Hallo Nikita!

Finde meinen "alten" Thread nicht mehr - deshalb hier ein Neuer. Auch - weil es sich um einen anderen Rechner handelt. Wir haben ja 2 im Haus - diesmal ist der Stand-PC, der uns Probleme bereitet. Er ist mittlerweile sehr langsam und Kaspersky hat auch Viren gefunden.

Darf ich dich wieder um deine werte Hilfe bitten? Danke!

Hier mal das Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 17:02:29, on 20.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\TelefonCD\OtbStart.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Program Files\Win Comm\WinComm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Win Comm\WinLock.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Symantec\DeepSight Extractor\ExtractorService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Rubert\LOKALE~1\Temp\Rar$EX01.812\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [OtbStart] C:\Programme\TelefonCD\OtbStart.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... cf9f91688a
ad0bda5294c1da52224c0b474caa2ff279f9029ca56b5fa1b6f4d7cd2280:fa6350fea843a478fbcc5b26849439cc
O16 - DPF: {23B7A816-3647-49D2-9756-6F41CE8F9201} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/ddm_control.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Shared ... vSniff.cab
O16 - DPF: {2F0D1DA3-F3E4-4C67-BB5C-5AFD70C1A4A5} (UDConnect Class) - http://01.sharedsource.org/html/UDConn.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... cracks.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplat ... curity.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Shared ... /cabsa.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... _v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{03C00D05-81E7-49C0-B64F-14F7E85EEAD6}: NameServer = 192.168.0.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FF97A3B-20CD-476D-A39D-00CE92935408}: NameServer = 192.168.0.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{03C00D05-81E7-49C0-B64F-14F7E85EEAD6}: NameServer = 192.168.0.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{03C00D05-81E7-49C0-B64F-14F7E85EEAD6}: NameServer = 192.168.0.100

So - Adaware hab ich installiert und prompt hats 131 Sachen angezeigt. Alles gelöschte, nochmals laufen lassen, wieder 1 gefunden. Läuft grad nochmals....

Mache auch gerade eScan - hat auch schon 4 Viren und 49 Errors gefunden. Wie kann ich die Viren hier posten, denn dort kann man im Fenster nichts kopieren.

Spybot hab ich auch laufen lassen - hat auch ganze 2 Seiten lang Sachen gefunden. Will einen Neustart. Mach ich auch, wenn eScan fertig ist.

Was brauch ich noch alles, um den PC clean zu bekommen. Sind anscheinend (laut escan) auch dialer drauf obwohl wir über adsl fahren bzw. übers netzwerk.

So - jetzt warte ich mal deine Profi-Anweisungen ab.

Danke,

network-mama

-----------------------------------

so - eScan ist fertig....

Wed Oct 20 18:04:10 2004 => ***** Scanning complete. *****

Wed Oct 20 18:04:10 2004 => Total Files Scanned: 56485
Wed Oct 20 18:04:10 2004 => Total Virus(es) Found: 16
Wed Oct 20 18:04:10 2004 => Total Disinfected Files: 0
Wed Oct 20 18:04:10 2004 => Total Files Renamed: 0
Wed Oct 20 18:04:10 2004 => Total Deleted Files: 0
Wed Oct 20 18:04:10 2004 => Total Errors: 51
Wed Oct 20 18:04:10 2004 => Time Elapsed: 00:35:47
Wed Oct 20 18:04:10 2004 => Virus Database Date: 2004/10/18
Wed Oct 20 18:04:10 2004 => Virus Database Count: 106860

Wed Oct 20 18:04:10 2004 => Scan Completed.

Wed Oct 20 18:04:43 2004 => Virus Database Date: 2004/10/18
Wed Oct 20 18:04:43 2004 => Virus Database Count: 106860

network-mama hat geschrieben:So - Adaware hab ich installiert und prompt hats 131 Sachen angezeigt. Alles gelöschte, nochmals laufen lassen, wieder 1 gefunden. Läuft grad nochmals....

Mache auch gerade eScan - hat auch schon 4 Viren und 49 Errors gefunden. Wie kann ich die Viren hier posten, denn dort kann man im Fenster nichts kopieren.

