O4 - HKCU\..\Run: [Personal ID] F:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = F:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104172058703 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DB5C6059-E5CA-499F-82AD-C0E3226FFB3B}: NameServer = 192.168.2.1 O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe werde zur Sicherheit nochmals den eScan laufen lassen und poste dann wieder was der meint... im übrigen geht I-Net immer noch nicht.....und ZA geht auch nach kurzer Zeit wieder aus...trotz deinstall und erneuter install etc...krieg die Krise hier.... :headbang: |
Hi lueff, das kennst du sicher, oder: O4 - HKCU\..\Run: [Personal ID] F:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE F:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE Mir fällt sonst nichts mehr auf. Ich schau mich um und bitte um weitere Hilfe. cacatoa |
Ja, kenn ich...ist der PID Stick von coolspot. Ist schon OK.... evt. werde ich ihn aber mal rausschmeissen...wer weiß...... Danke Dir vielmals für Deine Mühen..... lüff |
Hallo lueff, ganz schön verzwickte Geschichte. Zitat:
Überprüfe mal folgende Dateien bei http://virusscan.jotti.org/de und poste das Ergebnis: rsvps.dll Danach entfernst du sie mit Hilfe von LSP-Fix. Von welchen PC schreibst du eigentlich? |
@ cidre Er benutzt sein Notebook. |
Hallo cidre, hi cacatoa, nun sind schon zwei damit beschäftigt mir zu helfen...weiß gar nicht wie ich es wieder gut machen soll.... komme aber mit meinem Rechner nicht online und kann deshalb auch die jotti geschichte nicht ausführen.. und cac. hat recht...schreibe mit Laptop und Rechner von Frau wegen Brenner und so..... im Moment läuft gerade nochmal eScan drüber...müsste aber in ca. 10min. fertig sein.. danke Euch lüff |
@ cacatoa Merci, hatte ich überlesen. @ lueff Deinstalliere nochmals ZoneAlarm und richte mal eine neue Netzwerkverbindung ein, siehe http://www.netzwerktotal.de/. |
So Netz ist noch nicht neu...aber ich denke ich habe dort auch alles richtig...habe feste IP weil dyn. nicht richtig ging bei uns im Netz. So und ZA ging auch bei neuinstall nicht lange und es passierte wieder das gleiche wie schon gepostet...:heul: Und hier die neugefunden Dinge aus eScan habe vorsichtshalber nochmals nach ellem gesucht auch die Error Files und habe alles angehängt...auch wenn eScan gar nichts mehr gefunden hatte :headbang: Sun Jan 09 20:50:34 2005 => ***** Scanning complete. ***** Sun Jan 09 20:50:34 2005 => Total Number of Files Scanned: 72335 Sun Jan 09 20:50:34 2005 => Total Number of Virus(es) Found: 1 Sun Jan 09 20:50:34 2005 => Total Number of Disinfected Files: 0 Sun Jan 09 20:50:34 2005 => Total Number of Files Renamed: 0 Sun Jan 09 20:50:34 2005 => Total Number of Deleted Files: 0 Sun Jan 09 20:50:34 2005 => Total Number of Errors: 9 Sun Jan 09 20:50:34 2005 => Time Elapsed: 00:56:13 Sun Jan 09 20:50:34 2005 => Virus Database Date: 2005/01/09 Sun Jan 09 20:50:34 2005 => Virus Database Count: 115062 Sun Jan 09 20:50:34 2005 => Scan Completed. Sun Jan 09 14:22:42 2005 => File H:\Programme\NewDotNet\newdotnet6_38.dll tagged as not-a-virus:AdWare.NewDotNet. No Action Taken. Sun Jan 09 14:22:43 2005 => File H:\Programme\QuickSearch\QuickSearchBar1_27.dll tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken. Sun Jan 09 14:23:10 2005 => File H:\Programme\themexp\Themexp.org File\NNEZTA388.exe tagged as not-a-virus:AdWare.NewDotNet. No Action Taken. Sun Jan 09 14:23:10 2005 => File H:\Programme\themexp\Themexp.org File\TBEZA127Q.exe tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken. Sun Jan 09 14:33:52 2005 => File I:\Programme\Downloads\DivX503Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Jan 09 14:34:35 2005 => File I:\Programme\Downloads\Lady_Start\68708.exe tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken. Sun Jan 09 14:34:36 2005 => File I:\Programme\Downloads\Login_Bildschirm\81446.exe tagged as not-a-virus:AdWare.ToolBar.Quick.a. No Action Taken. Sun Jan 09 14:35:21 2005 => File I:\Programme\Downloads\setupmp3towav.exe