|
I Explorer deinstall., trotzdem noch da ??? Hallo erstmal, ich habe seit einigen Tagen Probleme mit Viren (vielleicht auch schon länger :confused: ) Nachdem mir ständig irgendwelche Werbe Popups aufgegangen sind habe ich den IExplorer deinstalliert und nutze seitdem Firefox. Nun gehen die Popups aber immer noch auf, komischerweise im Fenster vom IExplorer. Ich hab mal gesucht und gesehen, daß der IE immer noch im Verzeichnis Programme rumliegt, ich ihn aber nicht deinstallieren kann. Kann ich ihn einfach so löschen ? Zu den Popups poste ich mal mein Logfile Angelegt im Normalmodus, also nicht abgesichert. Ich hoffe ich habe das richtig gemacht. Logfile of HijackThis v1.99.1 Scan saved at 20:36:06, on 07.04.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\hardcopy\hardcopy.exe C:\Programme\FRITZ!DSL\FritzDsl.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AntiVirenProgramme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRAMME\DAP\DAPIEBAR.DLL O2 - BHO: TChkBHO Class - {0626D44A-4F45-41ED-B8B0-AF824130F01F} - C:\WINDOWS\SYSTEM32\imolu.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\ANTIVI~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file) O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - Global Startup: Hardcopy.LNK = C:\Programme\hardcopy\hardcopy.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Microsoft AntiSpyware helper - {AFE47CFA-511E-40E1-A71B-741C0AAC8864} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {AFE47CFA-511E-40E1-A71B-741C0AAC8864} - (no file) (HKCU) O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{36380E7F-6E37-4C18-A9A7-392F3B9C1F42}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{B1F9842D-E8C6-4CA9-8879-B0CB58BF9928}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{C554C632-CBCD-41B3-A4EB-74B5281E5E26}: NameServer = 192.168.178.1 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe Hoffe auf Eure Hilfe, ich bin am Ende :schmoll: treibgut |
Hallo, Zitat:
Zitat:
Starte den PC im abgesicherten Modus. Deinstalliere allle unseriöse Software (DAP). Fixe mit HjT: O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\PROGRAMME\DAP\DAPIEBAR.DLL O2 - BHO: TChkBHO Class - {0626D44A-4F45-41ED-B8B0-AF824130F01F} - C:\WINDOWS\SYSTEM32\imolu.dll O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file) O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O9 - Extra button: Microsoft AntiSpyware helper - {AFE47CFA-511E-40E1-A71B-741C0AAC8864} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {AFE47CFA-511E-40E1-A71B-741C0AAC8864} - (no file) (HKCU) O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab Lösche manuell C:\PROGRAMME\DAP C:\WINDOWS\SYSTEM32\imolu.dll Alternativen Browser, wie Opera oder Firefox, verwenden! Neues Log posten. Problem gelöst? |
Danke für die turboschnelle Antwort. Hab die Anweisungen ausgeführt und melde mich später ob alles ok ist. Bislang sieht es gut aus. :daumenhoc Danke nochmals :aplaus: Alles zurück :confused: Popup sind wieder da :confused: Nochmal das neue Logfile Logfile of HijackThis v1.99.1 Scan saved at 21:13:11, on 07.04.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\hardcopy\hardcopy.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\FRITZ!DSL\FritzDsl.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\AntiVirenProgramme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\ANTIVI~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - Global Startup: Hardcopy.LNK = C:\Programme\hardcopy\hardcopy.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{36380E7F-6E37-4C18-A9A7-392F3B9C1F42}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{B1F9842D-E8C6-4CA9-8879-B0CB58BF9928}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{C554C632-CBCD-41B3-A4EB-74B5281E5E26}: NameServer = 192.168.178.1 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe |
Dann "versteckt" sich noch etwas. eScan, Spybot Search&Destroy und Ad-Aware runterladen , installieren und updaten (Anleitung von eScan genau befolgen!). PC im abgesicherten Modus starten. Erst mit Ad-Aware und Spybot S&D scannen und die Probleme beheben lassen. Dann einen Scan mit eScan durchführen und die Funde ins Forum posten. |
