Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   IE spinnt,Logfiles deshalb mal bitte durchchecken! (https://www.trojaner-board.de/56046-ie-spinnt-logfiles-mal-bitte-durchchecken.html)

Patryk-87 15.07.2008 21:21
IE spinnt,Logfiles deshalb mal bitte durchchecken!
 
Hallo Zusammen,

wenn ich z.b irgendwelche seiten besuche z.b ein chat namens: www.knuddels.de *löl* dann schließt sich automatisch der internet explorer!

Habe mal hier gesucht, auch was gefunden, die datei die ich fixen sollte existiert bei mir nicht, deswegen wollte ich fragen ob einer anhand meiner logfiles vllt. den passenden logfile erkennt den ich fixen muss!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:16:45, on 14.07.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\sdclt.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Presario&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Presario&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Presario&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: (no name) - {cd36797a-70f3-4acd-8825-623d3b896881} - (no file)
O3 - Toolbar: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - (no file)
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SBCSTray] C:\Program Files\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0BAE10B-2C85-49BA-A1EC-F35FB141A2EA}: NameServer = 194.97.173.124 194.97.173.125
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - (no file)
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Program Files\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 6005 bytes

Wollte ungern mozilla od. firefox nicht installieren, bleibe lieber beim IE, wenn einer mein problem beheben könnte, wäre das sehr nett...-)

Mit freundlichem Gruß..

patryk...

undoreal 16.07.2008 13:54
Hallöle.

Fixe mit Hijackthis bitte folgenden Einträge:

Zitat:
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: (no name) - {cd36797a-70f3-4acd-8825-623d3b896881} - (no file)
O3 - Toolbar: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - (no file)

Danach:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.


Überprüfe dein System danach mit Superantispyware -> log posten
und Anti-Malware -> Funde löschen und log posten.


Und zu guter Letzt:

Systemanalyse
  • Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  • Räume mit cCleaner auf. (Punkt 1 & 2)
  • Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  • Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  • Während des Scans sollte der Rechner Verbindung mit dem Internet haben.
  • Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  • Unter File -> Database Update Start drücken.
  • Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  • Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Patryk-87 16.07.2008 22:38
Vielen dank für diese Infos,super!

Werde morgen alles durchgehen, bin leider müde sodass ich dies auf morgen verschieben werde. Werde aber alles ratzfatz erledige damit die sache aus der welt geschafft ist..-) *hehe* ;););)

Jetzt schonmal vielen dank für die großzügige hilfe..-)

Wünsche dann noch einen angenehmen abend und ne gute nacht. Werde mich bzgl. des Themas ganz schnell hier melden.

Mit freundlichem Gruß...

patryk..:lach::rolleyes:

Patryk-87 17.07.2008 11:36
Hallo undoreal,

dass sind die Logfiles von Combo-fix...-) :):)


ComboFix 08-07-15.4 - Patryk ******** 2008-07-17 12:23:32.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.1.1031.18.1276 [GMT 2:00]
ausgeführt von:: C:\Users\Patryk *******\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\Svconr

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-17 bis 2008-07-17 ))))))))))))))))))))))))))))))
.

