Initialisieren Vom explorer HILFE

DaZippa · 06.02.2006, 23:28

Hi ich Hab keine ahnung was ich tun soll
dachte es es wär irgendwas mit CWS
oder Smit* keine ahnung
auf jedenfall startet mein Explorer nicht mehr (2 windows errormeldungen : initialisieren fehlgeschlagen)
das tut er nur im abgesichterten modus
hier ist mein logfile

___________________________________________>>>

Logfile of HijackThis v1.99.1
Scan saved at 23:22:09, on 06.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\taskmgr.exe
G:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://global.acer.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O3 - Toolbar: (no name) - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - (no file)
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Programme\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [winsysupd] c:\windows\winsysupd5.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.elitemediagroup.net
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{47698498-08E3-42EA-A452-3C88D202373B}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A613089F-6524-4895-A7A1-E2EC945BAC2B}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: MS-DOS Emulation - C:\WINDOWS\system32\j44oleh31h4.dll
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\system32\dcom_13.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

[edit]
links entfernt
GUA
[/edit]

DaZippa · 07.02.2006, 03:27

kann mir mal bitte wer helfen ?
*ganz lieb frag*
ich hab keinen blasse nschimmer was ich da drauf hab...

biiiiteeee

dartus · 07.02.2006, 10:59

Hallo DaZippa,

lade Dir clearprog 1.4.1 final und L2mfix . Verwende "L2mfix" mit der Option 2.

Deinstalliere über Systemsteuerung/Software --> TheSearchAccelerator sowie weitere Dir unbekannte Programme.

Start -> Ausführen -> services.msc -> OK -> Rechtsklick auf Remote Packet Capture Protocol v.0 (experimental) (rpcapd) -> Eigenschaften -> "Starttyp" deaktiviert und "Dienststatus" beenden einstellen -> Übernehmen

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):
Alle "R"-Einträge mit about:blank
R3 - Default URLSearchHook is missing
O3 - Toolbar: (no name) - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - (no file)
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [winsysupd] c:\windows\winsysupd5.exe
O15 - Trusted Zone: *.elitemediagroup.net
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O20 - Winlogon Notify: MS-DOS Emulation - C:\WINDOWS\system32\j44oleh31h4.dll
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\system32\dcom_13.dll
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Lösche manuell:
C:\WINDOWS\system32\dcom_13.dll
c:\windows\winsysupd5.exe
C:\Programme\TheSearchAccelerator

starte clearprog -> Häkchen bei Alees Löschen und auf Löschen klicken

Neustart -> Systemwiederherstellung kann wieder aktiviert werden

Poste ein Logfile von HJT und das von L2mfix angelegte

dartus

Sabina · 07.02.2006, 11:54

hier ist nach meiner Erfahrung noch mehr drauf...als im Log vom HijackThis sichtbar.
(was L2mfix nicht beseitigt...)

um alles zu finden:

stelle den CleanUp genauso ein, wie hier angegeben:

http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)

http://virus-protect.org/datfindbat.html

DaZippa · 07.02.2006, 18:06

hm ich bin noch nicht ganz durch.. auf jedenfall gibt es diesen Dienst nicht
den ich austellen soll

(Remote Packet Capture Protocol v.0 (experimental) (rpcapd))

ist das schlimm oder gut !?

jedenfalls wenn ich den zu fixen versuche, dann kommt der eintrag in HJT immer wida (O23 - Service: Remote Packet Capture Protocol ....)

DaZippa · 07.02.2006, 18:53

hiem meine textdats....

www.zipperspage.de/C.txt

www.zipperspage.de/Windows.txt

www.zipperspage.de/system32.txt

hoffe dat hilft was weil bisher war alles nur dateinlöschen für umsonst -.- !

Sabina · 08.02.2006, 00:00

DaZippa

du hast dreimal das gleiche log geschickt...poste noch die fehlenden

http://virus-protect.org/datfindbat.html

Zitat:

Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\

Verzeichnis von C:\WINDOWS\system32

Viren:

07.02.2006 18:17 14 direct.txt
06.02.2006 23:17 234.571 f8j2li1o18.dll
06.02.2006 22:58 234.263 j44oleh31h4.dll
06.02.2006 22:44 234.571 kgdhe.dll
06.02.2006 20:53 0 atmtd.dll.tmp
06.02.2006 20:19 303.104 WinNB57.dll
06.02.2006 20:19 66.048 dcom_12.dll
06.02.2006 20:15 48.157 ~update.exe
06.02.2006 20:13 0 perflibs__
06.02.2006 20:13 26.112 sysspy.exe
06.02.2006 20:13 9.768 sysfind.exe
06.02.2006 20:13 48.157 paradise.raw.exe
06.02.2006 20:13 0 _plastilin_
06.02.2006 20:13 63 svcp.csv

DaZippa · 08.02.2006, 15:38

mh ist zu spät
mein laptop startet bis zum willkommen bildschirm von xp
und geht dann aus startet neu .... son kleiner kreislauf -.-

im abgesichterm modus passiert das selbe !

hab mittlerweile formatiert

alle daten weg

aber trotzdem thx an alle

besonder an Sabina

Initialisieren Vom explorer HILFE

Log-Analyse und Auswertung: Initialisieren Vom explorer HILFE