|
Mein Escan Log Hallo, ich habe ebenfalls meinen PC mit Escan durchsuchen lassen. Er hat dabei 11 Viren und 43 Fehler gefunden. Leider kann ich die ja nicht automatisch beheben lassen. Ich hoffe, hier kann mir jemand helfen. Anschließend mein Log: Code: File C:\Windows\system32\nso87EB.dll markiert als "not-a-virus:AdWare.Win32.BHO.jj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. |
Hi und :) Herzlich Willkommen im Trojaner-Board :) Beim escan heißt es bei der Auswertung erst mal Ball flach halten :) Gehe bitte wie folgt vor, damit wir dir helfen können. * MWAV (eScan) - Free Antivirus 1. Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan (den Scan brauchst du nicht mehr machen) (Sollte der Hinweis erscheinen, dass du nur mit der Vollversion die Funde löschen kannst, breche den Scan NICHT ab) 2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. - rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop) - führe die find.bat aus - das erstellte Log kopierst du ab und postest in deinen nächsten Beitrag 3. Entferne bitte nicht selber von escan alarmierte Funde. Es sind erfahrungsgemäß viele Fehlalarme dabei * HijackThis - Scan 1. Lade dir das Tool hier runter -> Hijackthis 2.02 Final 2. Entpacke es in einen seperaten Ordner und benenne es um (z.b. C:\Programme\HijackThis\pruefung.com) 3. Führe die Datei aus und bestätige die Warnung mit "ok" 4. Wähle die Option "Do a System Scan and save a logfile" 5. poste den kompletten Inhalt des entstehenden LogFiles 6. Entferne persönliche Informationen sowie aktive Links mfg Cleriker |
was soll denn diese antwort? Ich finds ja schön, dass ihr mich willkommen heißt, aber ich habe doch bereits meine Funde gepostet und wollte wissen, was ich weiterhin tun kann, da ich ja eben nicht die Vollversion besitze. Im übrigen gibt es bei mir keinen Link mit find.bat |
Sorry, wenn ich mich missverständlich ausgedrückt habe. Deine geposteten Funde sind von escan so etwas wie . . . "Schau mal, da is was böses, ich sag dir später, was es sein könnte." Ich habe dich zur Anleitung verlingt, damit du mithilfe der find.bat posten kannst, sozusagen der Freund von mwav, der sagt: "Der böse ist in diesem Pfad und hat das gemacht" oder halt "Der ist nicht böse, der sieht nur so aus" Um die Bereinigung kümmern wir uns im Anschluss manuell. Zur find.bat selbst bitte die Anleitung komplett lesen: Zitat:
Der Hijackthislog ist standart und dafür gedacht, dass wir einen groben Überblick über dein System bekommen und vielleicht schon dort Anhaltspunkte deiner Probleme finden. Also :) Wärst du so nett. mfg Cleriker |
Ich hoffe, ich habe das jetzt richtig verstanden. Ich habe die find.bat ausgeführt. Diese liefert mir nun folgendes ergebnis: Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
Führe bitte noch einmal den escan durch. Du hast ihn wahrscheinlich abgebrochen Zitat:
Anschließend bitte nochmals die find.bat ausführen. mfg Cleriker |
So, ich hoffe jetzt stimmts... Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
Nachdem ich dich mit Extrawünschen genervt habe, folgt nun die Bereinigung: * Anleitung Avenger 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
4.) Danach das System unverzüglich neu starten lassen 5.) Poste den Inhalt der C:\avenger.txt * CCleaner - Lade dir den CCleaner runter - Ccleaner installieren (die toolbar nicht installieren) und starten - wähle unter Options --> Settings --> German - bereinige dein System - lass auch die fehler in der registry beheben --> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben Außer dieser einen Adwaredatei ist nichts zu finden. Hast du schon selber Hand angelegt beim Löschen? mfg Cleriker |
|