2008-07-14 14:30 . 2008-07-14 14:30 <DIR> d-------- C:\Users\All Users\ICQ
2008-07-14 14:30 . 2008-07-14 14:30 <DIR> d-------- C:\ProgramData\ICQ
2008-07-14 14:30 . 2008-07-14 14:30 <DIR> d-------- C:\Program Files\ICQ6Toolbar
2008-07-14 14:29 . 2008-07-14 14:34 <DIR> d-------- C:\Program Files\ICQ6
2008-07-14 12:49 . 2008-06-26 03:45 12,240,896 --a------ C:\Windows\System32\NlsLexicons0007.dll
2008-07-14 12:49 . 2008-06-26 03:45 2,644,480 --a------ C:\Windows\System32\NlsLexicons0009.dll
2008-07-14 12:48 . 2008-06-26 05:29 801,280 --a------ C:\Windows\System32\NaturalLanguage6.dll
2008-07-14 12:07 . 2008-07-17 12:06 65,536 --------- C:\Windows\System32\Ikeext.etl
2008-07-13 18:30 . 2008-07-13 18:30 <DIR> d-------- C:\Program Files\NT Registry Optimizer
2008-07-13 18:16 . 2008-07-13 18:16 <DIR> d-------- C:\Users\All Users\TuneUp Software
2008-07-13 18:16 . 2008-07-13 18:16 <DIR> d-------- C:\ProgramData\TuneUp Software
2008-07-13 18:16 . 2008-07-13 18:16 <DIR> d-------- C:\Program Files\TuneUp Utilities 2008
2008-07-13 18:16 . 2008-07-13 18:16 355,584 --a------ C:\Windows\System32\TuneUpDefragService.exe
2008-07-13 18:16 . 2008-05-29 09:28 28,416 --a------ C:\Windows\System32\uxtuneup.dll
2008-07-13 18:16 . 2008-05-29 09:28 16,640 --a------ C:\Windows\System32\authuitu.dll
2008-07-13 18:15 . 2008-07-13 18:15 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2008-07-13 00:20 . 2008-07-13 00:53 <DIR> d-------- C:\Program Files\ICQToolbar
2008-07-13 00:18 . 2008-07-13 00:20 <DIR> d-------- C:\Program Files\ICQ6(14)
2008-07-11 13:58 . 2008-07-11 13:58 <DIR> d--hs---- C:\Windows\ftpcache
2008-07-09 15:59 . 2008-07-09 15:59 <DIR> d-------- C:\Windows\Sun
2008-07-08 13:41 . 2008-07-13 17:50 <DIR> d-------- C:\Program Files\kill.switch
2008-07-08 13:31 . 2008-07-08 13:31 <DIR> d-------- C:\Users\Public\CyberLink
2008-07-08 13:31 . 2008-07-08 13:31 <DIR> d-------- C:\Users\Patryk ********\AppData\Roaming\CyberLink
2008-07-08 13:31 . 2008-07-08 13:31 <DIR> d-------- C:\Users\All Users\CyberLink
2008-07-08 13:31 . 2008-07-08 13:31 <DIR> d-------- C:\ProgramData\CyberLink
2008-07-06 21:40 . 2008-07-13 17:50 <DIR> d-------- C:\Program Files\Java
2008-07-06 21:40 . 2008-07-06 21:40 <DIR> d-------- C:\Program Files\Common Files\Java
2008-07-06 15:15 . 2008-07-06 15:15 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-07-05 21:10 . 2008-07-05 21:10 <DIR> d-------- C:\Users\Patryk ******\AppData\Roaming\PeerNetworking
2008-07-04 11:14 . 2008-07-04 11:15 2,560 --a------ C:\Windows\_MSRSTRT.EXE
2008-07-04 02:00 . 2008-07-04 02:00 0 --a------ C:\Windows\System32\SBFC.dat
2008-07-01 01:16 . 2008-07-01 01:16 <DIR> d-------- C:\Users\Patryk ********\AppData\Roaming\Sunbelt Software
2008-07-01 01:16 . 2008-07-01 01:16 <DIR> d-------- C:\Users\All Users\Sunbelt Software
2008-07-01 01:16 . 2008-07-01 01:16 <DIR> d-------- C:\ProgramData\Sunbelt Software
2008-07-01 01:15 . 2008-07-01 01:15 <DIR> d-------- C:\Program Files\Sunbelt Software
2008-06-30 16:16 . 2008-06-30 16:24 <DIR> d-------- C:\Users\Patryk *****\AppData\Roaming\SUPERAntiSpyware.com
2008-06-30 16:16 . 2008-06-30 16:16 <DIR> d-------- C:\Users\All Users\SUPERAntiSpyware.com
2008-06-30 16:16 . 2008-06-30 16:16 <DIR> d-------- C:\ProgramData\SUPERAntiSpyware.com
2008-06-30 16:16 . 2008-06-30 16:24 <DIR> d-------- C:\Program Files\SUPERAntiSpyware
2008-06-30 11:58 . 2007-06-11 22:04 2,267,368 --a------ C:\Windows\System32\Flash.ocx
2008-06-30 11:58 . 2003-11-19 13:59 512,688 --a------ C:\Windows\System32\XceedCry.dll
2008-06-30 11:58 . 2004-05-11 09:56 423,784 --a------ C:\Windows\System32\XceedBkp.dll
2008-06-30 11:58 . 2004-02-05 20:53 389,120 --a------ C:\Windows\System32\ACTSKN43.OCX
2008-06-30 11:58 . 2004-03-08 23:00 131,856 --a------ C:\Windows\System32\MSADODC.ocx
2008-06-30 11:58 . 2000-07-15 05:00 101,888 --a------ C:\Windows\System32\VB6STKIT.DLL
2008-06-30 11:58 . 2001-03-28 22:02 89,088 --a------ C:\Windows\System32\ProgressBar4.ocx
2008-06-30 11:58 . 1999-01-26 19:36 11,012 --a------ C:\Windows\System32\threadapi.tlb
2008-06-27 17:12 . 2008-06-27 17:12 <DIR> d-------- C:\Program Files\Trend Micro
2008-06-20 17:41 . 2008-06-20 17:41 <DIR> d-------- C:\Users\All Users\Grisoft
2008-06-20 17:41 . 2008-06-20 17:41 <DIR> d-------- C:\ProgramData\Grisoft
2008-06-19 18:40 . 2008-06-19 18:40 <DIR> d-------- C:\Users\Patryk ********\AppData\Roaming\DivX
2008-06-19 18:39 . 2008-06-21 18:36 <DIR> d-------- C:\Program Files\DivX
2008-06-19 18:39 . 2008-06-21 18:35 <DIR> d-------- C:\Program Files\Common Files\PX Storage Engine
2008-06-19 11:26 . 2008-06-19 11:32 <DIR> d-------- C:\Users\All Users\Lavasoft
2008-06-19 11:26 . 2008-06-19 11:32 <DIR> d-------- C:\ProgramData\Lavasoft
2008-06-17 21:05 . 2008-06-17 21:10 <DIR> d-------- C:\Users\Patryk ******\AppData\Roaming\ACStealth4
2008-06-17 19:09 . 2008-06-17 19:09 <DIR> d-------- C:\Program Files\Ashampoo
2008-06-17 18:45 . 2008-06-17 18:45 0 --ah----- C:\Users\Default.LOG2
2008-06-17 18:45 . 2008-06-17 18:45 0 --ah----- C:\Users\Default.LOG1
2008-06-17 18:45 . 2008-06-17 18:45 0 --ah----- C:\ProgramData.LOG2
2008-06-17 18:45 . 2008-06-17 18:45 0 --ah----- C:\ProgramData.LOG1
2008-06-17 18:34 . 2008-06-17 18:34 164 --a------ C:\install.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-14 12:33 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-14 07:34 --------- d-----w C:\Program Files\Nero
2008-07-13 15:50 --------- d-----w C:\Program Files\PokerStars
2008-07-13 11:58 --------- d-----w C:\Program Files\Google
2008-07-09 12:49 --------- d-----w C:\Program Files\Windows Mail
2008-07-08 10:38 --------- d-----w C:\Program Files\PC-Doctor 5 for Windows
2008-07-07 14:23 --------- d-----w C:\ProgramData\WildTangent
2008-07-04 09:14 --------- d---a-w C:\ProgramData\TEMP
2008-07-01 08:41 --------- d-----w C:\Program Files\securedie
2008-06-27 12:02 --------- d-----w C:\Program Files\AskTBar
2008-06-07 10:44 --------- d-----w C:\Program Files\Microsoft Silverlight
2008-06-07 10:35 --------- d-----w C:\Program Files\MSXML 4.0
2008-06-07 07:52 --------- d-----w C:\ProgramData\LightScribe
2008-06-07 07:46 --------- d-----w C:\Program Files\NeroInstall.bak
2008-06-03 16:09 --------- d-----w C:\ProgramData\WinZip
2008-06-02 12:29 --------- d-----w C:\Users\Patryk ******\AppData\Roaming\WildTangent