Spybot hab ich auch laufen lassen - hat auch ganze 2 Seiten lang Sachen gefunden. Will einen Neustart. Mach ich auch, wenn eScan fertig ist.

Was brauch ich noch alles, um den PC clean zu bekommen. Sind anscheinend (laut escan) auch dialer drauf obwohl wir über adsl fahren bzw. übers netzwerk.

So - jetzt warte ich mal deine Profi-Anweisungen ab.

Danke,

network-mama

-----------------------------------

so - eScan ist fertig....

Wed Oct 20 18:04:10 2004 => ***** Scanning complete. *****

Wed Oct 20 18:04:10 2004 => Total Files Scanned: 56485
Wed Oct 20 18:04:10 2004 => Total Virus(es) Found: 16
Wed Oct 20 18:04:10 2004 => Total Disinfected Files: 0
Wed Oct 20 18:04:10 2004 => Total Files Renamed: 0
Wed Oct 20 18:04:10 2004 => Total Deleted Files: 0
Wed Oct 20 18:04:10 2004 => Total Errors: 51
Wed Oct 20 18:04:10 2004 => Time Elapsed: 00:35:47
Wed Oct 20 18:04:10 2004 => Virus Database Date: 2004/10/18
Wed Oct 20 18:04:10 2004 => Virus Database Count: 106860

Wed Oct 20 18:04:10 2004 => Scan Completed.

Wed Oct 20 18:04:43 2004 => Virus Database Date: 2004/10/18
Wed Oct 20 18:04:43 2004 => Virus Database Count: 106860

================================================

Hallo Nikita! Sehe, dass du gerade online bist. Hier haben sich des Teufels Türen geöffnet. Der Comp hat ja ganz schön was drauf.

Spyware Nuker 2004 freeware hat auch was gefunden. Der Sh... bei den ganzen Programmen ist aber, dass sie dir zwar anzeigen, wo wie was - aber löschen oder bearbeiten kann man die probleme nicht.

Ja - ich wart jetzt mal deine Prognose ab und gehe dann deine Anweisungen wohl besser Schritt für Schritt nach. Den alten Thread hab ich wieder gefunden - und auch alles gemacht, was du mir gesagt hast. Allerdings ändert sich hier nicht viel. Die Dialer krieg ich auch nicht runter.

network-mama

Hallo @network-mama

#gehe in die Registry
Start<Ausfuehren <regedit

Loesche rechts folgende Eintraege:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Communicator = wincomm.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Communicator = wincomm.exe

schliesse die Registry

Fixe mit dem HijackThis.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... f5d581a370
46fcf21f5cf9f91688aad0bda5294c1da52224c0b474caa2ff279f9029ca56b5fa1b6f4d7cd2280:fa6350fea843a478fbcc5b26849439cc
O16 - DPF: {23B7A816-3647-49D2-9756-6F41CE8F9201}
(ddm_download.ddm_control) - http://download.rfwnad.com/cab/ddm_control.CAB
O16 - DPF: {2F0D1DA3-F3E4-4C67-BB5C-5AFD70C1A4A5} (UDConnect Class) - http://01.sharedsource.org/html/UDConn.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... cracks.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplat ... curity.cab

neustarten

#loesche.
<HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
c:\windows\system\wincomm.exe <PC NEUSTARTEN

<C:\Program Files\Win Comm\WinComm.exe
<C:\Programme\Web_Rebates\WebRebates0.exe
<C:\Program Files\Win Comm\WinLock.exe

Datentraegerbereinigung: und Loeschen der Temporary-Dateien
1. Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K
#Temporary Files

#Deaktiviere den Symantec
#Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials

#Deaktiviere die Wiederherstellung

#Stinger
http://vil.nai.com/vil/stinger/

#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

#BitDefender Scan
www.bitdefender.com/scan/Msie/index.php
___________________________________________________
#Mache die WindowsUpdates
www.windowsupdate.com

DENN: (!)

W32/Agobot-BH
Der Wurm kopiert sich auf Netzwerkfreigaben mit einfachen Kennwörtern und versucht, sich auf Computer zu verbreiten, indem er die DCOM RPC- und die RPC Locator-Schwachstellen ausnutzt.
Durch diese Schwachstellen kann der Wurm seinen Code auf den Zielcomputern mit Systemrechten ausführen. Weitere Informationen über diese Schwachstellen und Hinweise dazu, wie Sie Ihre Computer vor solchen Angriffen schützen können, finden Sie in den Microsoft Security Bulletins MS03-026 und MS03-001.