So, endlich fertig AdAware hat nix gefunden Spybot hat folgendes angezeigt DownloadWare: Benutzer-Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_USERS\S-1-5-18\Software\WebInstall DownloadWare: Benutzer-Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_USERS\.DEFAULT\Software\WebInstall DownloadWare: Benutzer-Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_USERS\S-1-5-18\Software\DownloadWare DownloadWare: Benutzer-Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_USERS\.DEFAULT\Software\DownloadWare DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 Konnten alle nicht gelöschtwerden EScan Thu Apr 07 21:43:50 2005 => ***** Scanning complete. ***** Thu Apr 07 21:43:50 2005 => Total Objects Scanned: 12477 Thu Apr 07 21:43:50 2005 => Total Virus(es) Found: 5 Thu Apr 07 21:43:50 2005 => Total Disinfected Files: 0 Thu Apr 07 21:43:50 2005 => Total Files Renamed: 0 Thu Apr 07 21:43:50 2005 => Total Deleted Objects: 0 Thu Apr 07 21:43:50 2005 => Total Errors: 2 Thu Apr 07 21:43:50 2005 => Time Elapsed: 00:05:43 Thu Apr 07 21:43:50 2005 => Virus Database Date: 2005/04/06 Thu Apr 07 21:43:50 2005 => Virus Database Count: 124827 Thu Apr 07 21:43:51 2005 => Scan Completed. File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken. File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken. File System Found infected by "morpheus Spyware/Adware" Virus. Action Taken: No Action Taken. File System Found infected by "morp Spyware/Adware" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\supd180204.exe infected by "Trojan-Downloader.Win32.Esepor.x" Virus. Action Taken: No Action Taken. |
Hast du bei eScan wirklich alle Haken richtig gesetzt? Ich kann es mir nicht vorstellen http://www.trojaner-info.de/hijacker/bilder/escan2.jpg C:\WINDOWS\System32\supd180204.ex manuell im abgesicherten Modus löschen. Zitat:
Du kannst sie auch manuell in der Registry löschen, aber dabei ist Vorsicht geboten (Backup machen!). Wenn du nicht weißt, was du machst, lass es! Alternativ auch mal mit Windows AntiSpyware (Beta) scannen. btw: besteht dein Problem noch? |
Ok, werde morgen weitermachen, muß früh aufstehen. :schmoll: treibgut |
So, gestern Abend habe ich die Einträge, die SpyBot gefunden hat aus der Registry gelöscht C:\WINDOWS\System32\supd180204.ex manuell im abgesicherten Modus gelöscht Heute nochmal Escan im abgesicherten Modus laufen lassen Escan sagt folgendes Fri Apr 08 19:03:20 2005 => Total Objects Scanned: 66060 Fri Apr 08 19:03:20 2005 => Total Virus(es) Found: 7 Fri Apr 08 19:03:20 2005 => Total Disinfected Files: 0 Fri Apr 08 19:03:20 2005 => Total Files Renamed: 0 Fri Apr 08 19:03:20 2005 => Total Deleted Objects: 0 Fri Apr 08 19:03:20 2005 => Total Errors: 1 Fri Apr 08 19:03:20 2005 => Time Elapsed: 01:09:58 Fri Apr 08 19:03:20 2005 => ***** Scanning complete. ***** Fri Apr 08 19:03:20 2005 => Virus Database Date: 2005/04/06 Fri Apr 08 19:03:20 2005 => Virus Database Count: 124827 Fri Apr 08 19:03:20 2005 => Scan Completed. File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken. File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken. File System Found infected by "morpheus Spyware/Adware" Virus. Action Taken: No Action Taken. File System Found infected by "morp Spyware/Adware" Virus. Action Taken: No Action Taken. File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken. File C:\Programme\Morpheus\msc.exe infected by "not-a-virus:AdWare.WurldMedia.a" Virus. Action Taken: No Action Taken. File C:\Programme\KaZaA\My Shared Folder\kmd171_de.exe infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken. Dann hab ich erstmal Morpheus im abgesicherten Modus deinstalliert |
Hast du dann auch den Ordner C:\Programme\Morpheus gelöscht? Besteht dein Problem noch? |
Mach ich sofort im abgesicherten Modus Ja, mein Problem ist immer noch da. PopUps die alle 10 min aufgehen. Und Viren sind ja lt. EScan auch noch vorhanden. |
Zitat:
Was für Seiten werden angezeigt? Führe CWShredder aus, vielleicht handelt es sich um eine CWS-Variante. |
CWshredder hat nix gefunden Jetzt war es gerade eine Discount Seite mit verschiedenen Links zb. http://www.instantsearch.cc/pop/elec...42bc8f13c13776 Jetzt (22 Uhr 30) kam gerade ne Seite mit Pharmacie Online http://www.instantsearch.cc/pop/phar...0abe6935a11daa |