Avenger funktioniert leider nicht unter Windows Vista. |
aaah stimmt ja. Bei dieser Adware denke ich allerdings, brauchst du keine Bedenken haben. Wechsel in den abgesicherten Modus und lösche die Datei manuell (danach papierkorb leeren) Die von Bata appelierte Datei überprüfe mal bitte bei Virustotal oder jotti mfg Cleriker |
Diese AdWare scheint aber Fehler zu kreieren, die zum Abbruch von Programmen, vornehmlich den Browsern führt. Wie soll ich die Datei überprüfen? Der Link bringt mich nicht wirklich weiter, sorry. |
Zitat:
* manuelles Cleaning - Deaktiviere die Systemwiederherstellung und wechsel in den abgesichteren Modus -> Anleitung - Überprüfe mit deinem Antivirscanner die localen Festplatten - Suche folgende Pfade auf und lösche die Dateien, sofern vorhanden Zitat:
- Neustart * Dateien Online Überprüfen (versteckte Ordner und Dateien anzeigen lassen) 1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen: 2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg 3. Geschützte Systemdateien ausblenden -> Haken weg 4. Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden) 5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen (Dateien online überprüfen) 6. Speicher dir die unten angebenen Dateien auf einen externen Datenträger, falls du keine Internetverbindung hast. 7. lade die Seite von Virustotal (alternativ Jotti) 8. lade in der dafür vorgesehen Box folgende Datei(en) hoch Zitat:
10. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein mfg Cleriker |
obwohl ich die rechte geändert habe, ist es nicht möglich, die Datei zu löschen. |
Versuchen's wir halt mit der KillBox, die müsste eigentlich unter Vista laufen. * Killbox 1.) Installiere das Programm auf deinem Desktop -> Killbox 2.) Starte es mit Doppelklick 3.) klick die Funktion -> "delete on reboot" 4.) kopiere diesen Dateipfad in das weiße Feld unter: Full Path Zitat:
und alle dort befindlichen Dateien manuell löschen. |
Hier mal das online Ergebnis: Ist also eine schädliche Datei... Datei nso87EB.dll empfangen 2007.11.14 16:03:15 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 12/32 (37.5%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit is zwischen 38 und 55 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.11.14.1 2007.11.14 - AntiVir 7.6.0.34 2007.11.14 TR/Fotomoto.G Authentium 4.93.8 2007.11.14 - Avast 4.7.1074.0 2007.11.13 - AVG 7.5.0.503 2007.11.14 Adware Generic2.VAQ BitDefender 7.2 2007.11.14 Adware.BHO.WQE CAT-QuickHeal 9.00 2007.11.14 AdWare.BHO.jj (Not a Virus) ClamAV 0.91.2 2007.11.14 - DrWeb 4.44.0.09170 2007.11.14 - eSafe 7.0.15.0 2007.11.13 - eTrust-Vet 31.2.5294 2007.11.14 - Ewido 4.0 2007.11.14 - FileAdvisor 1 2007.11.14 - Fortinet 3.11.0.0 2007.10.19 - F-Prot 4.4.2.54 2007.11.14 W32/Backdoor.BYUV F-Secure 6.70.13030.0 2007.11.14 - Ikarus T3.1.1.12 2007.11.14 not-a-virus:AdWare.Win32.BHO.jj Kaspersky 7.0.0.125 2007.11.14 not-a-virus:AdWare.Win32.BHO.jj McAfee 5162 2007.11.13 - Microsoft 1.3007 2007.11.12 - NOD32v2 2658 2007.11.14 Win32/BHO.NBD Norman 5.80.02 2007.11.14 - Panda 9.0.0.4 2007.11.14 Adware/WebSearch Prevx1 V2 2007.11.14 - Rising 20.18.20.00 2007.11.14 - Sophos 4.23.0 2007.11.14 - Sunbelt 2.2.907.0 2007.11.14 TR/Fotomoto.G Symantec 10 2007.11.14 - TheHacker 6.2.9.127 2007.11.14 - VBA32 3.12.2.4 2007.11.11 AdWare.Win32.BHO.jj VirusBuster 4.3.26:9 2007.11.13 - Webwasher-Gateway 6.0.1 2007.11.14 Trojan.Fotomoto.G weitere Informationen File size: 204800 bytes MD5: f89b39d733d05876737e4b06222003a2 SHA1: 44ac2b33600c2cf3bd4ec3b0d7db36db61c4d31c Killbox.exe ist leider nicht ausführbar... |
1. Warum hast du diese Datei gescannt, das ist die, die wir schon die ganze Zeit löschen wollen. Wir haben um die Auswertung dieser Datei gebeten: Zitat:
deine Firewall, ein Av-Tool oder kommt ein Fehler / Hinweis. Erläutere bitte deine Ergebnisse konkreter. Ich geb mir schließlich auch Mühe, alles breit zu erklären. Und Vista ist sowieso eine Spielplatz für sich. |
Tut mir leid. Ich bin wirklich dankbar für die Hilfe! Nur bin ich zur Zeit selbst ziemlich im Stress: schule, JGR, Privates....da wird der PC dann hochgefahren und alles muss schnell erledigt werden;) Seltsamerweise lässt sich die Killbox jetzt ausführen. Allerdings erhalte ich dort wenn ich neu starten will mit dem Programm eine Meldung, die besagt, dass irgendwelche Umbenennungsoptionen von Dateien von einem externen Programm gelöscht wurden... Die Überprüfung der besagten Datei liefere ich noch nach. |
So die Datei ist nun gelöscht, der CCleaner wurde ausgeführt, der PC neu gestartet, jedoch besteht das Problem, dass Programme z.T. nicht richtig funktionieren immer noch. Nun einmal das Überprüfungsergebnis der anderen Datei: Code: Datei symlcsv1.exe empfangen 2007.11.14 21:28:28 (CET) |
Edit: hatte was übersehn *Meldung zurück nehm* überprüfew die gescannte Datei bitte nochmal gegen bei Jotti. Ich bin mir irgendwie immer noch nicht sicher bei der. Zitat:
Wenn ja lösche den Backupordner und leere den Papierkorb anschließend. Cleriker |
Ja ich habe alles gelöscht. Die Überprüfung muss ich wieder nachliefern... |
Zitat:
Stürtzt der rechner komplett ab, wird das Programm geschlossen? mfg Cleriker |
Ja es öffnet sich ein Fenster unter Vista mit der Meldung: "Programm XY funktioniert nicht mehr". Dann wird nach einer Lösung gesucht usw. Dies passiert im IE und Firefox immer öfter und der MagixMusicMaker läuft z.b. schon eine Weile nicht mehr... Den Rechner schränkt es nicht ein. Außerdem bringt meine Firewall jedes mal die frage: ob auth.exe zugelassen werden soll. Immer, wenn ich einen Browser starte. |
1) auth.exe -> Cadsoft 2) auth.exe -> Kopierschutz für DVD's Klingelt da irgendwas wenn ich die Begriffe in den Raum schmeiße? Zitat:
heute die Buggs von Vista zu erforschen: Programm XY funktioniert nicht mehr Programm funktioniert nicht mehr IE geht nicht mehr |
Mein Fehler....die Datei heißt "aupd.exe" . Die ganzen Maßnahmen unter Vista habe ich leider schon versucht. Hat keinen Erfolg gebracht. |
Zitat:
war der in den Scans nicht zu sehen. Suche ihn bitte und versuche ihn bei Virustotal hoch zu laden. Sollte dies nicht gelingen, müssen wir nochmal tiefer scannen: * Silentrunners Logfile 1. Lade dir das Tool -> Silentrunners 2. Entpacke das Script in einen Ordner deiner Wahl 3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen 4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt (Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“ erstellen, ignoriere dieses und arbeite weiter!) 5. Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein. (die Datei wird im selben Ordner wie das Tool gespeichert) Falls das Script eine Fehlermeldung ausgibt: - starte regedit.exe über Start => Ausführen (oder Windowstaste+R) - navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings - stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat mfg Cleriker |
Ich habe lediglich eine "AUpdate.exe" gefunden. Diese habe ich dann hochgeladen. Allerdings lieferte das kein Ergebnis, sprich demnach sollen dort keine Viren oder ähnliches enthalten sein. Ich bin mir jetzt nicht sicher, ob das die richtige Datei war und wenn nicht, wie ich diese dann finden kann. Hier das Ergebnos des SilentRunners verlinkt: http://gedichte.talkparty.de/result.txt Die Zeichen wären zu viele gewesen... |
