Hallo,
seit kurzen bin ich endlich wieder online!
Fast' n halbes Jahr hatte ich mit meinem PC ganz schön Probleme und konnte nicht mehr ins Internet.
Habe erst spät herausgefunden, dass meine ganzen Windows-Dienste abgeschaltet waren.
Konnte noch nicht mal irgendetwas drauf installieren.
Na ja, jetzt scheint der PC so einigermaßen auf Vordermann zu sein.

Allerdings hab ich noch folgende Probleme mit dem PC:

1) über Avast zeigt er mir derzeit keine Viren etc an,
aber 1/0-Fehler: 146 Stück!! Was bedeutet das und wie kann ich die Fehler entfernen?

2) Spybot-S&D macht zeigt folgende Meldung:
"Fehler während der Überprüfung! NewDotNet (Datei C:\Windows\wininit.ini kann nicht geöffnet werden.
Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird)
Gratulation! Es wurden keine Spione gefunden"
So etwas hatte ich vorhor noch nicht! Ist seltsam. Ich habe doch keine anderen Prozesse laufen.
Kann mir vielleicht jemand dazu Genaueres sagen?

3) in Windows-Service Dienste hab ich so eine komische Datei auf deaktivert gestellt:
Name: "C-DillaSrv" mit folgendem EXE-Pfad: "C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE"
Sieht irgendwie komisch aus, weil es steht auch keine Beschreibung zu diesem Dienst dabei.
Kann mir da vielleicht einer weiterhelfen?

und 4) ich kann keine WindowsUpdates machen.
Wenn ich die Update-Seite aufrufe zeigt er mir kurz den Verbindungsaufbau an,
aber dannach nur noch eine blanco (leere) Seite ohne irgendein Inhalt.

Wäre super, wenn ich Hilfe bekommen würde.
Vielen Dank.
Liebe Grüße Anastasia

Sicher

Hijackthis:
http://computercops.biz/zx/Merijn/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Bebilderte Kurzanleitung

Hi,
im folgenden mein Log.
Während des Scans war die folgende Fehlermeldung von HijackThis:

1) notepad"C:\Windows\System32\drivers\etc\hosts"
Wenn ich richtig verstanden hab, soll ich wohl diese Datei selbst löschen?
Oder was soll ich damit machen?

2) danach kam ein Fenster mit dieser Mitteilung:
"An unexpected error has occurred at procedure: ModMain_CheckOther1Item()
Error #75 - Fehler beim Zugriff auf Pfad/Datei"

Ich hoffe, jemand kann mir sagen, was mit meinem PC los ist
und wie ich den wieder in Ordnung bringen kann!

Im Übrigen, ich hab' versucht drei mal hintereinander auf Vorschau zu gehen,
bevor ich diesen Text absendete, jedesmal wird mein Fenster einfach geschlossen,
und mein ganzer Text ist weg!!! Nervt total.
Jetzt sende ich diesen Text ohne Vorschau ab,
auch wenn es gegen die Forum-Regel ist. Sorry.

LG Anastasia

Logfile of HijackThis v1.99.1
Scan saved at 21:09:22, on 15.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\notepad.exe
C:\DOKUME~1\Evi\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.karstadt.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mediamarkt.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.karstadt.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.mediamarkt.de
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

... und noch etwas.
Ich hab mal bei euch über den Link http://virus-protect.net/ die aufgelisteten Windows-Dienste
mit meinen Windows-Diensten abgeglichen, d.h. also die Standard-Einstellung
bzw. empfohlene Einstellung eingestellt (z.B. Automatisch, Manuell oder Deaktiviert).

Ich hab einige Dienste festgestellt, die nicht bei euch aufgelistet waren,
und hab sie in jedem Fall auf deaktivieren umgestellt.
Das waren:

1) C-DillaSrv (C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE)
2) Machine Debuy Manager ("C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe")
3) NVIDIA Driver Helper Service (C:\WINDOWS\System32\nvsvc32.exe)
und 4) WMDM PMSP Service (C:\WINDOWS\System32\MsPMSPSv.exe)

Diese Dienste sagen mir nämlich nichts. Vielleicht wisst ihr ein Rat?

