also: hatte in letzter zeit ein paar probs mit meinem pc, weil er mir dauernd erzählt hat dass sich irgendwelche programme nicht starten lassen oder so. unter anderem repcale.exe und alte.exe. ziemlich merkwürdig. dann hab ich mir ad-aware geholt und laufen lassen, ziemlich ok. dann hatte ich aber trotzdem noch das gleiche problem. dann hab ich mir hijack this drüberlaufen lassen, und das hier kam raus:
Logfile of HijackThis v1.97.7
Scan saved at 18:51:06, on 14.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Programme\IBM\Messages By IBM\ibmmessages.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\System32\h1m5w4s.exe
C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\h1m5w4s.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
c:\windows\system32\winstat\apc.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
c:\windows\system32\winstat\wshield.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Soulseek\slsk.exe
C:\WINDOWS\System32\wvsvc.exe
C:\Programme\Programme_download\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ism-net.de/ismnet/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.searchmiracle.com/
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UC_Start] C:\Programme\IBM\Updater\\ucstartup.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [UpdateManager] "c:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Synchronization huome lokd] h1m5w4s.exe
O4 - HKLM\..\Run: [SP2 data] c:\windows\system32\winstat\repcale.exe c:\windows\system32\winstat\apc.exe
O4 - HKLM\..\Run: [QCTray] C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [Win Update 32] winU32L.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [Synchronization huome lokd] h1m5w4s.exe
O4 - HKLM\..\RunServices: [SP2 data] c:\windows\system32\winstat\repcale.exe c:\windows\system32\winstat\apc.exe
O4 - HKCU\..\Run: [Synchronization huome lokd] h1m5w4s.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra 'Tools' menuitem: IBM Java Console (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdat ... t/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/049f5967381 ... 601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E76B4E2-2132-4218-BA42-A1AD9DE1EB93}: NameServer = 217.237.151.225 217.237.150.225
jetzt habe ich als computerkrüppel 2 fragen:
1.: was ist dieses repcale und alte überhaupt?
2.: was sagt mir o.g. logfile?
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
O4 - HKLM\..\Run: [Starting up] wvsvc.exe [WORM_RBOT.QZ]
12 Beiträge • Seite 1 von 1
von miezmutz am 14.11.2004, 20:28
für die Behebung deiner Probleme wird dir hoffentlich nikita bald eine präzise Anleitung posten...
- miezmutz
- Moderator
- Beiträge: 2411
- Registriert: 19.07.2004, 13:04
- Wohnort: Rendsburg
von desdemona84 am 15.11.2004, 02:11
Kann man sich auf die Auswertung auf dieser Seite 100% verlassen?????
- desdemona84
- Beiträge: 63
- Registriert: 01.09.2004, 13:42
von Nikita am 15.11.2004, 10:10
Hallo@Michi__!
Lade das neuste HijackThis (das alte deinstalliere)
HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
______________________________________________________
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924
[WORM_RBOT.QZ]
Gehe in die Registry
Start<Ausfuehren<regedit
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
loesche:
<wvsvc = "wvsvc.exe"
<[Win Update 32] winU32L.exe
<[Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
loesche:
<wvsvc = "wvsvc.exe"
<[Win Update 32] winU32L.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Runservices
loesche:
<wvsvc = "wvsvc.exe"
<[Win Update 32] winU32L.exe
< [Synchronization huome lokd] h1m5w4s.exe
-----------
"Backdoor.Win32.Rbot.gen"
Gib oben links in die Suchfunktion der Registry ein:
<winU32L
<Windows AdControl
<WinAdCtl
C:\WINDOWS\System32\wvsvc.exe
<Synchronization huome lokd
< h1m5w4s
und loesche RECHTS in der Registry alles, was du findest:
...........................................................................................................
Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.searchmiracle.com/
O2 - BHO: (no name) - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O4 - HKLM\..\Run: [Synchronization huome lokd] h1m5w4s.exe
O4 - HKLM\..\Run: [SP2 data] c:\windows\system32\winstat\repcale.exe c:\windows\system32\winstat\apc.exe
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [Starting up] wvsvc.exe [WORM_RBOT.QZ]
O4 - HKLM\..\RunServices: [Win Update 32] winU32L.exe ["Backdoor.Win32.Rbot.gen"]
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [Synchronization huome lokd] h1m5w4s.exe
O4 - HKLM\..\RunServices: [SP2 data] c:\windows\system32\winstat\repcale.exe c:\windows\system32\winstat\apc.exe
O4 - HKCU\..\Run: [Synchronization huome lokd] h1m5w4s.exe
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
neustarten
HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .In dem Fenster bei Dateiname einfügen:
C:\WINDOWS\System32\wvsvc.exe
....will be deleted by Windows when the system restarts..."YES"
PC neustarten
macche das auch mit:
<C:\WINDOWS\System32\winU32L.exe
<C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
<C:\Program Files\Windows AdControl\WinAdCtl.exe
<C:\Program Files\Windows AdControl
<C:\WINDOWS\System32\h1m5w4s.exe
<C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
<C:\WINDOWS\system32\MSNMSGR5.exe
<C:\WINDOWS\System32\wvsvc.exe
<c:\windows\system32\winstat
< c:\windows\system32\winstat\repcale.exe c:\windows\system32\winstat\apc.exe
#eScan-Trial
http://www.mwti.net/antivirus/escan/esc ... ivirus.asp (15-Tage- trial-Freeversion)
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
klicke auf: awn2k3e.exe
Registry
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM="N" "N"--also...in "Y" aendern
HKLM\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous=dword:00000001 "1" --««also....in "0" [dword:00000000] aendern
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous=
dword:00000001 "1" --««also....in "0" [dword:00000000] aendern
Datentraegerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
Dann poste UNBEDINGT noch mal das neue Log vom HijackThis (aber bitte die aktuelle Version, denn in der alten wird nicht alles angezeigt und so wird die Reinigung noch nicht abgeschlossen sein)
mfg
Nikita
*****
http://www.trendmicro.com/vinfo/virusen ... RM_RBOT.QZ
*****
Lade das neuste HijackThis (das alte deinstalliere)
HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
______________________________________________________
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924
[WORM_RBOT.QZ]
Gehe in die Registry
Start<Ausfuehren<regedit
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
loesche:
<wvsvc = "wvsvc.exe"
<[Win Update 32] winU32L.exe
<[Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
loesche:
<wvsvc = "wvsvc.exe"
<[Win Update 32] winU32L.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Runservices
loesche:
<wvsvc = "wvsvc.exe"
<[Win Update 32] winU32L.exe
< [Synchronization huome lokd] h1m5w4s.exe
-----------
"Backdoor.Win32.Rbot.gen"
Gib oben links in die Suchfunktion der Registry ein:
<winU32L
<Windows AdControl
<WinAdCtl
C:\WINDOWS\System32\wvsvc.exe
<Synchronization huome lokd
< h1m5w4s
und loesche RECHTS in der Registry alles, was du findest:
...........................................................................................................
Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.searchmiracle.com/
O2 - BHO: (no name) - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O4 - HKLM\..\Run: [Synchronization huome lokd] h1m5w4s.exe
O4 - HKLM\..\Run: [SP2 data] c:\windows\system32\winstat\repcale.exe c:\windows\system32\winstat\apc.exe
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [Starting up] wvsvc.exe [WORM_RBOT.QZ]
O4 - HKLM\..\RunServices: [Win Update 32] winU32L.exe ["Backdoor.Win32.Rbot.gen"]
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [Synchronization huome lokd] h1m5w4s.exe
O4 - HKLM\..\RunServices: [SP2 data] c:\windows\system32\winstat\repcale.exe c:\windows\system32\winstat\apc.exe
O4 - HKCU\..\Run: [Synchronization huome lokd] h1m5w4s.exe
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
neustarten
HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .In dem Fenster bei Dateiname einfügen:
C:\WINDOWS\System32\wvsvc.exe
....will be deleted by Windows when the system restarts..."YES"
PC neustarten
macche das auch mit:
<C:\WINDOWS\System32\winU32L.exe
<C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
<C:\Program Files\Windows AdControl\WinAdCtl.exe
<C:\Program Files\Windows AdControl
<C:\WINDOWS\System32\h1m5w4s.exe
<C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
<C:\WINDOWS\system32\MSNMSGR5.exe
<C:\WINDOWS\System32\wvsvc.exe
<c:\windows\system32\winstat
< c:\windows\system32\winstat\repcale.exe c:\windows\system32\winstat\apc.exe
#eScan-Trial
http://www.mwti.net/antivirus/escan/esc ... ivirus.asp (15-Tage- trial-Freeversion)
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
klicke auf: awn2k3e.exe
Registry
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM="N" "N"--also...in "Y" aendern
HKLM\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous=dword:00000001 "1" --««also....in "0" [dword:00000000] aendern
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous=
dword:00000001 "1" --««also....in "0" [dword:00000000] aendern
Datentraegerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
Dann poste UNBEDINGT noch mal das neue Log vom HijackThis (aber bitte die aktuelle Version, denn in der alten wird nicht alles angezeigt und so wird die Reinigung noch nicht abgeschlossen sein)
mfg
Nikita
*****
http://www.trendmicro.com/vinfo/virusen ... RM_RBOT.QZ
*****
Zuletzt geändert von Nikita am 20.11.2004, 11:57, insgesamt 15-mal geändert.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Nikita am 15.11.2004, 10:34
desdemona84 hat geschrieben:Kann man sich auf die Auswertung auf dieser Seite 100% verlassen?????
NEIN !!!!!!!!!!!!
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Nikita am 15.11.2004, 10:36
miezmutz hat geschrieben:zu 2.:
*http://hijackthis.de*/ hier kannst du dein logfile automatisch auswerten lassen, das ist ziemlich informativ...
für die Behebung deiner Probleme wird dir hoffentlich nikita bald eine präzise Anleitung posten...
Bitte, lieber miezmutz,
Poste bitte nicht mehr die automatische Logauswertung.....es ist sehr sehr schlecht, wenn du das unbeholfenen Usern so vor die Nase knallst, nur als Beispiel, ein sehr gefaehrlicher Backdoor wird in diesem Log als "gut" bezeichnet.
O4 - HKLM\..\RunServices: [Win Update 32] winU32L.exe ["Backdoor.Win32.Rbot.gen"]
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von nicy35 am 15.11.2004, 14:44
Hallo zusammen,
auch wenn es hier schon x mal gefragt wurde, habe beim scanen mit escan ebenfalls den Virus Backdoor.Win32.Rbot.gen angezeigt bekommen.
Alle Versuche den wieder loszuwerden sind bisher gescheitert. gibt es vielleicht doch eine Möglichkeit ohne eine Neuinstallation vom ihm befreit zu werden?
Vielen Dank im Voraus
auch wenn es hier schon x mal gefragt wurde, habe beim scanen mit escan ebenfalls den Virus Backdoor.Win32.Rbot.gen angezeigt bekommen.
Alle Versuche den wieder loszuwerden sind bisher gescheitert. gibt es vielleicht doch eine Möglichkeit ohne eine Neuinstallation vom ihm befreit zu werden?
Vielen Dank im Voraus
- nicy35
- Beiträge: 3
- Registriert: 15.11.2004, 14:35
von Nikita am 15.11.2004, 14:54
Hallo@nicy35
Dazu brauche ich:
<Lade das neuste HijackThis
HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
und die Info (abkopieren aus dem Scanlog) vom "eScan".
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
nach infected suchen und die Eintraege hier posten
mfg
Nikita
Dazu brauche ich:
<Lade das neuste HijackThis
HijackThis:
<zip<
http://www.downloads.subratam.org/hijackthis.zip
und die Info (abkopieren aus dem Scanlog) vom "eScan".