booaa:lmaa: Aha, ich hab' mich mal genauer umgeschaut. -> Browser Hijacker Demzufolge müsste beim Hijackthisscan in der Toolbarauflistung zu finden sein. Erstelle also bitte, wie schon im 1. Post von mir gebeten, ein hijackthislogfile und poste ihn. * HijackThis - Scan 1. Lade dir das Tool hier runter -> Hijackthis 2.02 Final 2. Entpacke es in einen seperaten Ordner und benenne es um (z.b. C:\Programme\HijackThis\pruefung.com) 3. Führe die Datei aus und bestätige die Warnung mit "ok" 4. Wähle die Option "Do a System Scan and save a logfile" 5. poste den kompletten Inhalt des entstehenden LogFiles (Poste bitte nicht als Zitat sondern einfach hinein. Scrollen ist anstrengend) 6. Entferne persönliche Informationen sowie aktive Links |
genau die Seite hatte ich auch schon gefunden.Mir ist nun auch klar, dass mein problem dort liegt. Wie ich sehe, nerve ich dich allerdings, werde also alleine weiterzumachen versuchen. Danke für deine Hilfe:daumenhoc |
Zitat:
sondern an dein Vista. Also her mit dem hijackthislogfile. Das bekommen wir schon hin. :) |
ok... Voilà: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:51:25, on 16.11.2007 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16546) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\HP\QuickPlay\QPService.exe C:\Program Files\Napster\napster.exe C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe C:\Program Files\HP\HP Software Update\hpwuSchd2.exe C:\Windows\System32\rundll32.exe C:\Program Files\Java\jre1.6.0\bin\jusched.exe C:\Windows\System32\wpcumi.exe C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\ICQ6\ICQ.exe C:\Windows\System32\rundll32.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\SmartFTP Client\SmartFTP.exe C:\Program Files\WinRAR\WinRAR.exe C:\Users\Chris\AppData\Local\Temp\Rar$EX03.334\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=73&bd=Pavilion&pf=laptop R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=73&bd=Pavilion&pf=laptop R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=73&bd=Pavilion&pf=laptop R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O1 - Hosts: ::1 localhost O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: dcads - {C7C90A5E-BE0A-44DD-83D2-1BE138460BAC} - C:\Windows\system32\nso87EB.dll (file missing) O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe" O4 - HKLM\..\Run: [NapsterShell] C:\Program Files\Napster\napster.exe /systray O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe" O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [WPCUMI] C:\Windows\system32\WpcUmi.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O13 - Gopher Prefix: O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\isPwdSvc.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe -- End of file - 11197 bytes |
Im Silentrunner war nichts auffälliges, diese Kombination: Zitat:
Zugriffsverletzungen anhand der 10er Einträge lässt nicht so schickes vermuten. Aber mach erst mal folgendes: * HijackThis - Fix Cecked - Wechsel in den abgesicherten Modus (beim Booten F8 drücken) - Führe deine Hijackthis.exe - Datei aus (bestätige die eventuelle Warnung mit "ok") - Wähle die Option "Do only a System Scan" - Setze bei folgenden Einträgen links im Kästchen einen Haken Zitat:
- Neustart in den Normalmodus Wenn das Problem anschließend immer noch besteht, führe einen tcpsviewcan durch: * tcpview 1. Lade dir das Tool -> tcpview 2. Entpacke es auf dem Desktop und starte die Datei tcpview.exe im Ordner 3. Oben links auf das Diskettensymbol klicken und das Logfile abspeichern. 4. Den Inhalt der Logdatei posten. mfg Cleriker |