Das Ding ist ziemlich hartnäckig. Hast du schon Windows AntiSpyware (Beta) ausprobiert? Poste mal ein StartDreck Log. Zitat:
Das Problem gab's auch schon einige Male -> http://www.google.de/search?hl=de&lr...ntsearch.cc%22 Ob die beschriebenen Lösungswege immer von Erfolg gekrönt sind bleibt fraglich. btw: bitte editiere die URLs, z.B. so h**p://www.instantsearch.cc/pop/pha...50abe6935a11daa |
Anti Spyware hab ich noch nicht ausgetestet Log von Startdreck StartDreck (build 2.1.7 public stable) - 2005-04-08 @ 22:37:00 (GMT +02:00) Platform: Windows XP (Win NT 5.1.2600 ) Internet Explorer: 6.0.2600.0000 Logged in as User at STEFAN »Registry »Run Keys »Current User »Run »RunOnce »Default User »Run *CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE »RunOnce *Printing Migration=rundll32.exe C:\WINDOWS\System32\spool\migrate.dll,ProcessWin9xNetworkPrinters »Local Machine »Run *ATIPTA=C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe *KAV50="C:\Programme\Antivirenprogramme\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss +OptionalComponents +MSFS *Installed=1 +MAPI *NoChange=1 *Installed=1 +MAPI *NoChange=1 *Installed=1 »RunOnce »RunServices »RunServicesOnce »RunOnceEx »RunServicesOnceEx »File Associations (CR) +.bat *batfile="%1" %* +.com *comfile="%1" %* +.disabled *SpybotSD.DisabledFile="C:\Programme\AntiVirenProgramme\Spybot - Search & Destroy\blindman.exe" "%1" +.exe *exefile="%1" %* +.htm *FirefoxHTML=C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1" +.html *FirefoxHTML=C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1" +.js *JSFile=%SystemRoot%\System32\WScript.exe "%1" %* +.jse *JSEFile=%SystemRoot%\System32\WScript.exe "%1" %* +.pif *piffile="%1" %* +.reg *regfile=regedit.exe "%1" +.scr *scrfile="%1" /S +.txt *txtfile=%SystemRoot%\system32\NOTEPAD.EXE %1 +.vbs *VBSFile=%SystemRoot%\System32\WScript.exe "%1" %* +.vbe *VBEFile=%SystemRoot%\System32\WScript.exe "%1" %* +.wsh *WSHFile=%SystemRoot%\System32\WScript.exe "%1" %* +.wsf *WSFFile=%SystemRoot%\System32\WScript.exe "%1" %* +.lnk `lnkfile= [key or value does not exist] »Browser Helper Objects (LM) *AcroIEHelper.AcroIEHlprObj.1/{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} `InprocServer32=C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX *{53707962-6F74-2D53-2644-206D7942484F} `InprocServer32=C:\PROGRA~1\ANTIVI~1\SPYBOT~1\SDHelper.dll »Files »Autostart Folders »Current User *C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart\desktop.ini »Default User *C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\desktop.ini »Local Machine *C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini *C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Hardcopy.LNK *C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk »INI-Files »WIN.INI\[windows] *LOAD= *RUN= »SYSTEM.INI\[boot] *SHELL=Explorer.exe »Text Files *C:\boot.ini *C:\msdos.sys *C:\config.sys *C:\WINDOWS\System32\config.nt *C:\autoexec.bat *C:\WINDOWS\System32\autoexec.nt *C:\WINDOWS\wininit.ini *C:\WINDOWS\System32\drivers\etc\hosts »System/Drivers »Running Processes +0=<idle> +4=<system> +384=\SystemRoot\System32\smss.exe +440=\??\C:\WINDOWS\system32\csrss.exe +464=\??\C:\WINDOWS\system32\winlogon.exe +508=C:\WINDOWS\system32\services.exe +520=C:\WINDOWS\system32\lsass.exe +688=C:\WINDOWS\System32\Ati2evxx.exe +712=C:\WINDOWS\system32\svchost.exe +804=C:\WINDOWS\System32\svchost.exe +880=C:\WINDOWS\System32\svchost.exe +900=C:\WINDOWS\System32\svchost.exe +1060=C:\WINDOWS\system32\spoolsv.exe +1240=C:\WINDOWS\system32\Ati2evxx.exe +1364=C:\WINDOWS\Explorer.EXE +1552=C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe +1560=C:\Programme\Antivirenprogramme\Kaspersky Anti-Virus Personal Pro 5\kav.exe +1576=C:\Programme\hardcopy\hardcopy.exe +1676=C:\WINDOWS\System32\alg.exe +1712=C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe +1740=C:\Programme\Antivirenprogramme\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe +148=C:\Programme\FRITZ!DSL\FritzDsl.exe +760=C:\Programme\Mozilla Firefox\firefox.exe +752=C:\WINDOWS\SYSTEM32\dxdiag.exe +648=C:\WINDOWS\System32\rundll32.exe +616=C:\Programme\Internet Explorer\iexplore.exe +144=C:\Programme\AntiVirenProgramme\Startdreck\StartDreck.exe »NT Services *Warndienst Alerter - on demand *Gatewaydienst auf Anwendungsebene