win32.alcan.a_win32.agent.bq_Taskm_defekt--HILFE!

shad · 24.10.2005, 13:56

Hier der Logfile von dem aktuellen HJT. Oh man...hoffentlich wird alles gut.

Logfile of HijackThis v1.99.1
Scan saved at 14:50:25, on 24.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Logi_MwX.Exe
C:\WINDOWS\Logi_MwX.Exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\FireFox\firefox.exe
D:\Downloads_2\AntiViren\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://196.162.1.1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = w*w.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = w*w.freenet.de
O4 - HKLM\..\Run: [Memory Check] Logi_MwX.Exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [SoniqueQuickStart] C:\Musik\Sonique\sqstart.exe -nostick
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Sitecom USB Wireless LAN Utility.lnk = C:\Programme\Sitecom Europe BV\Sitecom WL-113 Utility\SiteComUSB.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://w*w.bitdefender.com/scan8/oscan8.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

stupormundi · 24.10.2005, 14:08

Servus, shad!
In Deinem HJT-Log kann ich nichts finden, was auf einen Schädling hindeutet!
Hast Du schon etwas entfernt/gelöscht?
Update mit 'kavupd.exe' Deine escan Signaturen und lass das noch einmal (ich weiß, das dauert) laufen!
Nachtrag: Keine voreiligen Schlüsse ziehen

Die Fehler sind vorerst wurscht!
stupormundi

shad · 25.10.2005, 11:51

ZWISCHENSTAND:

-cmd und regedit funktionieren.
-winsupdater wurde gelöscht
-die selbst erstellte fix.bat hat nicht gefunden und gelöscht

Im Voraus auch Dank an Experte

Expert · 25.10.2005, 12:03

hey

hast du noch Probleme?

Gruss
expert

shad · 25.10.2005, 12:32

Zitat:

Zitat von Expert

hey

hast du noch Probleme?

Vll. könntest du mir das sagen, nachdem ich die Logfile von HJT und Ewido gepostet habe??? Oder meinst, dass jetzt alles gut aussieht?

shad · 25.10.2005, 11:18

ok, werd ich machen - auch wenn ich nicht genau weiß wozu=)

Die Datei C/Windows/System32/Winlog.exe gibt es bei mir nicht...aber eine winlogon.exe. Sollte ich die auch löschen?

Expert · 25.10.2005, 11:37

Zitat:

Zitat von shad

ok, werd ich machen - auch wenn ich nicht genau weiß wozu=)

Die Datei C/Windows/System32/Winlog.exe gibt es bei mir nicht...aber eine winlogon.exe. Sollte ich die auch löschen?

Auf keinen falls die Datei C/Windows/System32/Winlogon loeschen (Legitime Datei)

Gruss
Expert

Expert · 25.10.2005, 11:46

hey

Zitat:

#Versuch mal unter Start/Ausführen,ob folgende Bfehle funktionieren cmd und regedit

Beide funktionieren?

Gruss
Expert

shad · 24.10.2005, 14:06

W32/Bropia-A also launches W32/Rbot-TX

--> da habe ich noch gelesen:

The worm will prevent the following files from being executed:

cmd.exe
taskmgr.exe ...und der geht ja auch nicht bei mir.

Dann ist er es wohl wirklich....unter anderen!?!?

Und warum hat mein System laut Escan soviel Fehler:
"Mon Oct 24 14:02:45 2005 => Total Errors: 410"

shad · 24.10.2005, 14:15

ja, ich habe gestern mittels HJT schon 2 sachen entfernt, die mir spanisch vorkamen...also mehr so intuitiv

Das eine hieß irgendwas mit "...winupdate", dazu hat Adaware gestern
mehrmal alcan.a entfernt - ich befürchtete erfolglos, weil er es immer wieder gefunden hat.
Übrigens habe ich gerade bemerkt, dass mein Taskmanager wieder funktioniert.
Ich update EScan und poste dann wieder...danke nochmal für die Hilfe!

dartus · 24.10.2005, 14:22

Hallo,

solch einen Eintrag hast Du gefixt:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
winupdates
C:\Prpogramme\winupdates\winupdates.exe /auto

Schau hier:
http://www.sophos.com/virusinfo/analyses/w32alcrab.html

dartus

win32.alcan.a_win32.agent.bq_Taskm_defekt--HILFE!

Plagegeister aller Art und deren Bekämpfung: win32.alcan.a_win32.agent.bq_Taskm_defekt--HILFE!