2008-06-02 12:17 174 --sha-w C:\Program Files\desktop.ini
2008-06-02 12:11 --------- d-----w C:\Program Files\Windows Sidebar
2008-06-02 12:11 --------- d-----w C:\Program Files\Windows Photo Gallery
2008-06-02 12:11 --------- d-----w C:\Program Files\Windows Defender
2008-06-02 12:11 --------- d-----w C:\Program Files\Windows Calendar
2008-06-02 11:46 82,432 ----a-w C:\Windows\System32\axaltocm.dll
2008-06-02 11:46 101,888 ----a-w C:\Windows\System32\ifxcardm.dll
2008-06-01 18:50 --------- d-----w C:\Users\Patryk ******\AppData\Roaming\Shareaza
2008-06-01 18:50 --------- d-----w C:\Program Files\Shareaza
2008-06-01 18:24 --------- d-----w C:\ProgramData\Microsoft Help
2008-06-01 18:08 --------- d-----w C:\ProgramData\eMule
2008-06-01 16:37 --------- d-----w C:\Program Files\Secured IE
2008-05-28 13:56 53,248 ----a-w C:\Windows\System32\unrar.dll
2008-05-25 17:47 100 ----a-w C:\Users\Patryk ******\AppData\Roaming\wklnhst.dat
2008-05-23 20:10 --------- d-----w C:\Users\Patryk ******\AppData\Roaming\ICQ
2008-05-22 22:19 161,096 ----a-w C:\Windows\System32\DivXCodecVersionChecker.exe
2008-05-15 15:05 319,456 ----a-w C:\Windows\DIFxAPI.dll
2008-05-10 03:35 885,248 ----a-w C:\Windows\System32\RacEngn.dll
2008-05-10 03:35 564,736 ----a-w C:\Windows\System32\emdmgmt.dll
2008-05-08 21:59 90,112 ----a-w C:\Windows\System32\wshext.dll
2008-05-08 21:59 430,080 ----a-w C:\Windows\System32\vbscript.dll
2008-05-08 21:59 180,224 ----a-w C:\Windows\System32\scrobj.dll
2008-05-08 21:59 172,032 ----a-w C:\Windows\System32\scrrun.dll
2008-05-08 21:59 155,648 ----a-w C:\Windows\System32\wscript.exe
2008-05-08 21:58 135,168 ----a-w C:\Windows\System32\cscript.exe
2008-04-26 08:25 3,600,952 ----a-w C:\Windows\System32\ntkrnlpa.exe
2008-04-26 08:25 3,549,240 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-04-26 08:08 1,314,816 ----a-w C:\Windows\System32\quartz.dll
2008-04-25 04:35 826,880 ----a-w C:\Windows\System32\wininet.dll
2008-04-23 04:42 428,544 ----a-w C:\Windows\System32\EncDec.dll
2008-04-23 04:42 293,376 ----a-w C:\Windows\System32\psisdecd.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="C:\Program Files\ICQ6\ICQ.exe" [2008-05-18 18:30 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"SBCSTray"="C:\Program Files\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-08-27 12:09 698864]
"RtHDVCpl"="RtHDVCpl.exe" [2008-01-15 11:26 4874240 C:\Windows\RtHDVCpl.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3codecp"= l3codecp.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 02:38 34672 C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2007-05-08 17:24 54840 c:\Program Files\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpsysdrv]
--a------ 2007-04-18 17:01 65536 c:\hp\support\hpsysdrv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
--a------ 2007-07-12 17:36 178712 C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mobiswing]
--a------ 2008-05-20 01:01 61952 C:\PROGRA~1\SECURE~1\secp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OsdMaestro]
--a------ 2007-02-15 13:59 118784 C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RunSpySweeperScheduleAtStartup]
--a------ 2008-01-19 09:33 12800 C:\Windows\System32\msfeedssync.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a------ 2008-01-21 12:17 61440 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateReg]
--a------ 2007-04-07 03:56 54936 C:\Windows\System32\jureg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-03-25 04:28 144784 C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
--a------ 2008-01-19 09:38 1008184 C:\Program Files\Windows Defender\MSASCui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{EA9E6EE3-0B62-49DB-BECC-929C122C96CA}"= c:\Program Files\Cyberlink\PowerDirector\PDR.EXE:CyberLink PowerDirector
"{944C6200-1D28-4299-B840-07CA4590F342}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{DA901C13-BCB6-4C34-8CCA-D8CE84935376}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"TCP Query User{49E04ACF-7928-4A8E-BFE3-04F98470B1BB}C:\\program files\\icq6\\icq.exe"= UDP:C:\program files\icq6\icq.exe:ICQ Library
"UDP Query User{3E687B82-E39D-42F0-BA8D-D72D84652DC5}C:\\program files\\icq6\\icq.exe"= TCP:C:\program files\icq6\icq.exe:ICQ Library
"TCP Query User{6245CD4F-AA36-40B2-A168-7530877893D9}C:\\program files\\emule\\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule
"UDP Query User{9B2DD65C-4515-45BA-80BE-411CC8E4AC09}C:\\program files\\emule\\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule
"TCP Query User{5F06576E-C42A-4B74-B5CB-B6FD9CFC1E7F}C:\\program files\\surfmusik 3.1\\surfmusik.exe"= UDP:C:\program files\surfmusik 3.1\surfmusik.exe:SurfMusik
"UDP Query User{0DAB4431-C871-49FF-8DBD-20240B51F6FB}C:\\program files\\surfmusik 3.1\\surfmusik.exe"= TCP:C:\program files\surfmusik 3.1\surfmusik.exe:SurfMusik
"TCP Query User{64BB7D0D-8F4B-4116-8050-F5EBAAA5DFD9}C:\\program files\\shareaza\\shareaza.exe"= UDP:C:\program files\shareaza\shareaza.exe:Shareaza Ultimate File Sharing
"UDP Query User{0FF0EDF2-5516-4CBC-BBD9-FB695C11A426}C:\\program files\\shareaza\\shareaza.exe"= TCP:C:\program files\shareaza\shareaza.exe:Shareaza Ultimate File Sharing
"TCP Query User{443543CC-7532-45F9-9721-792E0DB93AAE}C:\\program files\\common files\\nero\\nero web\\setupx.exe"= UDP:C:\program files\common files\nero\nero web\setupx.exe:Nero Installer
"UDP Query User{EC3FF285-4B55-4100-9509-47A4560FA79F}C:\\program files\\common files\\nero\\nero web\\setupx.exe"= TCP:C:\program files\common files\nero\nero web\setupx.exe:Nero Installer
"TCP Query User{2427452F-E6C7-4062-841A-8E92463227E1}C:\\program files\\archicrypt stealth 4\\acstealth4.exe"= UDP:C:\program files\archicrypt stealth 4\acstealth4.exe:Anonym Surfen + Filtern von Webinhalten
"UDP Query User{9C368204-9189-4712-8AE7-46B8B9EA4D6C}C:\\program files\\archicrypt stealth 4\\acstealth4.exe"= TCP:C:\program files\archicrypt stealth 4\acstealth4.exe:Anonym Surfen + Filtern von Webinhalten
"{EB7746DD-BAA4-48CA-A829-1DE51DAA0E79}"= UDP:C:\Program Files\SpeedBit Video Accelerator\VideoAccelerator.exe:VideoAccelerator
"{C6FE3E5B-F828-48F2-A22F-1ECDE4FA5116}"= TCP:C:\Program Files\SpeedBit Video Accelerator\VideoAccelerator.exe:VideoAccelerator

