| |
| |||||||
Log-Analyse und Auswertung: internat.exe - SCard...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
27.04.2005, 16:56
| #1 |
| |  internat.exe - SCard... Hallo zusammen, ich habe bei einer Bekannten einen befallenen PC versucht zu säubern (über 400inf. Dateien). Vieles ist unten, aber ein paar Sachen stehen noch, und da komm ich nicht weiter. Versuche mich noch um das Neuaufsetzen herumzuwinden, da einige der neueinzuspielenden Programme ein ewiges Online-Update-Prozedere mit sich bringen würden (und das bei ISDN). Hier mal der Hijack-Log Logfile of HijackThis v1.99.1 Scan saved at 09:15:19, on 27.04.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\SCardClnt.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE E:\CD_Antivir\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.optik-marktbreit.de/ R3 - Default URLSearchHook is missing O2 - BHO: CDownCom Class - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - C:\WINNT\DOWNLO~1\ipreg32.dll (file missing) O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [Ae6t] C:\WINNT\tsbsnc.exe O4 - HKLM\..\Run: [loader32] C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE O4 - HKCU\..\Run: [Iomega Active Disk] C:\Programme\Iomega\AutoDisk\AD2KClient.exe O4 - HKCU\..\Run: [internat.exel] internat.exe O4 - Startup: GENO lite ZV F‰lligkeiten.lnk = C:\WINLITE\ZAWF.EXE O4 - Startup: Scan & Print.lnk = C:\Programme\Scan & Print\Scan & Print.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Service Manager.lnk = C:\mssql7\Binn\sqlmangr.exe O4 - Global Startup: SQL Server.lnk = C:\mssql7\Binn\scm.exe O4 - Global Startup: VR-NetWorld Auftragspr¸fung.lnk = C:\Programme\VR-NetWorld\vrtoolcheckorder.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...bridge-c32.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326 O17 - HKLM\System\CCS\Services\Tcpip\..\{8867DC50-F615-4CAD-90E7-40F8D2B3CC07}: NameServer = 192.168.120.252,192.168.120.253 O20 - Winlogon Notify: PCANotify - C:\WINNT\SYSTEM32\PCANotify.dll O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2004\AVKService.exe O23 - Service: AVK W‰chter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2004\AVKWCtl.exe O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Verwaltungsdienst f¸r die Verwaltung logischer Datentr‰ger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\PROGRA~1\Iomega\System32\ActivityDisk.exe O23 - Service: IomegaAccess - Iomega Corporation - C:\WINNT\system32\IomegaAccess.exe O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINNT\system32\SCardClnt.exe O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\system32\ZipToA.exe ___ Die "internat.exe" hatte ich in "internat.exel" in der Reg geändert. Vielen Dank! Herzliche Grüsse Michael Geändert von e-peoples (27.04.2005 um 16:57 Uhr) Grund: Schreibfehler |
|
27.04.2005, 17:01
| #2 | ||
  | internat.exe - SCard... @e-peoples
__________________Zitat:
Zitat:
Du kannst noch die Datei hier überprüfen, aber ich gehe stark davon aus, dass meine Ferndiagnose stimmt. |
|
27.04.2005, 22:39
| #3 |
| | internat.exe - SCard... Hallo Rene-gad,
__________________das mit "W32/codbot - z" wusste ich schon. Habe auch schon mehrere Posts gesehen, welche Lösungen zeigen, wie das Teil dauerhaft zu killen gehen soll. Doch habe ich gerne noch eine zweite Meinung. (Man soll sich ja auch nicht nur auf einen Virenscanner verlassen). Die vorgeschlagene Vorgehensweise ist: Zuerst HijackThis in einen eigenen Ordner entpacken. Nicht direkt aus der Zipdatei ausführen. Computer in den abgesicherten Modus neustarten. In Dein übliches Benutzerkonto einloggen. In Start - Ausführen eingeben: cmd In dem Kommandofenster die folgenden Befehle eingeben und nach jedem die Eingabetaste drücken: sc delete SCardClnt (Systemsteuerung - Ordneroptionen - Ansicht - "Alle Dateien und Ordner anzeigen" aktivieren und "Geschützte Systemdateien ausblenden" deaktivieren.) Die folgenden Dateien löschen: C:\WINDOWS\System32\SCardClnt.exe Den Inhalt der folgenden Ordner löschen: C:\Dokumente und Einstellungen\ph\Lokale Einstellungen\Temp C:\Dokumente und Einstellungen\ph\Lokale Einstellungen\Temporary Internet Files C:\Windows\Temp _________ Macht dies Sinn? Sorry wenn ich so blöde frage, aber es ist immer ein großer Aufwand an den Computer zu kommen. Und ich möchte dies auf ein Minimum reduzieren. Herzliche Grüsse Michael |
|
28.04.2005, 07:04
| #4 | |
| | internat.exe - SCard... @e-peoples Zitat:
|
|
28.04.2005, 08:42
| #5 | |
| | internat.exe - SCard...Zitat:
ja dieses "Microsoft-Geständnis" kenne ich auch. Wie gesagt, bin schon lange am machen.....! Schei.... Windows. O.K., dann halt die harte Tour! Danke nochmals! Herzliche Grüsse Michael  Geändert von e-peoples (28.04.2005 um 08:44 Uhr) Grund: Schreibfehler |
|
| Themen zu internat.exe - SCard... |
| .dll, antivir, bho, button, c.exe, control, dateien, excel, explorer, file missing, fritz!, gen, hallo zusammen, hijackthis, icons, internet, internet explorer, microsoft, mssql, office, programme, software, start, symantec, system, system32, urlsearchhook, web, windows, zone |
Linear-Darstellung