Gut ich mache das grade.
==========================

Nun, ich denke, dass du erstmal Avast neuinstallierst. Dass scheint kaputt zu sein.
Dann mache mal folgendes:

HJT starten ==> Config ==> Misc tools ==> Generate Startuplist.
Und poste die hier.

=========================

Lade dir Ewido, Scanne, poste den Report und deinstalliere es nach getaener Arbeit (Virenentfernung)
http://virus-protect.net/ewido.html

========================

Hallo@Holy Marcell,

habe avast deinstalliert, anschließend ein ewido-Scan im normalen Modus
und einmal im Abgesichterten Modus gemacht, siehe Log unten (danach deinstalliert),
dann aber den AntiVIR draufinstalliert.

Die Generate Startuplist von HJT hab ich unten eingefügt.

Was nun?

Gruß Anastasia

---------------------------------------------------------
ewido security suite - Scan Report (normaler Modus)
---------------------------------------------------------

+ Erstellt am: 14:12:30, 19.11.2005
+ Report-Checksumme: C9373328

+ Scanergebnis:

C:\Dokumente und Einstellungen\Chef\Cookies\chef@axa.addcontrol[2].txt -> Spyware.Cookie.Addcontrol : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Chef\Cookies\chef@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Cookies\chef@axa.addcontrol[1].txt -> Spyware.Cookie.Addcontrol : Gesäubert mit Backup
C:\Dokumente und Einstellungen\NetworkService\Cookies\chef@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\WINDOWS\system32\TFTP288 -> Backdoor.Rbot : Gesäubert mit Backup


::Report Ende
_____________________________________________________________________________________________

---------------------------------------------------------
ewido security suite - Scan Report (abgesichterter Modus)
---------------------------------------------------------

+ Erstellt am: 15:35:42, 19.11.2005
+ Report-Checksumme: 8CDC85DA

+ Scanergebnis:

HKU\S-1-5-21-670770235-133707808-1749521121-500\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Gesäubert mit Backup


::Report Ende

______________________________________________________________________________________________

StartupList report, 19.11.2005, 16:35:25
StartupList version: 1.52.2
Started from : C:\DOKUME~1\Chef\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Microsoft Works\WksSb.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\Chef\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

C-Media Mixer = Mixer.exe /startup
NeroCheck = C:\WINDOWS\System32\NeroCheck.exe
Microsoft Works Portfolio = C:\Programme\Microsoft Works\WksSb.exe /AllUsers
Microsoft Works Update Detection = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
NvCplDaemon = RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
HPDJ Taskbar Utility = C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
SmcService = C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
AVGCtrl = "C:\Programme\AVPersonal\AVGNT.EXE" /min

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

MSMSGS = "C:\Programme\Messenger\msmsgs.exe" /background
ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe

--------------------------------------------------

File association entry for .SCR:
HKEY_CLASSES_ROOT\AutoCADScriptFile\shell\open\command

(Default) = C:\WINDOWS\NOTEPAD.EXE "%1"

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

--------------------------------------------------

Enumerating Download Program Files:

[InstaFred]
InProcServer32 = C:\WINDOWS\DOWNLO~1\InstFred.ocx
CODEBASE = file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx

[NOXLATE-BANR]
InProcServer32 = C:\WINDOWS\DOWNLO~1\InstBanr.ocx
CODEBASE = file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx

[AcPreview-Steuerung]
InProcServer32 = C:\WINDOWS\DOWNLO~1\ACPREV~1.OCX
CODEBASE = file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\DOKUME~1\Chef\LOKALE~1\Temp\~nsu.tmp\Au_.exe||C:\Programme\ewido\security suite\lang.dll||C:\Programme\ewido\security suite\shellhook.dll||C:\Programme\ewido\security suite\context.dll|||?

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 5.640 bytes
Report generated in 0,140 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

Gut.


Führe den CrapCleaner aus und hake alles an:
http://virus-protect.net/temp.html

So, das mit CrapCleaner hab ich jetzt auch gemacht.
Aber trotzdem zeigt Spybot S&D immer noch den Fehler mit der NewDotNet-Datei an.
Was kann ich jetzt noch tun?

Gruß Anastasia

Hm... Ewido sollte New.Net Vernichtet haben...

Mache mal das hier:

http://www.informationsarchiv.net/foren ... 26734.html

(Ich weiß nicht was es ist aber es ist vin Nikita *unendlich vertrau* )