R2 UxTuneUp;TuneUp Designerweiterung;C:\Windows\System32\svchost.exe [2008-01-19 09:33]
R3 atikmdag;atikmdag;C:\Windows\system32\DRIVERS\atikmdag.sys [2008-02-26 00:53]
S3 GameConsoleService;GameConsoleService;C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe [2007-07-24 01:33]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\Windows\System32\TuneUpDefragService.exe [2008-07-13 18:16]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
*Newly Created Service* - SBAPIFS
.
Inhalt des "geplante Tasks" Ordners
"2008-07-17 10:05:13 C:\Windows\Tasks\1-Klick-Wartung.job"
- C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe
"2008-06-11 13:07:01 C:\Windows\Tasks\HPCeeScheduleForPatryk *****.job"
- C:\Program Files\Hewlett-Packard\SDP\Ceement\HPCEE.exe)HPCeeScheduleForPatryk ******* (null)
"2008-07-16 15:30:25 C:\Windows\Tasks\User_Feed_Synchronization-{03DF8ECD-9820-45A0-B56C-6E177C28EF6A}.job"
- C:\Windows\system32\msfeedssync.exe
.
- - - - ORPHANS REMOVED - - - -

MSConfigStartUp-NBKeyScan - C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-17 12:25:36
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-17 12:26:33
ComboFix-quarantined-files.txt 2008-07-17 10:26:31

7 Verzeichnis(se), 271,099,887,616 Bytes frei
16 Verzeichnis(se), 271,074,529,280 Bytes frei

220 --- E O F --- 2008-07-14 10:50:44

undoreal 17.07.2008 11:58

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
C:\Windows\System32\Ikeext.etl
C:\Windows\_MSRSTRT.EXE
C:\Windows\System32\SBFC.dat
C:\install.dat
C:\Users\Default.LOG2
C:\ProgramData.LOG1
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Patryk-87 17.07.2008 13:11
C:\Windows\System32\Ikeext.etl



Datei Ikeext.etl empfangen 2008.07.17 13:56:42 (CET)
Status: Beendet
Ergebnis: 0/33 (0%)
Filter
Drucken der Ergebnisse
Email:



Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.17.0 2008.07.17 -
AntiVir 7.8.0.68 2008.07.17 -
Authentium 5.1.0.4 2008.07.16 -
Avast 4.8.1195.0 2008.07.17 -
AVG 8.0.0.130 2008.07.17 -
BitDefender 7.2 2008.07.17 -
CAT-QuickHeal 9.50 2008.07.16 -
ClamAV 0.93.1 2008.07.17 -
DrWeb 4.44.0.09170 2008.07.17 -
eSafe 7.0.17.0 2008.07.16 -
eTrust-Vet 31.6.5962 2008.07.17 -
Ewido 4.0 2008.07.17 -
F-Prot 4.4.4.56 2008.07.16 -
F-Secure 7.60.13501.0 2008.07.17 -
Fortinet 3.14.0.0 2008.07.17 -
GData 2.0.7306.1023 2008.07.17 -
Ikarus T3.1.1.34.0 2008.07.17 -
Kaspersky 7.0.0.125 2008.07.17 -
McAfee 5340 2008.07.16 -
Microsoft 1.3704 2008.07.17 -
NOD32v2 3275 2008.07.17 -
Norman 5.80.02 2008.07.16 -
Panda 9.0.0.4 2008.07.16 -
Prevx1 V2 2008.07.17 -
Rising 20.53.32.00 2008.07.17 -
Sophos 4.31.0 2008.07.17 -
Sunbelt 3.1.1536.1 2008.07.17 -
Symantec 10 2008.07.17 -
TheHacker 6.2.96.381 2008.07.16 -
TrendMicro 8.700.0.1004 2008.07.17 -
VBA32 3.12.8.0 2008.07.17 -
VirusBuster 4.5.11.0 2008.07.16 -
Webwasher-Gateway 6.6.2 2008.07.17 -
weitere Informationen
File size: 65536 bytes
MD5...: 3d2f6c378d311293eb620a74eab53743
SHA1..: fa3305c5560c76744f5a6064592a1e492732afcf
SHA256: b82fcf7954e55cb8b707bbb8d6ca61f6d22ebd32a50770980bdfdadc8eed923e
SHA512: 2d0967c3374bc954012de4c645b29906f79616c68b24bf4f547887ac8d871b0d
d5be9d8b7c0d496bae6b443487efa8e12b226eae64737cff4b3b4e8771ac54af
PEiD..: -
PEInfo: -

Patryk-87 17.07.2008 13:12
C:\Windows\_MSRSTRT.EXE



Die Datei wurde bereits analysiert:
MD5: 815372073da85b2098a37ded84083c8a
First received: 2006.05.27 07:29:44 (CET)
Datum 2008.07.17 06:42:27 (CET) [<1D]
Ergebnisse 2/33
Permalink: analisis/4f62cb440c09272651ba0b58f56e7a18

Patryk-87 17.07.2008 13:14
C:\Windows\System32\SBFC.dat


0 bytes size received / Se ha recibido un archivo vacio

Patryk-87 17.07.2008 13:15
C:\install.dat



Datei install.dat empfangen 2008.07.17 14:01:25 (CET)
Status: Beendet
Ergebnis: 0/33 (0%)
Filter
Drucken der Ergebnisse
Email:



Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.17.0 2008.07.17 -
AntiVir 7.8.0.68 2008.07.17 -
Authentium 5.1.0.4 2008.07.16 -
Avast 4.8.1195.0 2008.07.17 -
AVG 8.0.0.130 2008.07.17 -
BitDefender 7.2 2008.07.17 -
CAT-QuickHeal 9.50 2008.07.16 -
ClamAV 0.93.1 2008.07.17 -
DrWeb 4.44.0.09170 2008.07.17 -
eSafe 7.0.17.0 2008.07.16 -
eTrust-Vet 31.6.5962 2008.07.17 -
Ewido 4.0 2008.07.17 -
F-Prot 4.4.4.56 2008.07.16 -
F-Secure 7.60.13501.0 2008.07.17 -
Fortinet 3.14.0.0 2008.07.17 -
GData 2.0.7306.1023 2008.07.17 -
Ikarus T3.1.1.34.0 2008.07.17 -
Kaspersky 7.0.0.125 2008.07.17 -
McAfee 5340 2008.07.16 -
Microsoft 1.3704 2008.07.17 -
NOD32v2 3275 2008.07.17 -
Norman 5.80.02 2008.07.16 -
Panda 9.0.0.4 2008.07.16 -
Prevx1 V2 2008.07.17 -
Rising 20.53.32.00 2008.07.17 -
Sophos 4.31.0 2008.07.17 -
Sunbelt 3.1.1536.1 2008.07.17 -
Symantec 10 2008.07.17 -
TheHacker 6.2.96.381 2008.07.16 -
TrendMicro 8.700.0.1004 2008.07.17 -
VBA32 3.12.8.0 2008.07.17 -
VirusBuster 4.5.11.0 2008.07.16 -
Webwasher-Gateway 6.6.2 2008.07.17 -
weitere Informationen
File size: 164 bytes
MD5...: c893cd730d873a5b80e1e6d94a141d7b
SHA1..: 58a0161d67c326bba359ba31927efdac6984397e
SHA256: e49f18455e9b5c0ad7e8c821aa50b86e56fc598f32c2c72623248ef9e16496a3
SHA512: 64a2084041ec00f24a218141faf96aa893168fa7ec1f03238ebaea3e63b68766
26ca0e0850ca90f34f8a357fc69fca4d994c418bc677c336d09b69b96ee4d2ad
PEiD..: -
PEInfo: -

Patryk-87 17.07.2008 13:16
C:\Users\Default.LOG2


0 bytes size received / Se ha recibido un archivo vacio

Patryk-87 17.07.2008 13:17
C:\ProgramData.LOG1

0 bytes size received / Se ha recibido un archivo vacio

Patryk-87 17.07.2008 13:21
Hi undoreal,

habe die Spywar und Malware mit Counter Spy 2 mal checken lassen, jetzt ist alles weg, bekommt nur leider kein log..-) Ist aber alles futsch.-) Ist der log denn wichtig?

Patryk-87 17.07.2008 13:54
Hi undoreal,

bei dem hochladen der avz.sys.zip in rapidshare habe ich zwei möglichkeiten, das eine ist so ne internetdatei, die ist so bunt und das andere so ne ganz normale textdatei, sobald ich eins von den hochlade, zeigt mir rapidshare nicht das an was es mir eigentlich anzeigen sollte. Hm...soll ich das vllt aufteilen, nicht alles aufeinmal hochladen, sondern abschnittweise?