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
nach infected suchen und die Eintraege hier posten
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von nicy35 am 15.11.2004, 15:05
Hallo Nikita,
viele Dank für die schnell Antwort
hier schon mal mein hijack
der escan läuft noch, poste ich dann gleich nach
lg
Logfile of HijackThis v1.98.2
Scan saved at 13:59:05, on 15.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\drivers\CDAC11BA.EXE
D:\WINDOWS\System32\nvsvc32.exe
c:\fotowin\RTETPISv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Browser mouse\1.3\mouse32a.exe
D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
D:\WINDOWS\System32\swchost.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Yahoo!\Messenger\ypager.exe
D:\Programme\Zone Labs\ZoneAlarm\zapro.exe
D:\Programme\VisualZone\VisualZone.exe
D:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\Programme\Outlook Express\msimn.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\WINDOWS\system32\winlogon.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\DOKUME~1\Ute\LOKALE~1\Temp\mwavscan.com
D:\DOKUME~1\Ute\LOKALE~1\Temp\kavss.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
C:\PremiumTrader\ConsorsTrader.exe
C:\PremiumTrader\SIMEXNET.EXE
D:\Programme\Microsoft Office\Office\EXCEL.EXE
D:\Programme\Internet Explorer\iexplore.exe
C:\Ute's Arbeitszeugs\HijackThis.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis[1]\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] D:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Update] swchost.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [Microsoft Update] swchost.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Yahoo! Pager] D:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = D:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O4 - Global Startup: VisualZone.lnk = D:\Programme\VisualZone\VisualZone.exe
O8 - Extra context menu item: &Google Search - res://D:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://D:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3199669646
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Companion) - http://us.dl1.yimg.com/download.compani ... 3_16_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C77672E-9F1C-40A0-AFDD-8128BC8B0904}: NameServer = 217.237.150.97 217.237.149.161
viele Dank für die schnell Antwort
hier schon mal mein hijack
der escan läuft noch, poste ich dann gleich nach
lg
Logfile of HijackThis v1.98.2
Scan saved at 13:59:05, on 15.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\drivers\CDAC11BA.EXE
D:\WINDOWS\System32\nvsvc32.exe
c:\fotowin\RTETPISv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Browser mouse\1.3\mouse32a.exe
D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
D:\WINDOWS\System32\swchost.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Yahoo!\Messenger\ypager.exe
D:\Programme\Zone Labs\ZoneAlarm\zapro.exe
D:\Programme\VisualZone\VisualZone.exe
D:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\Programme\Outlook Express\msimn.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\WINDOWS\system32\winlogon.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\DOKUME~1\Ute\LOKALE~1\Temp\mwavscan.com
D:\DOKUME~1\Ute\LOKALE~1\Temp\kavss.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
C:\PremiumTrader\ConsorsTrader.exe
C:\PremiumTrader\SIMEXNET.EXE
D:\Programme\Microsoft Office\Office\EXCEL.EXE
D:\Programme\Internet Explorer\iexplore.exe
C:\Ute's Arbeitszeugs\HijackThis.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis[1]\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] D:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Update] swchost.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [Microsoft Update] swchost.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Yahoo! Pager] D:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = D:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O4 - Global Startup: VisualZone.lnk = D:\Programme\VisualZone\VisualZone.exe
O8 - Extra context menu item: &Google Search - res://D:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://D:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://D:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3199669646
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Companion) - http://us.dl1.yimg.com/download.compani ... 3_16_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C77672E-9F1C-40A0-AFDD-8128BC8B0904}: NameServer = 217.237.150.97 217.237.149.161
- nicy35
- Beiträge: 3
- Registriert: 15.11.2004, 14:35
Win32/Sober.A-->>swchost.exe
von Nikita am 15.11.2004, 15:39
Hallo@nicy35
Ich habe das nette "Tierchen" schon gefunden:
<D:\WINDOWS\System32\swchost.exe--->>>Win32/Sober.A
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924
Gehe in die Registry
Start<Ausfuehren<regedi
Gib obe links in die Suchfunktion der Registry ein:
<swchost
<Microsoft Update
und loesche RECHTS in der Registry alle Eintraege die du findest.(und die mit dem Backdoor in Verbindung stehen )
Poste mir bitte alle Eintraege, denn es interessiert mich, wo sich der Backdoor festsetzt)
zum Beispiel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
loesche:
[Microsoft Update] swchost.exe
Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten
O4 - HKLM\..\Run: [Microsoft Update] swchost.exe
O4 - HKLM\..\RunServices: [Microsoft Update] swchost.exe
neustarten
#oeffne das HijackThis.