#nun scanne noch mal mit eScan und kopiere die infizierten Sachen aus dem Logviewer raus.

#Post das neue Log noch mal .

mfg
Nikita

http://vil.nai.com/vil/content/v_99345.htm
http://www.sophos.de/virusinfo/analyses ... botbh.html
VirusÊName: DoS-Winlock RiskÊAssessment: Low Virus Information: DateÊDiscovered: 2/4/2002 Origin: Unknown Type: Trojan SubType: Denial of Service Virus Characteristics: This trojan initiates a Denial of Service attack against several systems, most of which are in the langame.net domain. The executable has been packed with the PECompact packer. When run, the trojan copies itself to WINDOWS directory as NETDLL16.EXE and the Recycle Bin as Winlock.exe with hidden file attributes. A WIN.INI entry is added to load itself at startup. run=C:\RECYCLED\winlock.exe The next time Windows is rebooted, the trojan starts its DoS attack and stays resident in memory.
*
*

Logfile of HijackThis v1.98.2
Scan saved at 20:43:18, on 20.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Symantec\DeepSight Extractor\ExtractorService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\TelefonCD\OtbStart.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Program Files\Win Comm\WinComm.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\Rubert\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://informationsarchiv.net/foren/forum-22.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [OtbStart] C:\Programme\TelefonCD\OtbStart.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {23B7A816-3647-49D2-9756-6F41CE8F9201} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/ddm_control.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Shared ... vSniff.cab
O16 - DPF: {2F0D1DA3-F3E4-4C67-BB5C-5AFD70C1A4A5} (UDConnect Class) - http://01.sharedsource.org/html/UDConn.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplat ... curity.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Shared ... /cabsa.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... _v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{03C00D05-81E7-49C0-B64F-14F7E85EEAD6}: NameServer = 192.168.0.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FF97A3B-20CD-476D-A39D-00CE92935408}: NameServer = 192.168.0.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{03C00D05-81E7-49C0-B64F-14F7E85EEAD6}: NameServer = 192.168.0.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{03C00D05-81E7-49C0-B64F-14F7E85EEAD6}: NameServer = 192.168.0.100



So - das ist das aktuelleste - alles andere folgt gleich!

Danke für deine HILFE!!! und dankbare Grüße in den Süden

Hallo Nikita!

Puhh.... das ist ja gewaltig....

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Communicator = wincomm.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Communicator = wincomm.exe

..... lassen sich weder finden noch löschen. hab sowas ähnliches unter "suchen" gefunden - und auch gelöscht. ähäm.... hoffe, dass war richtig ???

gut.

<C:\Program Files\Win Comm\WinComm.exe - lässt sich nicht löschen!!!! ... system sagt, dass es noch läuft oder ich keine berechtigung habe, es zu löschen

<C:\Programme\Web_Rebates\WebRebates0.exe - gelöscht
<C:\Program Files\Win Comm\WinLock.exe - gelöscht

#Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials

- bis hier her alles gemacht. auch Stinger schon downgeloadet - wartet noch auf seinen Einsatz. Kaspersky runtergeladen - zwingt das System aber fast in die Knie. Geht total langsam - seit dem letzten Posting läuft es auf dem Stand-Pc - und - na ja - mittlerweile hat er mal 7% gecheckt - und End of Total Check: 21.10. - 16:37 - ist das normal? Dass der sooooo lange braucht?


Ok - wenns sein muss. Und dann lass ich Stinger drüber, so wie du geschrieben hast.

So - danke für deine Hilfe und bis morgen

Cu - network-mama

network-mama hat geschrieben:Hallo Nikita!

Puhh.... das ist ja gewaltig....

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Communicator = wincomm.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Communicator = wincomm.exe

..... lassen sich weder finden noch löschen. hab sowas ähnliches unter "suchen" gefunden - und auch gelöscht. ähäm.... hoffe, dass war richtig ???

gut.

