guten abend
habe ein massives Problem mit meinem Rechner:
iExplorer startet nur mit gejackter Seite, Explorer gar nicht mehr, Systemsteuerung ebenfalls nicht, Rechner ist ewige langsam....

hier das logfile

Logfile of HijackThis v1.99.1
Scan saved at 19:30:24, on 25/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ati2evxx.exe
C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\system32\netfp32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\programme\quicktime\qttask.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\appsx32.exe
C:\Program Files\Windows ControlAd\WinCtlAd.exe
C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\PROGRA~1\WinZip\winzip32.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rsrqk.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rsrqk.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\rsrqk.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rsrqk.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rsrqk.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rsrqk.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rsrqk.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.254:3128
R3 - Default URLSearchHook is missing
F3 - REG:win.ini: run=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {F8C5C8E9-52C1-06A7-3A16-9AAC146F3F6D} - C:\WINDOWS\system32\netry.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [appsx32.exe] C:\WINDOWS\appsx32.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O4 - HKLM\..\Run: [XpDis0Conf] C:\PROGRA~1\Belkin\BELKIN~1\Tool\WinXPDisableZeroConfigation.exe VEN_14E4&DEV_4320&SUBSYS_70111799 /d
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Accessengl\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: BINGOOO - {D102A37C-154F-4B0A-9373-5898EDD9F2C4} - D:\Dinfo\Bingooo\BINGOOO.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.Sony-europe.com
O15 - Trusted Zone: *.Sonystyle-europe.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.124.130 (HKLM)
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...=1048787493851
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...37c6314a45eb37
O16 - DPF: {3A6514CD-A457-11D4-8AF3-000102686B79} - http://www.bugnosis.org/downloads/webbug.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1102696622677
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\ati2evxx.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MpService - Canon Inc - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: OracleOraDb10g_home1TNSListener - Unknown owner - D:\oracle\product\10.1.0\Db_1\BIN\TNSLSNR.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
O23 - Service: Network Security Service (NSS) (� 6QÔõ'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\system32\netfp32.exe

Besten Dank, fröliche Ostern ... Workman

Hallo Workman

führe bitte dies mal aus:
1. Downloade Dir escan und befolge genau diese Anleitung (Scan im ABGESICHERTEN MODUS dauert etwa eine Stunde),
http://www.systemwiederherstellung-d...indows-xp.html
2. starte nach dem Scan wieder in den normalen Modus dauert,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.


dartus

Zitat:

Zitat von dartus

Hallo Workman

führe bitte dies mal aus:
1. Downloade Dir escan und befolge genau diese Anleitung (Scan im ABGESICHERTEN MODUS dauert etwa eine Stunde),
http://www.systemwiederherstellung-d...indows-xp.html
2. starte nach dem Scan wieder in den normalen Modus dauert,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.


dartus

hier also die Ergebnisse:


Sat Mar 26 09:40:03 2005 => ***** Scanning Registry Files *****

Sat Mar 26 09:40:04 2005 => Scanning File C:\WINDOWS\system32\netry.dll
Sat Mar 26 09:40:04 2005 => File C:\WINDOWS\system32\netry.dll infected by "Trojan-Downloader.Win32.Agent.jb" Virus. Action Taken: File Deleted.

Sat Mar 26 09:40:04 2005 => *** Reg Key Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{F8C5C8E9-52C1-06A7-3A16-9AAC146F3F6D} deleted because ImagePath file infected by a Virus


Sat Mar 26 09:40:10 2005 => ERROR!!! Invalid Entry System32\DRIVERS\ElbyVCD.sys in SYSTEM\CurrentControlSet\Services\ElbyVCD...
Sat Mar 26 09:40:16 2005 => ERROR!!! Invalid Entry D:\oracle\product\10.1.0\Db_1\BIN\TNSLSNR in SYSTEM\CurrentControlSet\Services\OracleOraDb10g_home1TNSListener...
Sat Mar 26 09:40:25 2005 => Total Files Scanned: 439
Sat Mar 26 09:40:25 2005 => Total Virus(es) Found: 1
Sat Mar 26 09:40:25 2005 => Total Disinfected Files: 0
Sat Mar 26 09:40:25 2005 => Total Files Renamed: 0
Sat Mar 26 09:40:25 2005 => Total Deleted Files: 1
Sat Mar 26 09:40:25 2005 => Total Errors: 5
Sat Mar 26 09:40:25 2005 => Time Elapsed: 00:00:38
Sat Mar 26 09:40:25 2005 => Virus Database Date: 2005/03/25
Sat Mar 26 09:40:25 2005 => Virus Database Count: 118154

Sat Mar 26 09:40:25 2005 => Scan Completed.

Sat Mar 26 09:40:26 2005 => AV Library Unloaded (3)...


Explorer, suche etc. geht jetzt wieder, wie gehts weiter?

Gruß Workman

Zitat:

[...]wie gehts weiter?

-> eScan nochmals ausführen, aber diesmal richtig!

Nur um's deutlich zu machen:
1.) eScan muss im Verzeichnis c:\bases laufen und vor dem Scan aktualisiert werden! (hast du evtl. gemacht)

2.) eScan muss im abgesicherten Modus ausgeführt werden! (hast du evtl. gemacht)

3.) Die Haken müssen so gesetzt sein, wie es auf der Grafik dargestellt ist:

(hast du nicht gemacht)

Sorry, aber mein escan schaut bisschen anders aus...:

habe folgende Version: eScan version 'h' build 2.6.518

weitere tips?

Gruß Workman

Zitat:

Zitat von Haui45

-> eScan nochmals ausführen, aber diesmal richtig!

Nur um's deutlich zu machen:
1.) eScan muss im Verzeichnis c:\bases laufen und vor dem Scan aktualisiert werden! (hast du evtl. gemacht)

2.) eScan muss im abgesicherten Modus ausgeführt werden! (hast du evtl. gemacht)

3.) Die Haken müssen so gesetzt sein, wie es auf der Grafik dargestellt ist:

(hast du nicht gemacht)

Zitat:

Sorry, aber mein escan schaut bisschen anders aus...:

Definiere das bitte ein bisschen genauer. Mach mal einen Screenshot und häng ihn an deine Antwort.

Zitat:

Zitat von Haui45

-> eScan nochmals ausführen, aber diesmal richtig!

Nur um's deutlich zu machen:
1.) eScan muss im Verzeichnis c:\bases laufen und vor dem Scan aktualisiert werden!

Meinst du mit bases einfach direkt in "C"? Warum muss der denn direkt dort gestartet werden oder meinst du es muss einfach in der Software das Laufwerk c zum scannen ausgewählt werden?

Sorry, ich glaube die Frage hört sich dumm an, aber bin mir nicht sicher wie du das meinst.

Gruß cookie

Zitat:

Meinst du mit bases einfach direkt in "C"?

Ja, direkt in der Systempartition. Wenn Windows auf d: installiert ist, dann eben nach d:\bases

Zitat:

Warum muss der denn direkt dort gestartet werden

Weil man nur so updaten kann.

Zitat:

oder meinst du es muss einfach in der Software das Laufwerk c zum scannen ausgewählt werden?

Nein, es müssen alle Laufwerke ausgewählt werden.