hallo,

kann mir jemand sagen, wie ich svcsys.exe (unter c:-winnt-system32-services) und msdvx (unter c:) löschen kann. wenn ich es versuche kommt nur: ...geht nicht.....quelldatei ist möglicherweise geöffnet.

virenscanner findet es auch nicht

ausserdem kann ich meine startseite nicht mehr ändern und es ist ständig irgendeine beknackte search site drin.

wär dankbar wenn mir jemand helfen könnte

Hallo @blubb

Schritt 1: Downloade das Programm "Hijack This" von hier:
http://www.wintotal.de/softw/?id=2022

Schritt 2: führe das Programm aus ( es muß nichts installiert werden ), indem du auf "scan" drückst. Nach dem Scan drückst du auf "save log" und speicherst an einem dir genehmen Ort auf deinem PC ( sinnvollerweise dort, wo du auch die hijackthis.exe abgelegt hast). Durch das Speichern erhälst du eine Text-Datei, deren gesamten Inhalt du markierst und dann mit " --> rechte Maustaste --> Kopieren" ins Forum kopierst.

MFG
Nikita

Logfile of HijackThis v1.98.2
Scan saved at 13:20:26, on 22.09.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\services\msxmidi.exe
C:\WINNT\System32\PDesk.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
C:\WINNT\System32\svcsys.exe
F:\win zip 9.0\WinZip\WZQKPICK.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\hijacker\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://supacoopa.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://your-searcher.com/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://supacoopa.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://supacoopa.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://supacoopa.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://supacoopa.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://supacoopa.directwebsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:search
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:search
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://your-searcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://search123.biz/
F3 - REG:win.ini: run=C:\WINNT\system32\services\msxmidi.exe
O1 - Hosts: 69.31.79.102 auto.search.msn.com
O1 - Hosts: 69.31.79.102 auto.search.msn.com
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [MGA_CD_Install] G:\mgasetup.exe /No_Welcome /Lang:Deutsch
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [xpsystem] C:\WINNT\system32\services\msxmidi.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINNT\System32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [SyncUpd] regedit.exe -s C:\WINNT\sysreg.reg
O4 - HKLM\..\Run: [Windows Explorer] C:\WINNT\olecom32.exe
O4 - HKLM\..\Run: [winupd] C:\WINNT\System32\winupd.exe
O4 - HKLM\..\Run: [Soundmx] \soundmx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSSVC] "C:\WINNT\System32\svcsys.exe" 8192
O4 - HKCU\..\Run: [xpsystem] C:\WINNT\system32\services\msxmidi.exe
O4 - HKCU\..\Run: [Nlhc] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dnst.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: WinZip Quick Pick.lnk = F:\win zip 9.0\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Microsoft® VBScript® Console - {F48C203C-0F07-40C2-B7B3-E2A2B9A44210} - (no file)
O9 - Extra 'Tools' menuitem: VBScript Terminal - {F48C203C-0F07-40C2-B7B3-E2A2B9A44210} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O9 - Extra button: Microsoft® VBScript® Terminal - {F48C203C-0F07-40C2-B7B3-E2A2B9A44210} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: VBScript Terminal - {F48C203C-0F07-40C2-B7B3-E2A2B9A44210} - (no file) (HKCU)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://63.217.29.115/cax.cab
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P ... 024_EN.cab
O16 - DPF: {0B682CC1-FB40-4006-A5DD-99EDD3C9095D} (vbiewer control) - http://www.thepaymentcentre.com/build/vbiewer.cab
O16 - DPF: {10000030-1000-0000-1000-000000000000} - its:mhtml:file://c:\\MAIN.MHT!http://zloeboogle.biz/dial.chm?wmid=3309::/x.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\nosuch.mht!http://2awm.com/pop/chm/tttxxsp.chm::/on-line.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.102/searchinfoxyz.chm::/searchinfoxyz.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://67.18.129.78/b/bd/1/x.chm::/load.exe
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.2awm.com/file/colinwork.chm::/on-line.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... b28ebf1261
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - http://www.xxxtoolbar.com/ist/softwares ... egular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab




ich hoffe du kannst mir helfen

Hallo @blubb

Was meinst du zu einer Neuinstallation ???
Eine Reinigung waere moeglich, aber eine Neuinstallation wuerde schneller gehen . Dein PC ist total verseucht.

mfg
Nikita

hmm,

das problem ist, ich hab gerade kein brenner um einige daten zu sichern (vorallem bilder).

ist "nur" C: verseucht oder muss ich den kompletten pc neu machen?

und was ist eigentlich "hijack"? ich bin absoluter laie.

david

au, und was mach ich zukünftig gegen solche sachen? gibts da irgend nen schutz?

Hallo @blubb

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3.)Firewall installieren
Agnitum: Outpost Firewall
Outpost von Agnitum gibt es auch als free-Version.
http://www.agnitum.com/download/outpost1.html
<Outpost Firewall Spezial
Deutschsprachige Anleitungen zur Installation und Konfiguration von Outpost auf brain-pro.de.
http://www.brain-pro.de/outpostspezial.htm
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren
NT- Dienste sicher konfigurieren: http://www.ntsvcfg.de/
http://www.datenschutzzentrum.de/selbst ... config.htm
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
Alternativ/Mail zum Outlook
http://www.alles-und-umsonst.de/kostenlos/email.html
Thunderbird Mail
http://www.mozilla.org/products/firefox ... 01.0PR.exe
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vroher überprüfen, ob sie Spaware oder Adware enthalten
9) ein Antivirenprogramm (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
http://www.free-av.de/
10) alle Passworte aendern

11) Windows-Backup erstellen:
Bevor Sie systemnahe Änderungen vornehmen, sichern Sie Ihre Systemumgebung. Melden Sie sich als Benutzer mit Administratorrechten an,
http://www.zdnet.de/enterprise/os/0,390 ... 9-2,00.htm

12) Für die Zukunft:
http://www.mathematik.uni-marburg.de/~w ... omise.html
..........................................................................................................................................

Poste dann das neue Log vom HijackThis, wenn alles fertig ist

mfg
Nikita