<C:\Program Files\Win Comm\WinComm.exe - lässt sich nicht löschen!!!! ... system sagt, dass es noch läuft oder ich keine berechtigung habe, es zu löschen

<C:\Programme\Web_Rebates\WebRebates0.exe - gelöscht
<C:\Program Files\Win Comm\WinLock.exe - gelöscht

#Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials

- bis hier her alles gemacht. auch Stinger schon downgeloadet - wartet noch auf seinen Einsatz. Kaspersky runtergeladen - zwingt das System aber fast in die Knie. Geht total langsam - seit dem letzten Posting läuft es auf dem Stand-Pc - und - na ja - mittlerweile hat er mal 7% gecheckt - und End of Total Check: 21.10. - 16:37 - ist das normal? Dass der sooooo lange braucht?


Ok - wenns sein muss. Und dann lass ich Stinger drüber, so wie du geschrieben hast.

So - danke für deine Hilfe und bis morgen

Cu - network-mama

==========================================

7:34 - heute in der Nacht um ca. 4 uhr hat sich der Stand-Pc mit dem Kaspersky (17% geprüft) aufgehängt. Haben ihn jetzt runtergefahren und werde ihn dann im abgesicherten Modus von
Kaspersky befreien.

Was nun?

Lg network-mama

network-mama hat geschrieben:

network-mama hat geschrieben:Hallo Nikita!

Puhh.... das ist ja gewaltig....

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Communicator = wincomm.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Communicator = wincomm.exe

..... lassen sich weder finden noch löschen. hab sowas ähnliches unter "suchen" gefunden - und auch gelöscht. ähäm.... hoffe, dass war richtig ???

gut.

<C:\Program Files\Win Comm\WinComm.exe - lässt sich nicht löschen!!!! ... system sagt, dass es noch läuft oder ich keine berechtigung habe, es zu löschen

<C:\Programme\Web_Rebates\WebRebates0.exe - gelöscht
<C:\Program Files\Win Comm\WinLock.exe - gelöscht

#Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials

- bis hier her alles gemacht. auch Stinger schon downgeloadet - wartet noch auf seinen Einsatz. Kaspersky runtergeladen - zwingt das System aber fast in die Knie. Geht total langsam - seit dem letzten Posting läuft es auf dem Stand-Pc - und - na ja - mittlerweile hat er mal 7% gecheckt - und End of Total Check: 21.10. - 16:37 - ist das normal? Dass der sooooo lange braucht?


Ok - wenns sein muss. Und dann lass ich Stinger drüber, so wie du geschrieben hast.

So - danke für deine Hilfe und bis morgen

Cu - network-mama

==========================================

7:34 - heute in der Nacht um ca. 4 uhr hat sich der Stand-Pc mit dem Kaspersky (17% geprüft) aufgehängt. Haben ihn jetzt runtergefahren und werde ihn dann im abgesicherten Modus von
Kaspersky befreien.

Was nun?

Lg network-mama

- so - kaspersky deinstalliert, online scan findet nichts, auch nicht stinger. ad-aware wieder 7 neue data-miner gefunden.

bitdefender läuft gerade.

windows-update lässt sich nicht runterladen - weder benutzerdefiniert noch automatisch:


Es ist ein Fehler aufgetreten. Windows Update kann die gewünschte Seite nicht anzeigen. Die folgenden Ressourcen können beim Beheben des Problems hilfreich sein:
Optionen zur Selbsthilfe:

Windows Update-Antwortcenter

Windows Update-Problembehandlung

Windows Update-Newsgroups
Optionen für technischen Support:

Microsoft-Onlinesupportunterstützung (für Windows Update-Probleme kostenlos)

===============================================

eScan hat gefunden:

Thu Oct 21 11:25:53 2004 => Scanning File C:\WINDOWS\iqtest[itt-10145,,].exe
Thu Oct 21 11:25:58 2004 => File C:\WINDOWS\iqtest[itt-10145,,].exe tagged as not-a-virus:PornWare.Dialer.Star. No Action Taken.

Thu Oct 21 11:25:59 2004 => Scanning File C:\WINDOWS\Lachen24.de-lne-10121.exe
Thu Oct 21 11:25:59 2004 => File C:\WINDOWS\Lachen24.de-lne-10121.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

Thu Oct 21 11:26:04 2004 => Scanning File C:\WINDOWS\SexShows.exe
Thu Oct 21 11:26:04 2004 => File C:\WINDOWS\SexShows.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.