tagged as not-a-virus:AdWare.Gator.1050. No Action Taken. Sun Jan 09 14:44:06 2005 => File I:\Programme\MP3 to WAV Decoder\ezStub.exe tagged as not-a-virus:AdWare.EZula.ai. No Action Taken. Sun Jan 09 14:44:07 2005 => File I:\Programme\MP3 to WAV Decoder\Trickler_PIC_M3_Development.exe tagged as not-a-virus:AdWare.Gator.1050. No Action Taken. Sun Jan 09 14:46:31 2005 => File I:\Programme\Spybot - Search & Destroy 1.1\Recovery\eZulaHotText67.zip tagged as not-a-virus:AdWare.EZula.ae. No Action Taken. Sun Jan 09 14:46:31 2005 => File I:\Programme\Spybot - Search & Destroy 1.1\Recovery\eZulaHotText68.zip tagged as not-a-virus:AdWare.EZula.z. No Action Taken. Sun Jan 09 14:46:31 2005 => File I:\Programme\Spybot - Search & Destroy 1.1\Recovery\eZulaHotText79.zip tagged as not-a-virus:AdWare.EZula.ae. No Action Taken. Sun Jan 09 20:31:38 2005 => File I:\Programme\Downloads\DivX503Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Jan 09 20:50:34 2005 => ERROR!!! FindFirstFile For J:\System Volume Information\*.* Failed!!! Reason is Zugriff verweigert (0x5) Sun Jan 09 20:14:09 2005 => ERROR!!! FindFirstFile For F:\System Volume Information\*.* Failed!!! Reason is Zugriff verweigert (0x5) Sun Jan 09 14:04:15 2005 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\ZoneLabs\vsmon.exe Sun Jan 09 14:05:01 2005 => ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG Sun Jan 09 14:05:01 2005 => ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat so das ist nun alles... nicht mehr weiter weiß :-?? |
Das witzige ist, dass das Geraffel welches gefunden wurde gar nicht drauf ist...zumindest kann ich es nicht finden.... ich geh jetzt erst mal ein Bier oder 2 oder 3 oder so trinken *g* lüff |
@ lueff Das Zeugs ist drauf. Linke Maustaste Arbeitsplatz, Extras, Ordneroptionen, Ansicht, hier: Häkchen machen bei "alle Dateien anzeigen", Häkchen wegmachen bei "geschützte Systemdateien ausblenden". Gute Nacht cacatoa |
Guten Morgen cacatoa, also das habe ich schon gemacht gehabt.....leider sind die Dateien trotzdem nicht zu finden..... Du meinst also wenn ich den Müll runter hab müsste online wieder gehen ? Bin in der Firma und kann nur ab und an mal reinschaun.... Grüssle lüff |
@ lueff, Guten Morgen! Ich vermute es mal; bin aber erst nachmittags wieder am Rechner; poste aber ruhig Deine Ergebnisse rein; wenn ich sie nicht sehe, dann jemand anderes. Bis später! cacatoa |
Wollte mich noch bei allen, die mir zur Abstellungen meines Problems geholfen haben, bedanken. Habe letztendlich mein Board getauscht und das System neu aufgesetzt. Werde auch versuchen alle Eure Tipps in die Tat umzusetzen. Wie Ihr sehen könnt, habe ich auch schon Firefox und Thunderbird im Einsatz. Sind sogar richtig gute Programme für umme. Allerdings vermisse ich beim Thund. noch eine Kalender Funktion...dann könnte nämlich als Privater User gänzlich aufs Outlook verzichtet werden. Evt. weiss dazu ja noch jemand etwas ???? (Beta Version ??) In diesem Sinne ich bleibe Euch treu Lüff PS: aktueller LogFile Logfile of HijackThis v1.99.0 Scan saved at 17:12:31, on 13.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\sstray.exe G:\Programme\Logitech\iTouch\iTouch.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\fxssvc.exe D:\WINDOWS\system32\wscntfy.exe D:\Programme\Mozilla Thunderbird\thunderbird.exe G:\PROGRA~1\MS_OFF~1\Office10\OUTLOOK.EXE D:\Programme\Messenger\msmsgs.exe G:\Programme\MS_Office_XP\Office10\WINWORD.EXE D:\Programme\Mozilla Firefox\firefox.exe H:\Hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [zBrowser Launcher] G:\Programme\Logitech\iTouch\iTouch.exe O4 - Global Startup: Microsoft Office.lnk = G:\Programme\MS_Office_XP\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MS_OFF~1\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{EDCD674D-BF8C-445B-8E19-F4A62AE59DAF}: NameServer = 192.168.2.1 |
Hallo, das Log ist sauber :aplaus: Gruss |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:51 Uhr. |
Copyright ©2000-2025, Trojaner-Board