Mit freundlichem Gruß..

patryk...

undoreal 17.07.2008 14:56
Hi Patryk.

Deinstalliere bitte Counter Spy und installiere die nie wieder so einen Blödsinn! ;)

Danach:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Files to delete:
C:\Users\Default.LOG2
C:\Users\Default.LOG1
C:\ProgramData.LOG1
C:\ProgramData.LOG2
C:\Windows\System32\SBFC.dat
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Zitat:
avz.sys.zip in rapidshare habe ich zwei möglichkeiten, das eine ist so ne internetdatei
eigentlich müsstest du das Archiv mit den zwei enthaltenen Dateien komplett hochladen können.?.
Wenn das nicht geht reicht auch nur die .html Datei.

Patryk-87 17.07.2008 15:59
Hallo undoreal,

habe die HTML datei hochgeladen, haben dann auf upload geklickt, dann kam folgendes..-) *g* :):)

Weißt nicht ob das richtig ist, ich denke mal aber nicht..-) *hehe* Das ist seltsam, ich setz mich nochmal dahinter und probiere es. Achso, counter spy deinstallieren, okay, windows defender müsste auch reichen.

Mit freundlichem Gruß...

patryk...


Upload | DownloadLink
1. Download-Link: Hier klicken, um die Datei zu laden


http://rapidshare.com/files/130391665/avz_sysinfo.htm.html

1. Lösch-Link: Hier klicken, um die Datei zu löschen


http://rapidshare.com/files/130391665/avz_sysinfo.htm.html?killcode=12320679823900708157

Downloadlink per E-mail versenden
Damit Sie stets auf Ihre Daten zugreifen können, schicken wir Ihnen und auf Wunsch zwei weiteren Empfängern die Download- und Löschlinks per E-Mail zu.

Name (als Absender):
(max. 64 Zeichen lang)

E-Mail-Empfänger:
(max. 64 Zeichen lang)
mit Löschlink


Weiterer E-Mail-Empfänger:
(max. 64 Zeichen lang)
mit Löschlink


Weiterer E-Mail-Empfänger:
(max. 64 Zeichen lang)
mit Löschlink


Kurze Nachricht an Empfänger:
(max. 1000 Zeichen lang)


Ergebnis
File avz_sysinfo.htm (91 KB) uploaded!

Collector's Account erstellen
Hier können Sie einen kostenlosen Collector's Account ersellen.

Vorteile
Kostenlos
Mühelose Dateiverwaltung
Vorschaubilder bei Fotos
Komfortable Verwaltung der Downloadlinks
Uploads werden Ihrer Sammlung automatisch hinzugefügt
Für den Download Ihrer Dateien erhalten Sie RapidPoints, die Sie gegen einen kostenlosen Premium-Account eintauschen können
Schnelle Remote-Uploads (HTTP/FTP) für den Transfer von Server zu Server
Ergebnis
Der Collector's Account bietet keine Vorteile beim Download. Dazu benötigen Sie einen Premium-Account.

Account einrichten
Username:
E-Mail-Adresse:
Passwort:
Passwort wiederholen:


Upload in bestehenden Collector's Account verschieben
Der Upload wird in Ihren bestehenden Collector's Account verschoben. Bitte Login Daten eingeben.

Username:
Passwort:

undoreal 17.07.2008 16:20
Also dein log ist in Ordnung.

Wie sehen die Probleme am rechner aus?

Patryk-87 17.07.2008 21:23
Hallo undoreal,

sorry das ich erst so spät schreibe, ich war noch beim training..-) *löl*

Also, bei dem programm avenger wenn ich dann folgendes eingeb ...:

C:\Users\Default.LOG2 erscheint folgende meldung: Error, invalid script. A valid script must begin with a command directive. Aborting execution.

Hmm....könnste mir da vllt mal bitte ein tipp geben undoreal? *hehe* :):confused:

Über die Probleme gucke ich mal grad...schreibe dir in 5 minuten wie die probleme bzw. ob überhaupt noch probleme vorhanden sind..-) *gg*

Mit freundlichem Gruß...

patryk..

Patryk-87 17.07.2008 21:27
Hallo undoreal,

leider sind die Probleme immernoch da..-) Hm....komisch..-)

Vllt. nochmal mit Avenger drüber gehen morgen dann wirds ja vllt. sogar schon besser. Einfach mal auf morgen abwarten, komme leider nicht mit dem avenger zurecht bzw. weiß ich nicht warum er so ne fehlermeldung macht..-)

*g*

Mit freundlichem Gruß

patryk..

undoreal 17.07.2008 21:57
Poste bitte ein frisches Hijackthis log.

Patryk-87 18.07.2008 06:34
Guten Morgen undoreal,

habe nochmal ein frisches log gemacht, was mir auffiel, dass was ich fixen sollte ist garnich weg..-) *hmm* Beziehungsweise 03-Toolbar ist immernoch da..-) *hmm* Habe dies allerdings gefixt, warum das da steht weiß ich leider nicht. Das ist immernoch da, soll ich vllt. mal NTREGOPT über den computer ziehen?

NTRegOpt ist folgendes: Mit dieser Software halten Sie Ordnung auf Ihrer Festplatte. Es analysiert die Speicherbelegung und schreibt anschließend die Registry neu. Eine bessere Systemleistung ist das Ergebnis. (kopiert)

Vllt. wenn ich dies durchjage, sind die sachen dann aufm Hijackthis editor raus, weil es bleiben ja immer reste in der registry, die man glaube ich mit dem Programm komplett entfernt, bin mir aber nicht sicher, korrigiert mich ruhig..-) *hehe* :kloppen::kloppen:

Mit freundlichem Gruß..

patryk...

undoreal 18.07.2008 11:10
:) Poste bitte das log!