Thu Oct 21 11:30:14 2004 => Scanning File C:\Dokumente und Einstellungen\Rubert\Desktop\backups\backup-20041020-205813-581.dll
Thu Oct 21 11:30:14 2004 => File C:\Dokumente und Einstellungen\Rubert\Desktop\backups\backup-20041020-205813-581.dll infected by "not-a-virus:AdvWare.DynaDesk" Virus. Action Taken: No Action Taken.


Thu Oct 21 11:30:14 2004 => Scanning File C:\Dokumente und Einstellungen\Rubert\Desktop\backups\backup-20041020-205813-981.dll
Thu Oct 21 11:30:14 2004 => File C:\Dokumente und Einstellungen\Rubert\Desktop\backups\backup-20041020-205813-981.dll tagged as not-a-virus:RiskWare.Dialer.UDIS.b. No Action Taken.

Thu Oct 21 11:50:22 2004 => Scanning File C:\WINDOWS\Downloaded Program Files\WinCommX.dll
Thu Oct 21 11:50:22 2004 => File C:\WINDOWS\Downloaded Program Files\WinCommX.dll infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: No Action Taken.
Thu Oct 21 11:54:50 2004 => Scanning File C:\WINDOWS\iqtest[itt-10145,,].exe
Thu Oct 21 11:54:50 2004 => File C:\WINDOWS\iqtest[itt-10145,,].exe tagged as not-a-virus:PornWare.Dialer.Star. No Action Taken.


Thu Oct 21 11:54:52 2004 => Scanning File C:\WINDOWS\Lachen24.de-lne-10121.exe
Thu Oct 21 11:54:52 2004 => File C:\WINDOWS\Lachen24.de-lne-10121.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.

Thu Oct 21 11:56:54 2004 => Scanning File C:\WINDOWS\SexShows.exe
Thu Oct 21 11:56:54 2004 => File C:\WINDOWS\SexShows.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.

Hallo @network-mama

Du solltest den Symantec deaktivieren, bevor du den Kaspersky laedst !!!!!!
Den Symantec kannst du sowieso verschrotten

nun loesche manuell:..wie weiter unten erklaert
<C:\WINDOWS\iqtest[itt-10145,,].exe
<C:\WINDOWS\Lachen24.de-lne-10121.exe
<C:\WINDOWS\SexShows.exe
<C:\Dokumente und Einstellungen\Rubert\Desktop\backups\backup-20041020-205813-581.dll
<C:\Dokumente und Einstellungen\Rubert\Desktop\backups\backup-20041020-205813-581.dll
<C:\Dokumente und Einstellungen\Rubert\Desktop\backups\backup-20041020-205813-981.dll
<C:\Dokumente und Einstellungen\Rubert\Desktop\backups\backup-20041020-205813-981.dll
<C:\WINDOWS\Downloaded Program Files\WinCommX.dll

Dazu oeffnest du noch mal das HijackThis:

HijackThis<Config<Misc Tools<Delete a file on reboot<
reinkopieren : C:\WINDOWS\Lachen24.de-lne-10121.exe <PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot<
reinkopieren :C:\WINDOWS\SexShows.exe <PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot<
reinkopieren :C:\WINDOWS\iqtest[itt-10145,,].exe <PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot<
reinkopieren :C:\WINDOWS\Downloaded Program Files\WinCommX.dll <PC neustarten

die BackUps wirst du wahrscheinlich nicht loeschen koenne, also lasse sie und verwende sie nicht.

Gehe in den abgesicherten Modus, dazu drueckst du die Tast F8, wenn der PC hochfaehrt und meldest dich als Administrator an.

Gehe in die Registry
Start<Ausfuehren<regedit (reinschreiben)
und suche\loesche, falls es noch da ist:
<HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Communicator = wincomm.exe
<HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Communicator = wincomm.exe

schliesse die Registry

#oeffne das HijackThis

<HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
c:\windows\system\wincomm.exe <PC NEUSTARTEN
<HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\Program Files\Win Comm\WinComm.exe < PC NEUSTARTEN
__________________________________________________________________

#Dann scanne noch mal mit escan und poste , was infiziert ist.
Ueberlege, ob du dir nicht eine Alternative fuer den Symantec suchst.
2 Virenscanner darf\sollte man nicht auf dem PC aktiviert haben.