Die Zulassungsmeldung kommt nicht mehr. Allerdings bricht Firefox bei bestimmten Seiten immernoch ab. Außerdem erscheinen weiterhin Ads als Popups. Hier der TcpView Log: [System Process]:0 TCP chris-notebook:49300 static-fxfeeds.nllb.nl.mozilla.com:http TIME_WAIT [System Process]:0 TCP chris-notebook:49319 194.116.241.52:http TIME_WAIT [System Process]:0 TCP chris-notebook:49325 194.116.241.52:http TIME_WAIT [System Process]:0 TCP chris-notebook:49331 194.116.241.52:http TIME_WAIT [System Process]:0 TCP chris-notebook:49332 ads-205.quarterserver.de:http TIME_WAIT [System Process]:0 TCP chris-notebook:49333 ads-205.quarterserver.de:http TIME_WAIT [System Process]:0 TCP chris-notebook:49345 194.116.241.52:http TIME_WAIT [System Process]:0 TCP chris-notebook:49348 194.116.241.52:http TIME_WAIT [System Process]:0 TCP chris-notebook:49364 194.116.241.52:http TIME_WAIT [System Process]:0 TCP chris-notebook:49365 194.116.241.52:http TIME_WAIT [System Process]:0 TCP chris-notebook:49366 194.116.241.52:http TIME_WAIT [System Process]:0 TCP chris-notebook:49367 194.116.241.52:http TIME_WAIT [System Process]:0 TCP chris-notebook:49373 194.116.241.52:http TIME_WAIT [System Process]:0 TCP chris-notebook:49381 194.116.241.52:http TIME_WAIT [System Process]:0 TCP chris-notebook:49382 194.116.241.52:http TIME_WAIT [System Process]:0 TCP chris-notebook:49383 194.116.241.52:http TIME_WAIT [System Process]:0 TCP chris-notebook:49387 194.116.241.52:http TIME_WAIT [System Process]:0 TCP chris-notebook:49390 194.116.241.52:http TIME_WAIT [System Process]:0 TCP chris-notebook:49395 194.116.241.52:http TIME_WAIT [System Process]:0 TCP chris-notebook:49399 194.116.241.52:http TIME_WAIT ccApp.exe:3640 TCP Chris-Notebook:49158 Chris-Notebook:0 LISTENING ccApp.exe:3640 TCPV6 [0:0:0:0:0:0:0:1]:49159 chris-notebook:0 LISTENING firefox.exe:3784 TCP Chris-Notebook:49295 localhost:49296 ESTABLISHED firefox.exe:3784 TCP Chris-Notebook:49296 localhost:49295 ESTABLISHED firefox.exe:3784 TCP Chris-Notebook:49297 localhost:49298 ESTABLISHED firefox.exe:3784 TCP Chris-Notebook:49298 localhost:49297 ESTABLISHED firefox.exe:3784 TCP chris-notebook:49299 fk-in-f99.google.com:http ESTABLISHED firefox.exe:3784 TCP chris-notebook:49301 fk-in-f147.google.com:http ESTABLISHED firefox.exe:3784 TCP chris-notebook:49302 84.53.182.83:http ESTABLISHED firefox.exe:3784 TCP chris-notebook:49303 fk-in-f104.google.com:http ESTABLISHED firefox.exe:3784 TCP chris-notebook:49304 fk-in-f104.google.com:http ESTABLISHED firefox.exe:3784 TCP chris-notebook:49334 84.53.182.74:http ESTABLISHED firefox.exe:3784 TCP chris-notebook:49347 84.53.182.81:http ESTABLISHED firefox.exe:3784 TCP chris-notebook:49401 downloads.sysinternals.com:http ESTABLISHED ICQ.exe:1976 TCP Chris-Notebook:49160 Chris-Notebook:0 LISTENING ICQ.exe:1976 UDP Chris-Notebook:49184 *:* lsass.exe:688 TCP Chris-Notebook:49156 Chris-Notebook:0 LISTENING lsass.exe:688 TCPV6 chris-notebook:49156 chris-notebook:0 LISTENING services.exe:676 TCP Chris-Notebook:49157 Chris-Notebook:0 LISTENING services.exe:676 TCPV6 chris-notebook:49157 chris-notebook:0 LISTENING sidebar.exe:792 UDP Chris-Notebook:49200 *:* svchost.exe:1004 TCP Chris-Notebook:49153 Chris-Notebook:0 LISTENING svchost.exe:1004 TCPV6 chris-notebook:49153 chris-notebook:0 LISTENING svchost.exe:1056 TCP Chris-Notebook:49155 Chris-Notebook:0 LISTENING svchost.exe:1056 UDP Chris-Notebook:isakmp *:* svchost.exe:1056 UDP Chris-Notebook:ipsec-msft *:* svchost.exe:1056 UDP Chris-Notebook:49230 *:* svchost.exe:1056 TCPV6 chris-notebook:49155 chris-notebook:0 LISTENING svchost.exe:1056 UDPV6 chris-notebook:500 *:* svchost.exe:1212 TCP Chris-Notebook:49154 Chris-Notebook:0 LISTENING svchost.exe:1212 UDP Chris-Notebook:ntp *:* svchost.exe:1212 UDP Chris-Notebook:ssdp *:* svchost.exe:1212 UDP chris-notebook:ssdp *:* svchost.exe:1212 UDP chris-notebook:49264 *:* svchost.exe:1212 UDP Chris-Notebook:49265 *:* svchost.exe:1212 TCPV6 chris-notebook:49154 chris-notebook:0 LISTENING svchost.exe:1212 UDPV6 chris-notebook:123 *:* svchost.exe:1212 UDPV6 [0:0:0:0:0:0:0:1]:1900 *:* svchost.exe:1212 UDPV6 [fe80:0:0:0:1cda:a888:bace:9e22]:1900 *:* svchost.exe:1212 UDPV6 [fe80:0:0:0:24a8:340c:3f57:ff7c]:1900 *:* svchost.exe:1212 UDPV6 [fe80:0:0:0:ed85:a878:5c16:a495]:1900 *:* svchost.exe:1212 UDPV6 [fe80:0:0:0:ed85:a878:5c16:a495]:49260 *:* svchost.exe:1212 UDPV6 [fe80:0:0:0:1cda:a888:bace:9e22]:49261 *:* svchost.exe:1212 UDPV6 [0:0:0:0:0:0:0:1]:49262 *:* svchost.exe:1212 UDPV6 [fe80:0:0:0:24a8:340c:3f57:ff7c]:49263 *:* svchost.exe:1316 TCP Chris-Notebook:ms-wbt-server Chris-Notebook:0 LISTENING svchost.exe:1316 UDP Chris-Notebook:llmnr *:* svchost.exe:1316 TCPV6 chris-notebook:3389 chris-notebook:0 LISTENING svchost.exe:1316 UDPV6 chris-notebook:5355 *:* svchost.exe:884 TCP Chris-Notebook:epmap Chris-Notebook:0 LISTENING svchost.exe:884 TCPV6 chris-notebook:135 chris-notebook:0 LISTENING System:4 TCP chris-notebook:netbios-ssn Chris-Notebook:0 LISTENING System:4 UDP chris-notebook:netbios-ns *:* System:4 UDP chris-notebook:netbios-dgm *:* System:4 TCPV6 chris-notebook:445 chris-notebook:0 LISTENING wininit.exe:632 TCP Chris-Notebook:49152 Chris-Notebook:0 LISTENING wininit.exe:632 TCPV6 chris-notebook:49152 chris-notebook:0 LISTENING Hierbei ist mir allerdings nicht ganz wohl, da man hier sämtliche Daten auslesen kann. Ich hoffe, das ist seriös hier. |
Was heißt hier nicht ganz wohl :) Zitat:
wie mir scheint. Bist du dir irgend etwas bewusst? Zitat:
Wenn ja, bitte ein aktuelles Logfile. mfg Cleriker |
Also die aupd.exe erfordert jetzt doch wieder Zugriff. Oh, danke für die Info:balla: Hjack Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:01:54, on 17.11.2007 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16546) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Windows\RtHDVCpl.exe C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\HP\QuickPlay\QPService.exe C:\Program Files\Napster\napster.exe C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe C:\Program Files\HP\HP Software Update\hpwuSchd2.exe C:\Windows\System32\rundll32.exe C:\Program Files\Java\jre1.6.0\bin\jusched.exe C:\Windows\System32\rundll32.exe C:\Windows\System32\wpcumi.exe C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\ICQ6\ICQ.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\OpenOffice.org 2.3\program\soffice.exe C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe C:\Windows\system32\wuauclt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Users\Chris\Desktop\HiJackThis-1\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=73&bd=Pavilion&pf=laptop R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O1 - Hosts: ::1 localhost O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe" O4 - HKLM\..\Run: [NapsterShell] C:\Program Files\Napster\napster.exe /systray O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe" O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [WPCUMI] C:\Windows\system32\WpcUmi.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll O13 - Gopher Prefix: O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\isPwdSvc.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe -- End of file - 10340 bytes |
Kann vielleicht noch jemand anders helfen? Über den Werbepopups steht übrigens immer "Ads by Dcads" falls das etwas hilft... |