<HijackThis-->Config-->Misc Tools-->Delete a file on reboot
kopiere rein:
D:\WINDOWS\System32\swchost.exe
PC neustarten
suche und loeche:
<Der Wurm enthält folgende Dateinamen unter denen er sich startet:
antiv.exe
driver.exe
driverini.exe
drv.exe
Expoler.exe
Filexe.exe
hlp16.exe
lssas.exe
qname.exe
spoole.exe
swchost.exe
syshost.exe
systemchk.exe
system.exe
winchk.exe
winlog32.exe
Winreg.exe
Weiterhin erzeugt er eine Datei in dem Verzeichnis %system%. Diese Datei kann verschiedene Namen besitzen, z.B.
<artiv.exe,
<sy-?O?T.exe
<similare.exe
Die Größe dieser Dateien beträgt 63488 Bytes.
Er sichert diese in der Datei Media.dll in dem Unterverzeichnis Macromed\Help des Verzeichnisses %system%
Datentraegerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
#oeffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
loesche alles , lasse nur stehen:
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
...............................................................
#Gehe in den abgesicherten Modus und scanne dort mit dem eScan.
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
Dann deinstalliere den eScan und lade:
<#Download NOD32 Antivirus System (15 Tage free) und scanne.
http://www.nod32.de/download/download.php
Man sollte jedoch darauf achten, dass man die Einstellungen dahingehend ändert das ALLE DATEIEN durchsucht werden. Voreingestellt sind nur bestimmte Dateitypen.
Dann poste das Log noch mal.
mfg
Nikita
**
http://uk.trendmicro-europe.com/enterpr ... .A&VSect=T
***
Win32/Sober.A
http://www.nod32.de/msgs/sobera.htm
***
Ich habe das nette "Tierchen" schon gefunden:
<D:\WINDOWS\System32\swchost.exe--->>>Win32/Sober.A
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924
Gehe in die Registry
Start<Ausfuehren<regedi
Gib obe links in die Suchfunktion der Registry ein:
<swchost
<Microsoft Update
und loesche RECHTS in der Registry alle Eintraege die du findest.(und die mit dem Backdoor in Verbindung stehen )
Poste mir bitte alle Eintraege, denn es interessiert mich, wo sich der Backdoor festsetzt)
zum Beispiel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
loesche:
[Microsoft Update] swchost.exe
Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten
O4 - HKLM\..\Run: [Microsoft Update] swchost.exe
O4 - HKLM\..\RunServices: [Microsoft Update] swchost.exe
neustarten
#oeffne das HijackThis.
<HijackThis-->Config-->Misc Tools-->Delete a file on reboot
kopiere rein:
D:\WINDOWS\System32\swchost.exe
PC neustarten
suche und loeche:
<Der Wurm enthält folgende Dateinamen unter denen er sich startet:
antiv.exe
driver.exe
driverini.exe
drv.exe
Expoler.exe
Filexe.exe
hlp16.exe
lssas.exe
qname.exe
spoole.exe
swchost.exe
syshost.exe
systemchk.exe
system.exe
winchk.exe
winlog32.exe
Winreg.exe
Weiterhin erzeugt er eine Datei in dem Verzeichnis %system%. Diese Datei kann verschiedene Namen besitzen, z.B.
<artiv.exe,
<sy-?O?T.exe
<similare.exe
Die Größe dieser Dateien beträgt 63488 Bytes.
Er sichert diese in der Datei Media.dll in dem Unterverzeichnis Macromed\Help des Verzeichnisses %system%
Datentraegerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
#oeffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
loesche alles , lasse nur stehen:
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
...............................................................
#Gehe in den abgesicherten Modus und scanne dort mit dem eScan.
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
Dann deinstalliere den eScan und lade:
<#Download NOD32 Antivirus System (15 Tage free) und scanne.
http://www.nod32.de/download/download.php
Man sollte jedoch darauf achten, dass man die Einstellungen dahingehend ändert das ALLE DATEIEN durchsucht werden. Voreingestellt sind nur bestimmte Dateitypen.