Lade die WindowsUpdates von hier: [DOS]
#Update Pack XP SP1 Version 1.8 - Deutsch
http://download.winboard.org/downloads. ... ase_id=649

Dann poste das neue Log vom HijackThis noch mal.

mfg
Nikita

Hallo "Groß-Meister"

So - ich werd mich jetzt ranmachen, an deine "Befehle"..... eScan hat aber noch folgendes gefunden:

Thu Oct 21 11:50:22 2004 => Scanning File C:\WINDOWS\Downloaded Program Files\WinCommX.dll
Thu Oct 21 11:50:22 2004 => File C:\WINDOWS\Downloaded Program Files\WinCommX.dll infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: No Action Taken.

Thu Oct 21 11:54:50 2004 => Scanning File C:\WINDOWS\iqtest[itt-10145,,].exe
Thu Oct 21 11:54:50 2004 => File C:\WINDOWS\iqtest[itt-10145,,].exe tagged as not-a-virus:PornWare.Dialer.Star. No Action Taken.

Thu Oct 21 11:54:52 2004 => Scanning File C:\WINDOWS\Lachen24.de-lne-10121.exe
Thu Oct 21 11:54:52 2004 => File C:\WINDOWS\Lachen24.de-lne-10121.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.


Thu Oct 21 11:56:54 2004 => Scanning File C:\WINDOWS\SexShows.exe
Thu Oct 21 11:56:54 2004 => File C:\WINDOWS\SexShows.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.

Ok. Also ingesamt 13 Sachen hat er gefunden.

Gut - Symantec kommt ganz weg. Wie krieg ich alle Spuren weg von Sym und Norton, damit alles clean ist? Wollen Safer Surf dann verwenden.

Ok - ich mach jetzt mal alles.

Danke für deine Hilfe!!!!

Aktuelles Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 20:18:17, on 21.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\DeepSight Extractor\ExtractorService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\TelefonCD\OtbStart.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\DOKUME~1\Rubert\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Rubert\LOKALE~1\Temp\kavss.exe
C:\Dokumente und Einstellungen\Rubert\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://informationsarchiv.net/foren/beitrag-9547.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [OtbStart] C:\Programme\TelefonCD\OtbStart.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Shared ... vSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 8350309687
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplat ... curity.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... _v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{03C00D05-81E7-49C0-B64F-14F7E85EEAD6}: NameServer = 192.168.0.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FF97A3B-20CD-476D-A39D-00CE92935408}: NameServer = 192.168.0.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{03C00D05-81E7-49C0-B64F-14F7E85EEAD6}: NameServer = 192.168.0.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{03C00D05-81E7-49C0-B64F-14F7E85EEAD6}: NameServer = 192.168.0.100


Hoffe, hab auch alle Norton und Symantec Sachen gefixt !?

eScan läuft gerade - vermutlich noch eine Stunden ;=)

Alle Virenwächter und Programme gelöscht. Auch Anti-Vir momentan deinstalliert. Soll ich eine Firewall - wie bei mir
installieren? Oder soll ich das lassen - weil wir ja Safer Surf dann kriegen?

Ach ja - wenn wir den PC hochfahren, dann kommen ca. 7 Felder mit "Error-Meldungen" wie pp.file not found und so... auch mit winzip etc. wie kriegen wir diese pop-up meldungen weg?

a2 - StartCenter lässt sich nicht aktivieren. Hab ihn gerade deinstalliert.

Wenn ich in die Systemsteuerung gehe kommt folgende Meldung:

Intel(R) PROSet - Resources are not available

Was tun?
===============================================

Hab jetzt auch die Systemherstellung wieder aktiviertb]

[b]AD-Aware findet nichts mehr - auch eScan ist sauber

Ok. Jetzt lass ich mal eScan fertig laufen, dann starte ich nochmals hoch und schreib mir die ganzen Meldungen auf, die kommen.

