Huhu!
Wie es aus der Überschrift schon hervorgeht, hab ich immer diese 100% Auslastung, wenn ich was mit IE, Internet u.w.m. machen möchte...

Hab schon einiges im Abgesicherten Modus laufen lassen: AdAware, Antivir, Spybot, Escan... Hab ab und an mal was gefunden und behoben... Aber geändert hat sich net viel...

Da mal die LOG:

Code: Alles auswählen

Logfile of HijackThis v1.99.1
Scan saved at 14:01:44, on 24.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\HotKeys\Ikeymain.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\Wtablet\TabUserW.exe
C:\Programme\Prozess Browser\procexp.exe
C:\Programme\Opera7\Opera.exe
C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\Rar$EX00.263\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://new-search.net/search.php?v=6&aff=1071229
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://new-search.net/index.php?v=6&aff=1071229
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HotKeys\Ikeymain.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\Wtablet\TabUserW.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.170.82/e9xr2.chm::/file.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116780623893
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A8E4195-2E4D-47AC-A3A8-4A9BC7B384E8}: NameServer = 195.71.204.3 193.189.244.205
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe

Kann einer was damit anfangen?

Mfg Demidrin

P.S.: Hab am Sonntag erst den Rechner neu formatiert.

P.P.S.: Ich will nicht unbedingt SP2 installieren wenn es nicht unbedingt sein muß, da ich beim letzten Mal, immer ein Ruckelproblem mit meinem alten DVD Laufwerk hatte...

P.P.P.S.: Letztendlich lastet die rpcrt4.dll (Remote Procedure Call Runtime) im svchost den CPU immer so aus. Wenn ich nur diese kille und nicht die svchost komplett, hab ich für ne kurze Zeit Ruhe...

Hallo@Demidrin

W32.Francette.Worm

W32.Francette.Worm is a worm that exploits the DCOM RPC vulnerability (described in Microsoft Security Bulletin MS03-026) using TCP port 135, as well as the Microsoft IIS Web Server Folder Traversal vulnerability (described in Microsoft Security Bulletin MS00-078). The existence of the file syshost.exe is an indication of a possible infection.

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://new-search.net/search.php?v=6&aff=1071229
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://new-search.net/index.php?v=6&aff=1071229
O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.170.82/e9xr2.chm::/file.exe

PC neustarten

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Ni ... kfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt


•KillBox
http://bilder.informationsarchiv.net/Ni ... illBox.zip
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html

•Delete File on Reboot <--anhaken

C:\WINDOWS\system32\syshost.exe

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "yes"



PC neustarten

Lade das Tool:windsdoorcleaner
http://nikita.eddys-domain.de/windsdoorcleaner.html

Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 10 Tage raus

einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit


Please download DllCompare from here
http://www.atribune.org/downloads/DllCompare.exe
<klick: Locate.com button.
wenn der Scan beendet ist
<klick:Compare button
<klick: und erstelle das Log--->bitte posten

Danke für die schnelle Antwort!

Hier schonmal die erste Log:

Code: Alles auswählen

C:\

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\saxzip.ocx: UPX!
C:\WINDOWS\system32\syshost.exe: UPX!
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213

Files Found in all users startup Folder............
------------------------
C:\WINDOWS\system32\saxzip.ocx: UPX!
C:\WINDOWS\system32\syshost.exe: UPX!
Files Found in all users windows Folder............
------------------------
Finished
bye

Ich mach mal weiter im Text...
Schon irgendwelche neuen Änderungen? @Log

Mfg Demidrin

es bleibt dabei:

loesche mit der Killbox:

C:\WINDOWS\system32\syshost.exe

Ok, soweit alles ausgeführt, hier die Logs:

Hab die Logs einfach auf meinen Server hochgeladen, ist einfacher:
system32.txt => entfernt
systemtemp.txt => entfernt
system.txt => entfernt
sys.txt => entfernt

DllCompare:

Code: Alles auswählen

*    DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found :)"
________________________________________________

2.516 items found:  2.516 files, 0 directories.
Total of file sizes:  462.114.272 bytes    440,70 M

Administrator Account =  True

--------------------End log---------------------

Es scheint als wäre mein System nun clean, oder?

Auf jeden Fall herzlichen Dank!!!

Mfg Demidrin

Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 10 Tage raus

einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit


wenn sich der Editor oeffnet--> poste, was da steht.......

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

Schon klar...

Ich hatte auch alle auf meinem Server hochgeladen, die Txt - Dateien... Dachte nur, dass du schon alle gelesen hast.

Werd nacher die Dinger nochmal reinposten, damit sie endgültig hier stehen...