Und regop brauchen wir nicht. cCleaner macht das zuverlässig.

Patryk-87 18.07.2008 14:46
Hallo undoreal,

ich hab das log vorhin vergessen..-) *lööl*

Sorry, hier ist das frische log:
______________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:16:45, on 14.07.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\sdclt.exe
C:\Program Files\Shareaza\Shareaza.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Presario&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Presario&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Presario&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: (no name) - {cd36797a-70f3-4acd-8825-623d3b896881} - (no file)
O3 - Toolbar: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - (no file)
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SBCSTray] C:\Program Files\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0BAE10B-2C85-49BA-A1EC-F35FB141A2EA}: NameServer = 194.97.173.124 194.97.173.125
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - (no file)
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Program Files\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 6005 bytes



Mit freundlichem Gruß..

patryk...

undoreal 22.07.2008 19:06
Wechsel bitte in den abgesicherten Modus.

Dort fixe folgende Einträge mit Hijackthis:
Zitat:
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file)
R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O3 - Toolbar: (no name) - {cd36797a-70f3-4acd-8825-623d3b896881} - (no file)
O3 - Toolbar: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - (no file)
Räume danach mit cCleaner auf und durchsuche immernoch im abgesicherten das System mit SuperAntiSpyware.

Danach starte im normalen Modus und poste ein frisches hijackthis log sowie den SuperAntiSpyware Bericht.

Patryk-87 24.07.2008 16:14
Hallo undoreal,

sorry, war gestern total knitter sodass ich erst heute die logfiles einsetze..) *g*

Vielen dank dass du dich wieder gemeldet hast. Soll ich alle programme die du mir gesagt hast drauf lassen, oder nur die, die du persönlich empfehlen würdest? Ich denke mal die: die du empfehlen tätest. *grinzt*

Hier den Log von Superantispyware!

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 07/24/2008 at 05:06 PM

Application Version : 4.15.1000

Core Rules Database Version : 3513
Trace Rules Database Version: 1504

Scan type : Complete Scan
Total Scan Time : 00:44:06

Memory items scanned : 199
Memory threats detected : 0
Registry items scanned : 6263
Registry threats detected : 0
File items scanned : 114616
File threats detected : 0
_______________________________


hier der von hijackthis..-) *gg*

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:07:50, on 24.07.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Presario&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - (no file)
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe

--
End of file - 4255 bytes

____________________________________________

das waren se alle, wenn du zeit und lust haben solltest kannst ja bescheid geben was der nächste schritt wäre, bzw. die obere antwort könsnte sogleich mitbeantworten. *gg*

Mit freundlichem Gruß..

patryk..

PS: ich gucke ob das problem jetzt behoben ist..-)

undoreal 24.07.2008 16:48
Zitat:
Soll ich alle programme die du mir gesagt hast drauf lassen, oder nur die, die du persönlich empfehlen würdest? Ich denke mal die: die du empfehlen tätest.
wie meinen?

Poste bitte ein HJT log aus dem normalen Modus!

Patryk-87 24.07.2008 17:37
Hallo undoreal,

hier erstmal ein frischer log..-) Im normalen modus..-) *gg*

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:07:50, on 24.07.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Presario&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - (no file)
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe

--
End of file - 4255 bytes

Patryk-87 24.07.2008 17:41
Während der bearbeitung des Problems hast du mir ein paar programme empfohlen, die nenne ich mal:

Avenger
AVZ
Combo Fix
SuperAntiSpyware

ccleaner kenne ich, den lass ich drauf, der ist gut..-) *gg*

Welche programme davon sind denn nützlich, die oben genannte. Wäre nett wenn du mir sagen kannst was Combo Fix u. Avenger ist, bzw. wofür die gebrauchbar sind. Würde mich gerne mit den dann vertraut machen.

AVZ ist son antivirus kit, spyware,virus,trojaner,malware, mann kann ja anklicken wonach das programm alles suchen soll, das ist mir klar, finde das programm aber auch gut.

SuperAntiSpyware ist ja auch logisch..) *löl*

Ein kurzes statement zu Combo Fix und Avenger wäre wünschenswert..-) *lööl* :dummguck::huepp::huepp::)

*fg*

undoreal 24.07.2008 17:41
:confused: hmmm.

Da steht immernoch safe boot oder? =)
Zitat:
Boot mode: Safe mode
Und drei Prozesse währen für Windows etwas wenig.. ;)

Combofix, AVZ und Avenger runterschmeißen. Die sollten nur erfahrene Helfer benutzen.

Patryk-87 24.07.2008 18:33
Hallo undoreal,

habe mir grad nochmal die gespeicherten logfiles angesehen die ich hier in den thread eingefügt hab, tatsächlich, auf beiden logfiles steht safe mode, obwohl ich bei dem einen in den abgesicherten modus gewechselt bin.

Beim Hochfahren F8 drücken, dann hatte ich drei möglichkeiten, mit netzwerktreiber in den abgesicherten modus und ohne den netzwerktreiber in den modus zu gehen und einfach nur abgesicherter modus, direkt das erste.

Habe da drauf geklickt, rechts ist dann son fenster offen: da steht: Was ist der abgesicherte Modus, ist grafisch auch bisschen komisch. Da war ich also drin. Ist das denn falsch da? *hmm* Ich denke mit. *löl* Sollten nur erfahrern helfer nutzen. *löl* Ist nett böse gemeint, lustig formuliert, vorallem total gegen mich. *lööööl* Sónst soweit alles paletti undoreal?