Herzlichen Dank für deine Hilfe


&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&

Hab nach Symantec gesucht und ganz viele Dateien noch gefunden.
Wie krieg ich die jetzt weg und vorallem wo?

Merci :=)

Hallo @network-mama;)

1. )Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
Suche und deaktiviere den Dienst Norton oder Symantec

2. )Fixe:
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/Shar ... /cabsa.cab

3. )Start<Ausfuehren<regedit
Gib in die Suchfunktion der Registry ein:(oben links)
< Symantec <
< Norton <
und loesche alles was moeglich ist.

4. )#RegSupreme:
http://www.computerbase.de/downloads/so ... egsupreme/
RegSupreme
Die Sprache kann man im Programm unter Language auf deutsch problemlos umstellen, das Programm muss danach NICHT neu gestartet werden, die sprache wird sofort umgestellt.
Dieses Programm erstellt als erstes eine Sicherungsdatei eurer Registry, diese kann natürlich ne weile dauern. Wenn ihr aufgefordert werdet, einer Datei einen Namen zu vergeben, dann macht ihr das bitte. Nützlich und sinnvoll haben sich bezeichnungen wie: regback_jeweiliges datum u.ä. um die backup datei jederzeit wieder verwenden kann.
Registry Einträge sollen zwar durchgeschaut werden auf Einträge wie z.b. Norton. Ausser dieser können alle gefundene Einträge "behoben" werden.

5. )Surfe nicht ohne Virenwaechter und installiere deshalb
#Antivirus (free)
http://www.free-av.de/
Konfiguriere: <ALLE Dateien< und <Heuristik: mittel< und mache einen Komplettscann.
(der Virenscanner zeigt keine problem mit dem escan)

6. )Versteckte Ordner\Dateien anzeigen
Lade die zip-Datei<xphidden< und oeffne sie,Doppelklick und "yes" zur Registry hinzufuegen, (so werden alle Dateien sichtbar)
http://www.davehigham.zen.co.uk/downloads/xphidden.zip

7. )Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

8. )Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen

9. )loesche unbedingt:
C:\WINDOWS\Downloaded Program Files\WinCommX.dll
C:\WINDOWS\iqtest[itt-10145,,].exe [Dialer]
C:\WINDOWS\Lachen24.de-lne-10121.exe
C:\WINDOWS\SexShows.exe [Dialer]

oder manuell, oder mit dem HijackThis, wie ich in einem anderen Thread erklaert habe.
HijackThis<Config<Misc Tools<Delete a file on reboot<
reinkopieren :C:\WINDOWS\SexShows.exe <PC neustarten


Dann suche noch mit der Suchfunktion von Windows und loesche, was vom Norton\Symantec moeglich ist.
zum Beispiel:
C:\Programme\Norton AntiVirus\navapsvc.exe

Dann scanne noch mal mit Antivirus und escan , saeubere den PC mit Regsupreme und dann berichte.

mfg
Nikita

Logfile of HijackThis v1.98.2
Scan saved at 18:01:58, on 22.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Symantec\DeepSight Extractor\ExtractorService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\TelefonCD\OtbStart.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\SaferSurf Setup\SaferSurf Active.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\System32\WISPTIS.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Rubert\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy20.safersurf.com:8001;ftp=proxy20.safersurf.com:8001
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;chat.de;chat-net.org
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [OtbStart] C:\Programme\TelefonCD\OtbStart.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SaferSurf Active] C:\Programme\SaferSurf Setup\SaferSurf Active.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: LG SyncManager.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 8350309687
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplat ... curity.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... _v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{03C00D05-81E7-49C0-B64F-14F7E85EEAD6}: NameServer = 192.168.0.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FF97A3B-20CD-476D-A39D-00CE92935408}: NameServer = 192.168.0.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{03C00D05-81E7-49C0-B64F-14F7E85EEAD6}: NameServer = 192.168.0.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{03C00D05-81E7-49C0-B64F-14F7E85EEAD6}: NameServer = 192.168.0.100

So - das ist nun das Log von heute. Alles clean laut den empfohlenen Programmen und Safer-Surf ist ab heute unser Begleiter.

Herzlichen Dank nochmals Nikita und was network-mama betrifft - da wartet wieder "Arbeit" bzgl. des Notebooks.

Schönes Wochenende!