Mfg Demidrin

Ok, hier die Einträge der letzten 10 Tage aus der system32.txt:

Code: Alles auswählen

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CAB-F116

Verzeichnis von C:\WINDOWS\system32

26.05.2005  11:10            21.961 nvapps.xml
26.05.2005  11:08            12.357 Tablet.dat
26.05.2005  11:07             2.184 wpa.dbl
25.05.2005  21:14            18.560 BMXState-{00000000-00000000-0000000C-00001102-00000004-00531102}.rfx
25.05.2005  21:14            23.196 BMXCtrlState-{00000000-00000000-0000000C-00001102-00000004-00531102}.rfx
25.05.2005  21:14            18.560 BMXStateBkp-{00000000-00000000-0000000C-00001102-00000004-00531102}.rfx
25.05.2005  21:14            23.196 BMXBkpCtrlState-{00000000-00000000-0000000C-00001102-00000004-00531102}.rfx
25.05.2005  21:14             1.072 settings.sfm
25.05.2005  21:14             1.072 settingsbkup.sfm
25.05.2005  21:14                24 DVCStateBkp-{00000000-00000000-0000000C-00001102-00000004-00531102}.dat
25.05.2005  21:14                24 DVCState-{00000000-00000000-0000000C-00001102-00000004-00531102}.dat
25.05.2005  07:29           311.740 perfh009.dat
25.05.2005  07:29           316.924 perfh007.dat
25.05.2005  07:29            40.128 perfc009.dat
25.05.2005  07:29            48.354 perfc007.dat
25.05.2005  07:29           723.744 PerfStringBackup.INI
24.05.2005  13:21           237.552 FNTCACHE.DAT
22.05.2005  23:23                 0 sss.exe
22.05.2005  21:35               839 auto_update_uninstall.log
22.05.2005  21:07                22 $$$_.log
22.05.2005  21:05                 1 vx.tll
22.05.2005  20:44             3.033 jupdate-1.4.2_01-b06.log
22.05.2005  19:35                 2 tmp3.txt
22.05.2005  19:22             3.011 jupdate-1.5.0_02-b09.log
22.05.2005  19:18            16.832 amcompat.tlb
22.05.2005  19:18            23.392 nscompat.tlb
22.05.2005  18:27             2.368 SVKP.sys
22.05.2005  16:53                 0 h323log.txt
22.05.2005  16:04            25.065 wmpscheme.xml
22.05.2005  16:01               261 $winnt$.inf
22.05.2005  15:59             2.951 CONFIG.NT
22.05.2005  15:58               488 logonui.exe.manifest
22.05.2005  15:58               488 WindowsLogon.manifest
22.05.2005  15:57               749 ncpa.cpl.manifest
22.05.2005  15:57               749 wuaucpl.cpl.manifest
22.05.2005  15:57               749 nwc.cpl.manifest
22.05.2005  15:57               749 sapi.cpl.manifest
22.05.2005  15:57               749 cdplayer.exe.manifest
22.05.2005  15:56            21.740 emptyregdb.dat
            2194 Datei(en)    392.444.584 Bytes
               0 Verzeichnis(se), 14.275.661.824 Bytes frei

systemtemp.txt

Code: Alles auswählen

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CAB-F116

Verzeichnis von C:\DOKUME~1\ADMIN~1\LOKALE~1\Temp

26.05.2005  11:16           257.507 azplugins_1.3.1.jar
26.05.2005  11:15               688 AZU22698.tmp
26.05.2005  11:15         5.645.860 Azureus2.3.0.2.jar
26.05.2005  11:11             3.881 AZU10328.tmp
26.05.2005  11:10            16.384 Perflib_Perfdata_51c.dat
26.05.2005  11:10             3.914 jusched.log
24.05.2005  17:06                51 kb.log
24.05.2005  17:05            16.384 ~DF14FC.tmp
24.05.2005  16:22            16.384 Perflib_Perfdata_5bc.dat
24.05.2005  16:21            16.384 Perflib_Perfdata_1ac.dat
24.05.2005  16:01           163.840 ~WRF0000.tmp
24.05.2005  13:58            16.384 ~DFFBB7.tmp
              12 Datei(en)      6.157.661 Bytes
               0 Verzeichnis(se), 14.273.552.384 Bytes frei

