Hallo zusammen, wer kann mir helfen

beim durchstöbern von registry und xml-dateien werd ich immer ganz nervös... Löschen tu ich da lieber nix
Folgendes ist passiert: hab neue Grafiktreiber drauf gemacht, beim runterfahren wegen NS kam eine Prog. sofort beenden Meldung....
Das Programm hieß "should not see me".... Laufen tut mein Laptop eigentlich gut, avg immer aktuell, ad-aware auch und ZoneAlarm, naja, ist das normal, wen xml-Dateien mit verschiedenen Sprachen im system32 ordner (\zoneLabs...) sind? FilemonNt logd ein filemissing bei ZA....
Würde mich wirklich interressieren, was das ist, wo das herkommt, bzw. hingeht!

alexisonchaos hat geschrieben:Das Programm hieß "should not see me"....

Hi,

Habeetwas gegoogelt.
Das Programm gehört zu Windows und sollte eigentlich nicht zu sehen sein.
Mann kann es sehen, wenn Windows zu lange braucht um alle Programme zu schließen.

cu
prince

Hijackthis -

http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

o.k.
hier das log:

Logfile of HijackThis v1.99.1
Scan saved at 16:01:44, on 28.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\svchost.exe
D:\Tools\hijackthis_199\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


wegen O20 denk ich halt an die Grakatreiber...
Kann mich aber auch irren

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Also, habe etwas Sonne getankt, nix desto trotz die logs:

//////system32

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F03A-F5BC

Verzeichnis von C:\WINDOWS\system32

29.06.2006 21:34 48.882 vsconfig.xml
25.06.2006 12:48 2.957 jupdate-1.5.0_01-b08.log
23.06.2006 22:10 4.212 zllictbl.dat
20.06.2006 20:05 2.206 wpa.dbl
20.06.2006 20:05 9.603 OODBS.lor
19.06.2006 04:07 519 Verkn

p.s.: hab die machinist.dll auch nicht im Januar, sondern vor ca. 2 Wochen installiert....

ja, was soll ich mit 4 gleichen Logs anfangen, die datfindbat enthaelt 4 verschiedene...

1.Log Verzeichnis von C:\WINDOWS\system32
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.Log Verzeichnis von C:\WINDOWS
4.Log Verzeichnis von C:\

Naja, warum kompliziert, wenn's auch einfach geht....


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F03A-F5BC

Verzeichnis von C:\WINDOWS\system32

01.07.2006 20:35 48.882 vsconfig.xml
01.07.2006 12:56 2.206 wpa.dbl
25.06.2006 12:48 2.957 jupdate-1.5.0_01-b08.log
23.06.2006 22:10 4.212 zllictbl.dat
20.06.2006 20:05 9.603 OODBS.lor
19.06.2006 04:07 519 Verkn

Übrigends, icesword hat bei den SSDT's die vsdatant.sys markiert... virusscan.jotti.org.de hat aber nix gefunden.....

\system32\vsdatant.sys.......

*

vsdatant.sys - ist vom Zonelalarm

---------------------------------------------------------------------------
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\Zonken\Anwendungsdaten >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F03A-F5BC

Verzeichnis von C:\Programme

28.06.2006 18:23 <DIR> .
28.06.2006 18:23 <DIR> ..
14.06.2006 10:30 <DIR> Adobe
02.06.2006 10:07 <DIR> Ahead
26.06.2006 20:13 <DIR> Audacity
28.06.2006 18:43 <DIR> CleanUp!
27.05.2006 21:07 <DIR> ComPlus Applications
13.06.2006 01:30 <DIR> DVD Decrypter
26.06.2006 20:00 <DIR> fabamusic
25.06.2006 12:47 <DIR> Gemeinsame Dateien
28.05.2006 16:02 <DIR> Grisoft
28.05.2006 15:16 <DIR> Internet Explorer
23.06.2006 22:29 <DIR> IrfanView
25.06.2006 12:48 <DIR> Java
28.05.2006 16:03 <DIR> Lavalys
28.05.2006 16:03 <DIR> Lavasoft
17.06.2006 18:45 <DIR> Messenger
27.05.2006 21:12 <DIR> microsoft frontpage
28.05.2006 15:16 <DIR> Movie Maker
09.06.2006 17:31 <DIR> Mozilla Firefox
01.07.2006 23:30 <DIR> Mozilla Thunderbird
27.05.2006 21:07 <DIR> MSN Gaming Zone
28.05.2006 15:12 <DIR> NetMeeting
27.05.2006 21:07 <DIR> Online Services
27.05.2006 21:10 <DIR> Online-Dienste
26.06.2006 22:47 <DIR> OpenOffice.org1.1.4
28.05.2006 15:12 <DIR> Outlook Express
13.06.2006 13:15 <DIR> ShrinkTo5Basic
13.06.2006 13:05 <DIR> SlySoft
29.06.2006 08:25 <DIR> Soulseek
30.05.2006 22:45 <DIR> VideoLAN
28.05.2006 15:19 <DIR> Windows Media Player
28.05.2006 15:12 <DIR> Windows NT
27.05.2006 21:12 <DIR> xerox
13.06.2006 01:14 <DIR> Zone Labs
0 Datei(en) 0 Bytes
35 Verzeichnis(se), 9.669.648.384 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F03A-F5BC

Verzeichnis von C:\Programme\Gemeinsame Dateien

25.06.2006 12:47 <DIR> .
25.06.2006 12:47 <DIR> ..
14.06.2006 10:32 <DIR> Adobe
02.06.2006 10:07 <DIR> Ahead
27.05.2006 21:09 <DIR> Dienste
25.06.2006 12:47 <DIR> Java
27.05.2006 22:10 <DIR> Microsoft Shared
27.05.2006 21:09 <DIR> MSSoap
27.05.2006 18:26 <DIR> ODBC
27.05.2006 18:26 <DIR> SpeechEngines
28.05.2006 15:12 <DIR> System
0 Datei(en) 0 Bytes
11 Verzeichnis(se), 9.669.648.384 Bytes frei

ich kann nichts finden, was nach Virus aussieht.
wenn du willst, scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html

Vielleicht war ich etwas verwirrt über ein gewisses microsoft Produkt
Aber vielen Dank für die entgegen gebrachte Mühe