ALG running on demand *Anwendungsverwaltung AppMgmt - on demand *Ati HotKey Poller Ati HotKey Poller running auto *ATI Smart ATI Smart - auto *Windows Audio AudioSrv running auto *Intelligenter Hintergrundübertragungsdienst BITS - on demand *Computerbrowser Browser running auto *Indexdienst cisvc - on demand *Ablagemappe ClipSrv - on demand *COM+-Systemanwendung COMSysApp - on demand *Kryptografiedienste CryptSvc running auto *AVM FRITZ!web Routing Service de_serv - on demand *DHCP-Client Dhcp running auto *Verwaltungsdienst für die Verwaltung logischer dmadmin - on demand `Datenträger *Verwaltung logischer Datenträger dmserver running auto *DNS-Client Dnscache running auto *EPSON Printer Status Agent2 EPSONStatusAgent2 running auto *Fehlerberichterstattungsdienst ERSvc - disabled *Ereignisprotokoll Eventlog running auto *COM+-Ereignissystem EventSystem running on demand *Kompatibilität für schnelle Benutzerumschaltung FastUserSwitchingCom running on demand *Hilfe und Support helpsvc running auto *Eingabegerätezugang HidServ - disabled *IMAPI-CD-Brenn-COM-Dienste ImapiService - on demand *Kaspersky Anti-Virus Service KLBLMain running auto *Server LanmanServer running auto *Arbeitsstationsdienst LanmanWorkstation running auto *TCP/IP-NetBIOS-Hilfsprogramm LmHosts running auto *Nachrichtendienst Messenger running auto *NetMeeting-Remotedesktop-Freigabe mnmsrvc - on demand *Distributed Transaction Coordinator MSDTC - on demand *Windows Installer MSIServer - on demand *Netzwerk-DDE-Dienst NetDDE - on demand *Netzwerk-DDE-Serverdienst NetDDEdsdm - on demand *Anmeldedienst Netlogon - on demand *Netzwerkverbindungen Netman running on demand *NLA (Network Location Awareness) Nla running on demand *NT-LM-Sicherheitsdienst NtLmSsp - on demand *Wechselmedien NtmsSvc - on demand *Plug & Play PlugPlay running auto *IPSEC-Dienste PolicyAgent running auto *Geschützter Speicher ProtectedStorage running auto *Verwaltung für automatische RAS-Verbindung RasAuto running on demand *RAS-Verbindungsverwaltung RasMan running on demand *Sitzungs-Manager für Remotedesktophilfe RDSessMgr - on demand *Routing und RAS RemoteAccess - disabled *Remote-Registrierung RemoteRegistry running auto *RPC-Locator RpcLocator - on demand *Remoteprozeduraufruf (RPC) RpcSs running auto *QoS-RSVP RSVP - on demand *Sicherheitskontenverwaltung SamSs running auto *Smartcard-Hilfsprogramm SCardDrv - on demand *Smartcard SCardSvr - on demand *Taskplaner Schedule - disabled *Sekundäre Anmeldung seclogon running auto *Systemereignisbenachrichtigung SENS running auto *Internetverbindungsfirewall/Gemeinsame Nutzung SharedAccess running auto `der Internetverbindung *Shellhardwareerkennung ShellHWDetection running auto *Druckwarteschlange Spooler running auto *Systemwiederherstellungsdienst srservice - auto *SSDP-Suchdienst SSDPSRV running on demand *Windows-Bilderfassung (WIA) stisvc - on demand *MS Software Shadow Copy Provider SwPrv - on demand *Leistungsdatenprotokolle und Warnungen SysmonLog - on demand *Telefonie TapiSrv running on demand *Terminaldienste TermService running on demand *Designs Themes running auto *Telnet TlntSvr - on demand *Überwachung verteilter Verknüpfungen (Client) TrkWks running auto *Upload-Manager uploadmgr running auto *Universeller Plug & Play-Gerätehost upnphost running on demand *Unterbrechungsfreie Stromversorgung UPS - on demand *Volumeschattenkopie VSS - on demand *Windows-Zeitgeber W32Time - disabled *WebClient WebClient running auto *Windows-Verwaltungsinstrumentation winmgmt running auto *Seriennummer der tragbaren Medien WmdmPmSp running auto *Treibererweiterungen für Windows-Verwaltungsins Wmi - on demand `trumentation *WMI-Leistungsadapter WmiApSrv - on demand *Automatische Updates wuauserv - disabled *Konfigurationsfreie drahtlose Verbindung WZCSVC running auto »Application specific |
Ich hab mich nochmal ein bisschen erkundigt. Es sieht so aus, als ob das Programm Security iGuard nicht wirklich vertrauenswürdig wäre. Deinstalliere es bitte im abgesicherten Modus. Fixe dann noch diese Zeile mit HijackThis Zitat:
Das StartDreck Log schaut imho sauber aus, obwohl ich zugeben muss, dass ich bei der Auswertung nicht so fit bin wie bei HjT ;) Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board