system.txt

Code: Alles auswählen

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CAB-F116

Verzeichnis von C:\WINDOWS

26.05.2005  12:45               504 win.ini
26.05.2005  11:13           386.484 WindowsUpdate.log
26.05.2005  11:08                 0 0.log
26.05.2005  11:07            12.942 SchedLgU.Txt
26.05.2005  11:07             2.048 bootstat.dat
25.05.2005  07:20             7.187 setupapi.log
24.05.2005  19:07             1.125 winamp.ini
24.05.2005  16:55           706.098 ntbtlog.txt
24.05.2005  12:54           371.905 iis6.log
24.05.2005  12:54           102.264 comsetup.log
24.05.2005  12:54            61.143 ntdtcsetup.log
24.05.2005  12:54             7.621 tabletoc.log
24.05.2005  12:54             1.374 imsins.log
24.05.2005  12:54           130.884 tsoc.log
24.05.2005  12:54            17.560 KB893803v2.log
24.05.2005  12:54            27.075 netfxocm.log
24.05.2005  12:54           139.959 ocgen.log
24.05.2005  12:54            11.310 ocmsn.log
24.05.2005  12:54            13.927 msgsocm.log
24.05.2005  12:54           269.859 FaxSetup.log
24.05.2005  12:54            94.376 msmqinst.log
24.05.2005  12:53             1.374 imsins.BAK
24.05.2005  12:53            24.776 KB885835.log
24.05.2005  12:52            23.994 KB890859.log
24.05.2005  12:52             4.682 updspapi.log
24.05.2005  12:52            12.090 KB890923-IE6SP1-20050225.103456.log
24.05.2005  12:52            16.271 KB893066.log
24.05.2005  12:51            13.779 KB892944.log
24.05.2005  12:51            16.538 KB893086.log
24.05.2005  12:51            14.083 KB873333.log
24.05.2005  12:51            11.513 KB888113.log
24.05.2005  12:50            11.493 KB891781.log
24.05.2005  12:50            11.491 KB888302.log
24.05.2005  12:50            11.003 KB890175.log
24.05.2005  12:50            11.049 KB885836.log
24.05.2005  12:50            10.942 KB873339.log
24.05.2005  12:02         1.083.995 setupapi.log.0.old
24.05.2005  11:58           203.171 svcpack.log
24.05.2005  10:11            31.191 xpsp1hfm.log
24.05.2005  10:11           119.322 KB828741.log
24.05.2005  10:11           126.832 KB835732.log
24.05.2005  10:10            85.916 Q329048.log
24.05.2005  10:10           113.390 Q329170.log
24.05.2005  10:10               624 avmcoins.log
24.05.2005  10:10            85.684 Q329390.log
24.05.2005  10:09           113.682 Q329441.log
24.05.2005  10:09            85.624 Q329834.log
24.05.2005  10:09           113.635 Q810577.log
24.05.2005  10:08           113.737 Q810833.log
24.05.2005  10:07           113.723 Q811630.log
24.05.2005  10:07           113.835 Q817606.log
24.05.2005  09:33            22.851 KB834707-IE6SP1-20040929.091901.log
24.05.2005  09:32            38.507 KB823559.log
24.05.2005  09:28             2.141 Q329115.log
24.05.2005  09:27             1.752 Q323255.log
22.05.2005  22:21            80.182 DirectX.log
22.05.2005  21:44               227 system.ini
22.05.2005  21:31                50 wiaservc.log
22.05.2005  21:31               216 wiadebug.log
22.05.2005  19:49         3.778.236 {00000000-00000000-0000000C-00001102-00000004-00531102}.CDF
22.05.2005  19:49         3.778.236 {00000000-00000000-0000000C-00001102-00000004-00531102}.BAK
22.05.2005  19:25             1.165 OEWABLog.txt
22.05.2005  19:17            32.768 Active Setup Log.txt
22.05.2005  18:53             6.216 KB842773.log
22.05.2005  18:53           179.656 setupact.log
22.05.2005  18:05               400 ODBC.INI
22.05.2005  18:00               433 nsw.log
22.05.2005  17:23                 0 OpPrintServer.INI
22.05.2005  16:52             2.492 regopt.log
22.05.2005  16:51                 0 Sti_Trace.log
22.05.2005  16:49               317 SBWIN.INI
22.05.2005  16:46           299.552 WMSysPrx.prx
22.05.2005  16:04           715.274 setuplog.txt
22.05.2005  16:02             8.192 REGLOCS.OLD
22.05.2005  16:01             1.246 setuperr.log
22.05.2005  15:59                 0 control.ini
22.05.2005  15:58             4.161 ODBCINST.INI
22.05.2005  15:58               240 Windows Update.log
22.05.2005  15:57               749 WindowsShell.Manifest
22.05.2005  15:56             1.060 sessmgr.setup.log
22.05.2005  15:56                36 vb.ini
22.05.2005  15:56                37 vbaddin.ini
22.05.2005  15:55               128 DtcInstall.log
             142 Datei(en)     24.111.701 Bytes
               0 Verzeichnis(se), 14.274.985.984 Bytes frei

sys.txt

Code: Alles auswählen

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CAB-F116

Verzeichnis von C:\

26.05.2005  12:52                 0 sys.txt
26.05.2005  12:51             7.422 system.txt
26.05.2005  12:50               886 systemtemp.txt
26.05.2005  12:46           107.440 system32.txt
26.05.2005  11:07       805.306.368 pagefile.sys
24.05.2005  10:00            47.580 NTDETECT.COM
24.05.2005  10:00           235.296 ntldr
22.05.2005  21:44               194 boot.ini
22.05.2005  15:59                 0 CONFIG.SYS
22.05.2005  15:59                 0 AUTOEXEC.BAT
22.05.2005  15:59                 0 IO.SYS
22.05.2005  15:59                 0 MSDOS.SYS
              13 Datei(en)    805.710.138 Bytes
               0 Verzeichnis(se), 14.274.981.888 Bytes frei

Ok, das wär's dann...

Mfg Demidrin

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt oder mwav.log und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein


•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten

Er hat nichts unter dem Stichwort "infected" gefunden...

Soll ich sonst nochwas machen?

Mfg Demidrin

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

Poste das neue Log vom HijackThis: