Dein System ist völlig ungepatched, kein Wunder, dass du dir was einfängst.
Wo ist z.B. Service Pack 2?
Um herauszufinden, ob eine weitere Bereinigung noch Sinn macht, führe Escan wie beschrieben aus.

Hallo@escudo

silentrunners
http://nikita.eddys-domain.de/silentrunner.html
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.

FindT http://bilder.informationsarchiv.net...ools/FindT.zip
in C:\ entpacken -- öffne "FindT" folder -- klicke batch file (runthis.bat) -- poste die txt (Textdatei) in den Thread

wahrscheinlich muessen wir loeschenund noch anders...)
C:\WINDOWS\SYSTEM32\HCLEAN32.EXE
C:\WINDOWS\SYSTEM32\NTFSNLPA.EXE
C:\WINDOWS\SYSTEM32\RDSNDIN.EXE
C:\WINDOWS\RDT.INI
C:\WINDOWS\BALLOON.WAV
http://nikita.eddys-domain.de/Artike...ty_Center.html

bitte abarbeiten
http://nikita.eddys-domain.de/Artikel/Tools/worc.html

bitte abarbeiten
http://nikita.eddys-domain.de/datfindbat.html

Zitat:

Zitat von cronos

Dein System ist völlig ungepatched, kein Wunder, dass du dir was einfängst.
Wo ist z.B. Service Pack 2?
Um herauszufinden, ob eine weitere Bereinigung noch Sinn macht, führe Escan wie beschrieben aus.

hallo chronos,
danke erstmal, dass du mir geantwortet hast.
trotzdem bitte ich dich meine problemstellung auch zu lesen. ich hab geschrieben, dass ich das sp2 nicht installieren kann und glaub mir ich hab schon einiges versucht. ich habe meinen key 20 mal geändert und jedesmal wurde die installation wieder abgebrochen.
wenn du mir dazu einen tipp geben kannst, bitte.
dass ich es installieren sollte weiß ich selbst.

ich werde aber erst mal die sachen von sabina abarbeiten.
escudo

Zitat:

Zitat von escudo

einiges versucht. ich habe meinen key 20 mal geändert und jedesmal wurde die installation wieder abgebrochen.
wenn du mir dazu einen tipp geben kannst, bitte.
dass ich es installieren sollte weiß ich selbst.o

Hast du schon folgendes probiert?
Man nehme 100-150 € und tausche diese im nächsten Kaufhaus/Elektronikmarkt/wasauchimmer gegen eine Originalversion von WinXP Home oder Pro. Dann ist das SP2 sogar schon dabei.

@sabina

hier mal das erste.
ich werd mal so weit machen, so weit ich neben der arbeit komme, den rest dann heute abend/nacht also bitte etwas geduld wenn ich nicht alles sofort liefern kann
und noch eine kleine bitte, wenn wir etwas löschen, auch bitte dazusagen warum und was die teile machen, damit ich auch was für die zukunft lernen kann.
dickes danke für deine mühe!!

escudo


"Silent Runners.vbs", revision 40.1, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "D:\WINDOWS\System32\ctfmon.exe" [MS]
"MSMSGS" = ""D:\Programme\Messenger\msmsgs.exe" /background" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"AVGCtrl" = "D:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"SunJavaUpdateSched" = "D:\Programme\Java\jre1.5.0_04\bin\jusched.exe" ["Sun Microsystems, Inc."]
"SiSPower" = "Rundll32.exe SiSPower.dll,ModeAgent" [MS]
"QuickTime Task" = ""D:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"EPSON Stylus CX3600 Series" = "D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"" ["SEIKO EPSON CORPORATION"]
"NeroCheck" = "D:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"iTunesHelper" = ""D:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."]
"TkBellExe" = ""D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "d:\programme\google\googletoolbar1.dll" ["Google Inc."]
{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}\(Default) = "EpsonToolBandKicker Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "D:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "System" = "csjtm.exe" [null data]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\WinRAR\rarext.dll" [null data]


Group Policies [Description] {enabled Group Policy setting}:
------------------------------------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001
[enables Active Desktop and prevents disabling it]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Enable Active Desktop}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop enabled via Group Policy.

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "D:\WINDOWS\Web\Wallpaper\Wüstenmond.jpg"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "D:\WINDOWS\System32\logon.scr" [MS]


Startup items in "mutex" & "All Users" startup folders:
-------------------------------------------------------

D:\Dokumente und Einstellungen\mutex\Startmenü\Programme\Autostart
"Screenshot Utility" -> shortcut to: "D:\Programme\Screenshot Utility\ScreenshotUtility.exe" ["QSX Software Group"]

D:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Utility Tray" -> shortcut to: "D:\WINDOWS\system32\sistray.exe" ["Silicon Integrated Systems Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "d:\programme\google\googletoolbar1.dll" ["Google Inc."]

"{EE5D279F-081B-4404-994D-C6B60AAEBA6D}" = "EPSON Web-To-Page" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]

"{EB740041-E2A0-4346-A4DF-F2AFF42AB23D}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "7f81k.dll" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = "&Google" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "d:\programme\google\googletoolbar1.dll" ["Google Inc."]

"{EE5D279F-081B-4404-994D-C6B60AAEBA6D}" = "EPSON Web-To-Page" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll" ["SEIKO EPSON CORPORATION"]

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\ = "&Research" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Research"


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, ""D:\Programme\AVPersonal\AVGUARD.EXE"" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""D:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
iPod Service, iPodService, "D:\Programme\iPod\bin\iPodService.exe" ["Apple Computer, Inc."]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 85 seconds, including 18 seconds for message boxes)

@sabina

also den wicht hab ich schon gekannt, aber er lässt sich halt nicht dauerhaft löschen, auch mit ausgeschaltener systemwiederherstellung und killbox hab ich das teil offensichtlich nicht weg gekriegt.

mich wundert eigentlich nur, dass es das einzige war, das gefunden wurde.

escudo

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

D:\WINDOWS\BALLOON.WAV

mache erst mal nichts anderes, als alles abzuarbeiten, ich erstelle dann eine Reinigung, sobald ich alle Daten habe

Zusatz: (das brauche ich auch noch)
http://nikita.eddys-domain.de/winpfind.html

Zitat:

Zitat von Sabina

mache erst mal nichts anderes, als alles abzuarbeiten, ich erstelle dann eine Reinigung, sobald ich alle Daten habe

keien angst ich greif sonst nichts an.
hier die ergebnisse von worc


---------
W.O.R.C. Systemänderungsbericht
Erstellt: 29.08.2005 17:57:56


Dateisystem: Hinzugekommene Verzeichnisse
--------------------------------------------------

Dateisystem: Gelöschte Verzeichnisse
--------------------------------------------------

Dateisystem: Hinzugekommene Dateien
--------------------------------------------------

Dateisystem: Gelöschte Dateien
--------------------------------------------------

Dateisystem: Veränderte Dateien
--------------------------------------------------
D:\System Volume Information\_restore{C0A245F7-5326-4477-93E9-A5C6905416AA}\RP1\change.log
--------------------------------------------------
W.O.R.C. Systemänderungsbericht Ende

@sabina

den teil mit der datfind.bat kann ich leider nicht machen, da mein editor nicht öffnet. der cursor sieht kurz so aus also ob, aber dann kehrt wieder ruhe ein. kann ich das mit dem wordpad auch irgendwie machen?

ps: zusätzlich hat gerade wieder mein desktophintergrund auf eine rote website umgeschatet: spyware, das fbi sieh was sie tun... blablabla
die offensichtliche farbliche belästigung ist zwar schnell ausgeschaltet gewesen, aber die malware ist ja doch noch irgendwo. ich hoffe wir finden das zeug.