Mit freundlichem Gruß...

patryk...

undoreal 24.07.2008 21:12
:D Du Nase. Der Safe Boot Mode ist der Abgesicherte Modus. ;)

Erstelle also ein HJT logfile im ganz normalen Modus. Einfach Windows ganz normal starten und dann ein HJT logfile erstellen..

Patryk-87 25.07.2008 09:03
Guten Morgen Undoreal :party:,

habe heute im ganz normalen Modus, wo ich halt ins internet gehe und so einen logfile gemacht. Leider immernocht mit Boot Safe Mode? Hm...Was müsste denn da eig. stehen? Ich bin schon wie verrückt am Googeln um herauszufindne was das ist bzw. warum immer safe boot mode da steht. Hier der aktuelle logfile im normalen modus..

*grinzt*

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:07:50, on 24.07.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Presario&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - (no file)
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe

--
End of file - 4255 bytes

undoreal 29.07.2008 07:38
Da müsste stehen: Boot Mode: normal.

Und mit nur drei laufenden Prozessen bist du dort garantiert nicht drinn.

Guck mal hier nach und versuche im normalen mOdus zu booten und nicht im Abgesicherten Modus.

Mach mal folgendes: Start->ins Suchen Feld -> msconfig #eintippen und ENTER drücken# -> Boot.ini-> Start: Haken bei Abgesicherter Start weg

Patryk-87 29.07.2008 09:58
Guten Morgen undoeral,

leider war das kästchen mit keinem haken versehen..-) ? Hmm.....:(

Das Problem besteht weiterhin noch..-) Hmm..ich versteh das nicht, könnste mir noch ein tipp geben?

Es ist mir bewusst, das der mensch mit seinen tipps auch irgendwann dem ende ist..-) *löl*

Aber noch etwas, hast du da noch was parat? Ich habe auch mal gegoogelt, aber es gibt kein forum in dem das behandelt wird, bzw. nix steht von. im abgesicherten modus steht normal boot mode, normalerweise steht da save boot mode..-) Leider ist in keinem thread dieses thema behandelt worden..-) *löl*

Was sollen wir denn noch machen?

Mit freundlichem Gruß...

patryk..

undoreal 29.07.2008 12:31
Guck mal bitte bei SuperAntiSpyware unter Preferences -> Repairs -> Repair broken Save Boot Key #markeiren# und drücke auf "Perform Repair".

Dann starte bitte mal mit Absicht im abgesicherten Modus. Nur um zu gucken ob der funktioniert.
Danach nehme den Haken wieder raus und starte den Rechner neu. Hoffentlich im normalen Modus.

Patryk-87 29.07.2008 15:17
Hallo undoreal,

leider steht das bei mir garnicht, das einzigste was bei mir steht ist:

Repair broken Network Connection ( WinSock, LSP Chain )

Das seltsame ist das bei mir garnix mehr mit dem Wort "Repair" steht.

Das ist der einzigste satz indem das Wort "Repair" vorkommt, in allen anderen sätzen kommt das wort "Repair" am anfang sowie am ende nicht mehr vor.

? Ich find das ganz schön seltsam..-) Ich begreif das nett so wirklich, wirst du denn noch daraus schlau undoreal? Ist ganz schön komisch!

Sonst alles in ordnung bei dir? Was könnte denn jetzt noch helfen, es gibt ein programm wenn du und ich das installieren kannste auf mein Rechner zugreifen, ich muss nett auf dein zugreifen, kannst mal gucken was da so ist, wenn du magst..-) *löl* War nur en vorschlag..-) *löl*

Mit freundlichem Gruß...

patryk...

Sonst alles fit bei dir undoreal?

Patryk-87 31.07.2008 08:43
Hallo undoreal,

habe mal was ausprobiert, habe mir mozilla installiert und genau auf den seiten wo der internet explorer schließt schließt auch mozilla, ist genau identisch..-) ? hmm...

Mit freundlichem Gruß...

patryk...

myrtille 31.07.2008 12:24
Hi,
die Lösung des Safebootproblems ist folgende:
Du schriebst am 25.
Zitat:
habe heute im ganz normalen Modus, wo ich halt ins internet gehe und so einen logfile gemacht.
[....]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:07:50, on 24.07.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Safe mode
und wenn man auf das Log vorher guckt, gepostet um 24.07.2008, 18:37:
Zitat:
Scan saved at 17:07:50, on 24.07.2008
und das Log, das du davor um 24.07.2008, 17:14 gepostet hast:
Zitat:
Scan saved at 17:07:50, on 24.07.2008
Du hast also immer wieder dasselbe alte Log aus dem abgesicherten Modus gepostet.

Erstelle ein neues Log im normalen Modus, speichere es als diesistdassupertolleneuelogausmnormalenmodus.txt und poste den Inhalt dieser Datei dann hier ;)

lg myrtille

Patryk-87 31.07.2008 17:23
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:38:56, on 31.07.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Safe mode

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=de_de&c=81&bd=Presario&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [RegistryMechanic] C:\Program Files\Registry Mechanic\RMTray.exe /H
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - (no file)
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe

--
End of file - 4342 bytes

Patryk-87 31.07.2008 17:27
Hallo myrtille,

habe das neueste Log im normalen Modus gemacht..-) *hehe*

Bin grnich drauf gekommen bzw. habs garnich gemerkt..-) *löl* Was war ich da durcheinander, aber ich hab voll oft im normalen modus den log gemacht..-) Jetzt bin ich verwirrt, entweder hat der PC oder ich en ei am wandern! *löl*

Das Problem ist folgendes: ich besuche einige seiten und dann stürzt der internet explorer ab bzw.. er schließt das fenster, muss IE dann immer wieder von vorne starten, das gleiche geschieht auch bei mozilla..-) *löl* :headbang:

*löööl*

Mit freundlichem Gruß...

patryk..


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:47 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131