Ein Filelist ist hier sinnvoll, aber erst mal suche nach folgenden Dateien/Ordner und lösche sie, falls vorhanden (es müssen nicht alle vorhanden sein). Code: %local_settings%\ temp\ 11-9df8e247b1ab6e4ea9303b15294a3428.exeFilelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Credits to Karl83 / KarlKarl :) |
Danke für deine Antwort! Über die suche kann ich die Dateien nicht finden. Gibts da eine bessere Möglichkeit? Könntest du mir die Pfade richtig angeben , von C: an? |
Wenn Du sie nicht findest, mach mit dem filelist weiter. |
Funktioniert nicht unter Vista. werde es nacher mal im Kompatibilitätsmodus versuchen, muss aber erst rebooten und hab noch zu tun. |
MyFault, ist ja ein Vista. Bitte Tool 2 aus diesem Link ausführen und Ergebnis hier posten. |
Habe ich schon einmal gemacht. Siehe folgender Beitrag: Zitat:
|
Zitat:
|
Ok...war eine heidenarbeit, die Einträg vor den letzten 30 tagen zu löschen. Datei ist leider immer noch zu lang, daher hier verlinkt. http://gedichte.talkparty.de/VistaFind.txt |
keine idee? |
:balla: ich brauch ne lösung, bitte! |
Sorry für das mehrmalige Posten hintereinander aber es könnte mal wieder jemand antworten.:balla: |
Hallo, ich bekomme seit ein paar Tagen von Antivir die meldung ... [edit] bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann danke GUA http://www.smilies.4-user.de/include...lie_be_027.gif [/edit] |
ich habe doch schon vor langer zeit einen eigenen Beitrag eröffnet. Das Thema stammt doch von mir. Oder meinst du, ich sollte noch einmal ein neues Thema mit "aupd.exe" oder "Ads served by Dcads" oder einem ähnlichen Titel erstellen? |
Zitat:
Gua meinte BAC. Ein Vista-filelist sehe ich zwar zum ersten Mal, aber ich kann keine Auffälligkeiten erkennen. Welche Probleme sind jetzt überhaupt aktuell bei dir? mfg Cleriker |
aktuell ist die berechtigungsfrage von aupd.exe sowie die ab und zu erscheinenden Ads. Zusammenhängend damit stürzt Firefox bei manchen Seiten immer und sonst ab und zu ab. |
Folgende Datei(en) löschen: C:\Users\Chris\AppData\Local\Temp\aupd.exe Die Datei kam am 21 neu auf Deinen Rechner. ICh schätze mal sie kommt mit einer anderen Anwendung Huckepack. Was ist für eine Software im Ordner c:\program files\syncrsoft installiert? Naheligender ist allerdings das Bundel mit Limewire, welches so oder so nicht empfehlenswert ist, deinstalliere es testweise nach vor dem löschen der Datei, prüfe ob die Datei dann nach einem Neustart wieder vorhanden ist. |
Ich habe keine Ahnung, was in dem besagten Verzeichnis ist. Scheint jedenfalls nichts essentielles zu sein. aupd.exe habe ich nun gelöscht. Sie war nach der Deinstallation und dem Neustart noch vorhanden gewesen. |
Ok, hab den Order "C:\Program Files\Dcads Games Collection" übersehen. Da sollte es wohl herkommen, prüfe diesen und am besten alle weiteren Programme die Du installiert hast auf Ihre Berechtigung in Deinem System. |
Welche rechte muss ich dort denn wie ändern? Muss ich allen, auch system, den Zugriff völlig verweigern? Oder kann ich den Ordner mit samt Dateien einfach löschen? Übrigens aupd.exe existierte nach einem erneuten Neustart wieder. |
Gemeint sind keine Rechte dir Du ändern sollst, Du musst Dich fragen, ob die unter c:\Program Files installierten Programme auch von Dir gewünscht sind. Und die aupd.exe kommt wieder, weil Du wohl Spiele unter "C:\Program Files\Dcads Games Collection" hast. |
Habe diese Collection und alles zugehörige über die Systemsteuerung gelöscht. den Ordner synchrosoft ebenfalls. Mal schauen, was sich tut. |
Also bis jetzt ist das Problem nicht wieder aufgetaucht. Es scheint also gelöst. Vielen Dank an alle für die tolle Hilfe:daumenhoc |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board