Dann poste das Log noch mal.
mfg
Nikita
**
http://uk.trendmicro-europe.com/enterpr ... .A&VSect=T
***
Win32/Sober.A
http://www.nod32.de/msgs/sobera.htm
***
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
ohh je
von nicy35 am 20.11.2004, 22:50
Hallo Nikita,
vielen Dank nochmals für die Hilfe soweit hat alles super geklappt, nur habe ich mir wohl selber einen Bock geschossen und wohl bei der Datenträgerbereinigung auch meine bereits vorhandenen Datein und Programme gelöscht, die ich jetzt seit Stunden versuche wiederzubekommen. Seltsamerweise kommt nach dem Neustart die Meldung MDATA.DAT error Leider weiß ich nicht wo ich die Datei wieder bekomme.
Einige Programme konnte ich ja schon wieder neu instalieren und die laufen wieder, nur sind dabei auch einige ältere die ich niergendwo mehr bekommen kann. Bei einigen wie z.b bei media Player gibt es auch Probleme denn wieder an laufen zu bekommen.
Vielleicht kennst dich ja damit auch aus?!!!!!
Wäre Dir sehr dankbar wendu mir da weiterhelfen könntest, konnte erst jetzt schreiben da ich nur zum Weekend zeit habe meine Rechner auf vorderman zu bringen.
Viele Grüße
Nicy
vielen Dank nochmals für die Hilfe soweit hat alles super geklappt, nur habe ich mir wohl selber einen Bock geschossen und wohl bei der Datenträgerbereinigung auch meine bereits vorhandenen Datein und Programme gelöscht, die ich jetzt seit Stunden versuche wiederzubekommen. Seltsamerweise kommt nach dem Neustart die Meldung MDATA.DAT error Leider weiß ich nicht wo ich die Datei wieder bekomme.
Einige Programme konnte ich ja schon wieder neu instalieren und die laufen wieder, nur sind dabei auch einige ältere die ich niergendwo mehr bekommen kann. Bei einigen wie z.b bei media Player gibt es auch Probleme denn wieder an laufen zu bekommen.
Vielleicht kennst dich ja damit auch aus?!!!!!
Wäre Dir sehr dankbar wendu mir da weiterhelfen könntest, konnte erst jetzt schreiben da ich nur zum Weekend zeit habe meine Rechner auf vorderman zu bringen.
Viele Grüße
Nicy
- nicy35
- Beiträge: 3
- Registriert: 15.11.2004, 14:35
von Nikita am 20.11.2004, 23:48
Hallo@
Das sieht mau aus...denn du hast ja sicher die Wiederherstellung ausgestellt (wie ich empfohlen hatte )
Du solltest nur loeschen:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
..........................................................................................................
<MDATA.DAT problem?
ist gelöst beim Neuinstallieren vom Drahtlosen Maus.
<windowsmedia/mp10
http://www.microsoft.com/windows/window ... fault.aspx
mfg
Nikita
Das sieht mau aus...denn du hast ja sicher die Wiederherstellung ausgestellt (wie ich empfohlen hatte )
Du solltest nur loeschen:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
..........................................................................................................
<MDATA.DAT problem?
ist gelöst beim Neuinstallieren vom Drahtlosen Maus.
<windowsmedia/mp10
http://www.microsoft.com/windows/window ... fault.aspx
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
12 Beiträge • Seite 1 von 1
Ähnliche Themen
| was ist tskdll.exe \Backdoor:WORM_RBOT.LM Forum: Online- und PC-Sicherheit Autor: miezmutz Antworten: |
Microsoft Services = "lssrv.exe" WORM_RBOT.CW Forum: Online- und PC-Sicherheit Autor: tamandua Antworten: |
Nail.exe + O4 - HKLM\..\RunServices: [svchost] svhost.exe Forum: Online- und PC-Sicherheit Autor: Don Carlos Antworten: |
O4 - HKLM\..\Run: [snpstd] C:\WINNT\vsnpstd.exe Forum: Online- und PC-Sicherheit Autor: Nikita Antworten: |
O4 - HKLM\..\Run: [MessengerPlus3] Forum: Online- und PC-Sicherheit Autor: Phax Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste