Also Moin erstma

Ich hab erst vor Kurzem den Rechner hier platt gemacht und muss nu mit entsetzen feststellen, daß trotz aller mir bekannten Sicherheitsmaßnahmen, wieder n fieser Plagegeist den Weg zu mir gefunden hat.

Habe ein wenig im Forum herum gestöbert, fand aber nicht wirklich einen auf mein Problem zutreffenden Post (vllt. hab ich auch nich richtig gesucht).

Nun ich konnte mir wenigstens schon mal dieses HiJack Dings besorgen und installieren, aus dem Log werde ich aber nicht schlauer.

Das Problem sieht folgendermaßen aus:

Ich verbinde mich Manuell zu Hanse Net. Das System läuft also zunächst einwandfrei, nach kurzer Zeit nachdem ich die Verbindung aufgebaut hab, versucht der IE sich zu öffnen, was einen Crash verursacht und diesen Windows "Debugger"hervorruft. Im Task Manager taucht dann kurzzeitig DrWtsn32.exe oder so auf,
ich denke mal das gehört so. Naja Das Problem ist aber, dass der AVGuard ziemlich penetrant mit einem Piepen auf die ole32ws.dll reagiert und dies immer wieder tut, da er scheinbar nutzlos in diesem Fall ist und das piepen mich nervt ^^ wollt ich genauer wissen was da los is.



Logfile of HijackThis v1.99.0
Scan saved at 11:22:58, on 18.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP4 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\AntiVir\AVGUARD.EXE
D:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\PROGRA~1\HanseNet\HANSEN~1\app\pppoeservice.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\CTHELPER.EXE
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
D:\Programme\AntiVir\AVGNT.EXE
C:\PROGRA~1\HanseNet\HANSEN~1\app\EnterNet.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINNT\system32\winmsdc.exe
C:\WINNT\system32\vwipxspnt.exe
C:\WINNT\system32\tlntadmnx.exe
D:\Programme\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {DD7A095C-6845-4640-A806-383699951C19} - C:\WINNT\System32\msfev.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: http://*.xx.xxx.xxx.x
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA643D6B-E501-45E8-AE59-234E0BBD3826}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF1DAB74-E4DD-4132-B4F1-D4C090A579AE}: NameServer = 69.50.188.180,195.225.176.31
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: PPPoE Service - Unknown - C:\PROGRA~1\HanseNet\HANSEN~1\app\pppoeservice.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe




Möglicherweise kann mir jemand helfen. Danke schonmal im Vorraus.

*Winkt*

Hallo@b00n

1) lade herunter
remv3.zip
http://forums.skads.org/index.php?showtopic=80
(dort im 1. Posting von Baskar unter Attached File(s)!).
2) entpacke es im verzeichnis C:\WINNT\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O2 - BHO: (no name) - {DD7A095C-6845-4640-A806-383699951C19} - C:\WINNT\System32\msfev.dll
O15 - Trusted Zone: http://*.xx.xxx.xxx.x ???????

3) starte den rechner im abgesicherten modus.
(F8 druecken, wenn der PC hochfaehrt)
und melde dich als Administrator an

Loesche den Inhalt von folgendem:
(nicht den Ordner und nicht die index.dat loeschen)
C:\Dokumente und Einstellungen\dein Username\Lokale Einstellungen\Temporary Internet Files\Content.IE5\

du musst alle Dateien in diesem Ordner loeschen, denn dort ist die
Content.IE5\47692NA7
cax[1].cab
ArchiveType: CAB (Microsoft)
--> Ole32ws.dll

Loesche:
C:\WINNT\System32\msfev.dll
C:\WINNT\system32\winmsdc.exe
C:\WINNT\system32\vwipxspnt.exe
C:\WINNT\system32\tlntadmnx.exe

4) starte die datei rem.bat, scannen lassen.
5) starte den rechner anschließend im normalen modus.
6) unter C:\ sollte nun eine datei namens log.txt zu finden sein.
7) markiere den inhalt und füge ihn hier ein.

------------------------------------------------------------------------------------

Please download DllCompare from here
http://www.atribune.org/downloads/DllCompare.exe
<klick: Locate.com button.
wenn der Scan beendet ist
<klick:Compare button
<klick: und erstelle das Log--->bitte posten
--------------------------------------------------------------------------------------

Lade: diese zip.pv
http://downloads.subratam.org/pv.zip
Oeffne--> pv folder -->Doppelklick: runme.bat
dos window oeffnet sich
waehle: option 1 fuer explorer dll's -->enter
Notepad oeffnet sich -->poste den Text
--------------------------------------------------------------------------------------

Downloader-DA.dll PornWare.Dialer.OnlineDialer, PornWare.Dialer.OnlineDialer
#<Online-Scann (Panda)
http://www.pandasoftware.com/activescan ... ncipal.htm


und poste das neue Log vom HijackThis

remv3.bat Logfile:

Files Found.................
----------------------------------------

Files Not deleted.................
----------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------


Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting
-----------------------------------------------------------------
msi.dll
Finished

Dll Compare:

* DLLCompare Log version()
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found "
________________________________________________

1.046 items found: 1.046 files, 0 directories.
Total of file sizes: 190.333.763 bytes 181,52 M

Administrator Account = True

--------------------End log---------------------

runme.bat Logfile:


Module information for 'Explorer.EXE'
MODULE BASE SIZE PATH
Explorer.EXE 400000 253952 C:\WINNT\Explorer.EXE 5.00.3700.6690 Windows Explorer
ntdll.dll 77f80000 503808 C:\WINNT\system32\ntdll.dll 5.00.2195.6685 NT Layer DLL
ADVAPI32.DLL 7c2d0000 401408 C:\WINNT\system32\ADVAPI32.DLL 5.00.2195.6710 Advanced Windows 32 Base API
KERNEL32.DLL 7c4e0000 757760 C:\WINNT\system32\KERNEL32.DLL 5.00.2195.6688 Windows NT BASE API Client DLL
RPCRT4.DLL 77d30000 462848 C:\WINNT\system32\RPCRT4.DLL 5.00.2195.6701 Remote Procedure Call Runtime
GDI32.DLL 77f40000 245760 C:\WINNT\system32\GDI32.DLL 5.00.2195.6660 GDI Client DLL
USER32.DLL 77e10000 413696 C:\WINNT\system32\USER32.DLL 5.00.2195.6688 Windows 2000 USER API Client DLL
SHLWAPI.DLL 77c70000 303104 C:\WINNT\system32\SHLWAPI.DLL 5.00.3502.6601 Shell Light-weight Utility Library
COMCTL32.DLL 77b50000 561152 C:\WINNT\system32\COMCTL32.DLL 5.81 Common Controls Library
shim.dll 732e0000 151552 C:\WINNT\system32\shim.dll 5.00.2195.6717 Shim Engine DLL
AcLayers.DLL 23000000 352256 C:\WINNT\AppPatch\AcLayers.DLL 5.00.2195.6717 Windows 2000 Shim Accessory DLL
SHELL32.dll 782f0000 2392064 C:\WINNT\system32\SHELL32.dll 5.00.3700.6705 Windows Shell Common Dll
OLE32.DLL 77a50000 1011712 C:\WINNT\system32\OLE32.DLL 5.00.2195.6692 Microsoft OLE for Windows
SHDOCVW.DLL 7c1b0000 1122304 C:\WINNT\system32\SHDOCVW.DLL 5.00.3700.6668 Shell Doc Object and Control Library
browseui.dll 76e10000 815104 C:\WINNT\System32\browseui.dll 5.00.3700.6661 Shell Browser UI Library
USERENV.DLL 7c0f0000 401408 C:\WINNT\system32\USERENV.DLL 5.00.2195.6711 Userenv
MSVCRT.DLL 78000000 282624 C:\WINNT\system32\MSVCRT.DLL 6.10.9844.0 Microsoft (R) C Runtime Library
OLEAUT32.DLL 779b0000 634880 C:\WINNT\system32\OLEAUT32.DLL 2.40.4522
URLMON.DLL 77640000 466944 C:\WINNT\system32\URLMON.DLL 5.00.3700.6705 OLE32 Extensions for Win32
VERSION.DLL 77820000 28672 C:\WINNT\system32\VERSION.DLL 5.00.2195.6623 Version Checking and File Installation Libraries
LZ32.DLL 759b0000 24576 C:\WINNT\system32\LZ32.DLL 5.00.2195.6611 LZ Expand/Compress API DLL
mlang.dll 75d50000 532480 C:\WINNT\system32\mlang.dll 5.00.3700.6655 Multi Language Support DLL
mshtml.dll 75af0000 2367488 C:\WINNT\system32\mshtml.dll 5.00.3700.6699 Microsoft (R) HTML Viewer
WININET.DLL 76c00000 475136 C:\WINNT\system32\WININET.DLL 5.00.3700.6713 Internet Extensions for Win32
RASAPI32.DLL 774e0000 208896 C:\WINNT\system32\RASAPI32.DLL 5.00.2195.6625 Remote Access API
RASMAN.DLL 774c0000 69632 C:\WINNT\system32\RASMAN.DLL 5.00.2195.6604 Remote Access Connection Manager
WS2_32.DLL 75030000 81920 C:\WINNT\system32\WS2_32.DLL 5.00.2195.6601 Windows Socket 2.0 32-Bit DLL
WS2HELP.DLL 75020000 32768 C:\WINNT\system32\WS2HELP.DLL 5.00.2134.1 Windows Socket 2.0 Helper for Windows NT
TAPI32.DLL 77530000 139264 C:\WINNT\system32\TAPI32.DLL 5.00.2195.6664 Microsoft® Windows(TM) Telephony API Client DLL
RTUTILS.DLL 77830000 57344 C:\WINNT\system32\RTUTILS.DLL 5.00.2168.1 Routing Utilities
sensapi.dll 75ab0000 20480 C:\WINNT\system32\sensapi.dll 5.00.2195.6627 SENS Connectivity API DLL
MPR.DLL 76620000 69632 C:\WINNT\system32\MPR.DLL 5.00.2195.6611 Multiple Provider Router DLL
shdoclc.dll 76d90000 339968 C:\WINNT\system32\shdoclc.dll 5.00.3700.6668 Shell Doc Object and Control Library
NETSHELL.dll 76f20000 487424 C:\WINNT\system32\NETSHELL.dll 5.00.2195.6604 Network Connections Shell
MSLS31.DLL 75ac0000 163840 C:\WINNT\system32\MSLS31.DLL 3.10.337.0 Microsoft Line Services library file
webcheck.dll 76680000 266240 C:\WINNT\System32\webcheck.dll 5.00.3502.6601 Web Site Monitor
stobject.dll 766d0000 98304 C:\WINNT\system32\stobject.dll 5.00.2195.6601 Systray shell service object
BATMETER.DLL 76740000 32768 C:\WINNT\system32\BATMETER.DLL 5.00.3502.6601 Battery Meter Helper DLL
SETUPAPI.DLL 77880000 581632 C:\WINNT\system32\SETUPAPI.DLL 5.00.2195.6622 Windows Setup API
POWRPROF.DLL 766f0000 28672 C:\WINNT\system32\POWRPROF.DLL 5.00.3502.6601 Power Profile Helper DLL
WINMM.DLL 77570000 196608 C:\WINNT\system32\WINMM.DLL 5.00.2161.1 MCI API DLL
MSI.DLL 1a60000 2113536 C:\WINNT\system32\MSI.DLL 2.0.2600.1183 Windows Installer
IMM32.DLL 75e60000 106496 C:\WINNT\system32\IMM32.DLL 5.00.2195.6655 Windows 2000 IMM32 API Client DLL
cscui.dll 77840000 253952 C:\WINNT\system32\cscui.dll 5.00.2195.6705 Client Side Caching UI
CSCDLL.DLL 770c0000 143360 C:\WINNT\system32\CSCDLL.DLL 5.00.2195.6713 Offline Network Agent
wdmaud.drv 77560000 32768 C:\WINNT\system32\wdmaud.drv 5.00.2195.6673 WDM Audio driver mapper
msacm32.drv 77400000 32768 C:\WINNT\system32\msacm32.drv 5.00.2134.1 Microsoft Sound Mapper
MSACM32.dll 77410000 77824 C:\WINNT\system32\MSACM32.dll 5.00.2134.1 Microsoft ACM Audio Filter
ntlanman.dll 75160000 49152 C:\WINNT\System32\ntlanman.dll 5.00.2195.6601 Microsoft® Lan Manager
NETUI0.DLL 75210000 86016 C:\WINNT\System32\NETUI0.DLL 5.00.2195.6601 NT LM UI Common Code - GUI Classes
NETUI1.DLL 751d0000 229376 C:\WINNT\System32\NETUI1.DLL 5.00.2134.1 NT LM UI Common Code - Networking classes
NETAPI32.DLL 75170000 323584 C:\WINNT\System32\NETAPI32.DLL 5.00.2195.6601 Net Win32 API DLL
SECUR32.DLL 7c340000 61440 C:\WINNT\System32\SECUR32.DLL 5.00.2195.6695 Security Support Provider Interface
NETRAP.DLL 751c0000 24576 C:\WINNT\System32\NETRAP.DLL 5.00.2134.1 Net Remote Admin Protocol DLL
SAMLIB.DLL 75150000 61440 C:\WINNT\System32\SAMLIB.DLL 5.00.2195.6666 SAM Library DLL
WLDAP32.DLL 77950000 172032 C:\WINNT\system32\WLDAP32.DLL 5.00.2195.6666 Win32 LDAP API DLL
DNSAPI.DLL 77980000 147456 C:\WINNT\System32\DNSAPI.DLL 5.00.2195.6680 DNS Client API DLL
WSOCK32.DLL 75050000 32768 C:\WINNT\System32\WSOCK32.DLL 5.00.2195.6603 Windows Socket 32-Bit DLL
browselc.dll 76ee0000 45056 C:\WINNT\System32\browselc.dll 5.00.3700.6661 Shell Browser UI Library
LINKINFO.DLL 76710000 36864 C:\WINNT\system32\LINKINFO.DLL 5.00.2134.1 Windows Volume Tracking
ntshrui.dll 76fa0000 61440 C:\WINNT\system32\ntshrui.dll 5.00.2134.1 Shell extensions for sharing
ATL.DLL 773e0000 86016 C:\WINNT\system32\ATL.DLL 3.00.9435 ATL Module for Windows NT (Unicode)
docprop2.dll 71f00000 315392 C:\WINNT\System32\docprop2.dll 5.00.2178.1 DocProp2
MSVFW32.DLL 6a8f0000 131072 C:\WINNT\System32\MSVFW32.DLL 5.00.2195.6612 Microsoft Video for Windows DLL
AVIFIL32.DLL 74870000 90112 C:\WINNT\System32\AVIFIL32.DLL 5.00.2195.6612 Microsoft AVI File support library
faxshell.dll 70020000 20480 C:\WINNT\system32\faxshell.dll 5.00.2134.1 Fax Tiff Data Column Provider
rarext.dll 2ad0000 176128 C:\Program Files\WinRAR\rarext.dll
mydocs.dll 76df0000 69632 C:\WINNT\system32\mydocs.dll 5.00.3502.6601 My Documents Folder UI




Erstmal das.

Danach bin ich n bisschen skeptisch. Ich muss diese Panda Software Verifizieren. Darf ich das guten Gewissens machen?

In der Hoffnung dass es keine Falle von dir war, mach ich das einfach mal^^

(1 min. später)

Hargs...
AVGuard meldet W95/Bumble in der Datei Sete.tmp ...

Hilfeeeee^^

Falls der letzte Link nen "Scherz" war hier der HiJack Log

Logfile of HijackThis v1.99.0
Scan saved at 13:59:24, on 18.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP4 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\AntiVir\AVGUARD.EXE
D:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\PROGRA~1\HanseNet\HANSEN~1\app\pppoeservice.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\CTHELPER.EXE
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
D:\Programme\AntiVir\AVGNT.EXE
C:\PROGRA~1\HanseNet\HANSEN~1\app\EnterNet.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Programme\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.phantasmorgia.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AntiVir\AVGNT.EXE /min
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA643D6B-E501-45E8-AE59-234E0BBD3826}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF1DAB74-E4DD-4132-B4F1-D4C090A579AE}: NameServer = 69.50.188.180,195.225.176.31
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: PPPoE Service - Unknown - C:\PROGRA~1\HanseNet\HANSEN~1\app\pppoeservice.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

Hallo@b00n

na, sieht doch schon ganz gut aus

die rem hat ganze Arbeit geleistet.

was war denn nun mit dem Scann (Panda???)

Scanne mit Antivirus und poste mir das Log vom Scann.

Also ich bin ja immer sehr vorsichtig, wenns um fremde Software ausm Internet geht. Aber ich habe diesen Scan mal gestartet und da wollte er halt was installieren. Da mein AVGuard aktiviert war, konnte er mich während der installation der Panda Software vor einer Datei warnen. Danach habe ich abgebrochen und das Program sich nicht weiter installieren lassen. Ich prüfe grad mal beide Platten und dann poste ich hier den Log

Danke nochmal für deine schnelle Hilfe. Du hast n Orden verdient^^


Log Datei von AV


Erstellungsdatum der Reportdatei: Mittwoch, 19. Januar 2005 14:06

AntiVir®/XP (2000 + NT) Personal Edition v6.29.00.03 vom 13.12.2004
VDF-Datei v6.29.0.66 (0) vom 17.01.2005


Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.


Es wird nach 95668 Viren bzw. unerwünschten Programmen gesucht.

Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149996-ADJIE-0001
FUSE: Grundlizenz

Bitte tragen Sie in dieses Formular den Rechnerstandort und
den zuständigen Ansprechpartner mit Telefonnummer ein:

Name ___________________________________________

Straße ___________________________________________

PLZ/Ort ___________________________________________

Telefon/Fax ___________________________________________

EMail ___________________________________________

Plattform: Windows NT Workstation
Windows-Version: 5.0 Build 2195 (Service Pack 4)
Benutzername: Administrator
Computername: RECHNER
Prozessor: Pentium
Arbeitsspeicher: 785888 KB frei

Versionsinformationen:
AVWIN.DLL : v6.29.00.03 524328 13.12.2004 11:45:58
AVEWIN32.DLL : v6.29.0.7 791040 17.01.2005 15:21:22
AVGNT.EXE : v6.28.00.02 127016 08.11.2004 08:12:44
AVGUARD.EXE : v6.29.00.03 241704 17.11.2004 14:44:04
GUARDMSG.DLL : v6.28.00.02 98344 30.09.2004 08:10:44
AVGCMSG.DLL : v6.28.00.02 266280 08.11.2004 08:12:44
AVGNTDD.SYS : v6.29.00.02 32560 10.12.2004 12:46:28
AVPACK32.DLL : v6, 28, 0, 4 303144 28.10.2004 10:37:46
AVGETVER.DLL : v6.22.00.00 24576 30.09.2004 08:10:40
AVWIN.DLL : v6.29.00.03 524328 13.12.2004 11:45:58
AVSHLEXT.DLL : v6.22.00.00 57344 30.09.2004 08:10:42
AVSched32.EXE : v6.29.00.00 110632 19.11.2004 12:04:14
AVSched32.DLL : v6.28.00.01 122880 30.09.2004 08:10:42
AVREG.DLL : v6.27.00.01 41000 30.09.2004 08:10:42
AVRep.DLL : v6.29.00.64 872488 17.01.2005 15:21:30
INETUPD.EXE : v6.29.00.02 262203 23.11.2004 12:51:52
INETUPD.DLL : v6.29.00.02 159815 23.11.2004 12:51:52
CTL3D32.DLL : v2.31.000 27136 07.12.1999 13:00:00
MFC42.DLL : v6.00.9586.0 1015859 19.06.2003 20:05:04
MSVCRT.DLL : v6.10.9844.0 286773 19.06.2003 20:05:04
CTL3DV2.DLL : Keine Information

Konfigurationsdaten:

Name der Konfigurationsdatei: D:\Programme\AntiVir\AVWIN.INI
Name der Reportdatei: D:\Programme\AntiVir\LOGFILES\AVWIN.LOG
Startpfad: D:\Programme\AntiVir
Kommandozeile:
Startmodus: unbekannt

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[ ] Alle Dateien
[X] Programmdateien
Endungen: .386 .?HTM .?HTML .ACM .ADE .ADP .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF .JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MHT* .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PHT* .PIF .PKG .PL* .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[X] AVWin®/NT Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Laufwerke:
A: Diskettenlaufwerk
C: Festplatte
D: Festplatte
E: CDRom
F: CDRom

Start des Suchlaufs: Mittwoch, 19. Januar 2005 14:06

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK


C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Documents and Settings\Administrator\Local Settings\Temp
~DFC111.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
~DFC34B.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
~DFC363.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
~DFC37B.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
~DFC393.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Program Files\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINNT\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINNT\Temp
ZLT03d5e.TMP
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!


D:\Downloads\Ultima Online
UOAOS_July_03.exe
ArchiveType: ZIP SFX (self extracting)
--> Client\client1.cab
ArchiveType: CAB (Microsoft)
--> Anim1024.bin
WARNUNG! Fehler beim Schreiben der Datei
--> Anim256.bin
WARNUNG! Fehler beim Schreiben der Datei
--> Antx1024.bin
WARNUNG! Fehler beim Schreiben der Datei
--> Antx256.bin
WARNUNG! Fehler beim Schreiben der Datei
--> Binkw32.dll
WARNUNG! Fehler beim Schreiben der Datei
--> Granny.dll
WARNUNG! Fehler beim Schreiben der Datei
--> Igrping.dll
WARNUNG! Fehler beim Schreiben der Datei
--> Owo.exe
WARNUNG! Fehler beim Schreiben der Datei
--> Patchw32.dll
WARNUNG! Fehler beim Schreiben der Datei
--> Transerv.exe
WARNUNG! Fehler beim Schreiben der Datei
--> UO.exe
WARNUNG! Fehler beim Schreiben der Datei
--> UOPatch.exe
WARNUNG! Fehler beim Schreiben der Datei
--> Vercfg
WARNUNG! Fehler beim Schreiben der Datei
--> Verinfo
WARNUNG! Fehler beim Schreiben der Datei
--> Version.dat
WARNUNG! Fehler beim Schreiben der Datei
D:\Spiele
www.saugstube.to.NFSU.2a.rar
ArchiveType: RAR
--> sg-nu2a\sg-nu2a.bin
HINWEIS! Die Datei ist passwortgeschützt
--> Saugstube die beste Emulepage im Netz.url
HINWEIS! Die Datei ist passwortgeschützt
www.saugstube.to.NFSU.2b.rar
ArchiveType: RAR
--> sg-nu2b\sg-nu2b.bin
HINWEIS! Die Datei ist passwortgeschützt
--> Saugstube die beste Emulepage im Netz.url
HINWEIS! Die Datei ist passwortgeschützt
Fehler beim Wechsel in das Verzeichnis System Volume Information

Ende des Suchlaufs: Mittwoch, 19. Januar 2005 14:21
Benötigte Zeit: 15:39 min


1237 Verzeichnisse wurden durchsucht
39920 Dateien wurden geprüft
27 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden

Hallo@b00n

Start--> Ausfuehren--> schreib rein: cmd

DOS oeffnet sich

kopiere rein:

del c:\ *.tmp
--> bestaetige mit Y und "enter-Taste"

del %windir%\prefetch\*.*
--> bestaetige mit Y und "enter-Taste"

del %windir%\temp\*.* /f
--> bestaetige mit Y und "enter-Taste"

del C:\documents and settings\*\local settings\temp\*.* /f
--> bestaetige mit Y und "enter-Taste"


leere diesen Ordner: (nicht die Ordner selbst loeschen)

C:\Documents and Settings\Administrator\Local Settings\Temp

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat)

habsch gemacht ...

del %windir%\prefetch\*.* <----das hat nich geklappt

ansonsten hab ich alles gelöscht.

Das muesste nun weg sein.

C:\Documents and Settings\Administrator\Local Settings\Temp
~DFC111.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
~DFC34B.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
~DFC363.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
~DFC37B.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
~DFC393.tmp