hi zusammen,

ich hab ein problem beim hochfahren. der desktop erscheint, alle prozesse laufen, aber er bleibt irgendwie stecken. es läßt sich dann auf der oberfläche nichts anklicken!
im startup manager sind dann immer wieder neue unbekannte programme wie zb. exe.rmomd (verkehrt)?
hoffe es kann mir jemand weiterhelfen

ronny

Logfile of HijackThis v1.99.1
Scan saved at 07:52:38, on 12.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\TuneUp Utilities 2006\Integrator.exe
C:\Programme\TuneUp Utilities 2006\StartUpManager.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Ronny PC\Lokale Einstellungen\Temp\wz8003\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
R3 - URLSearchHook: (no name) - {97537C64-BEA5-F811-767C-B719BEB5D75B} - AliceSD.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1B3D7888-FE19-48C4-9A44-9D5A82F9DC20} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {25365FF3-2746-4230-9DA7-163CCA318309} - h++p://inst.c-wss.com/126p/html/gtdownlr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h++p://update.microsoft.com/w...?1132597417936
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://h++p://security.symantec.com/.../bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://h++p://update.microsoft.com/m...?1132598536842
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://h++p://www.kochmesser.de/scan...itdefender.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - http://h++ps://h17000.www1.hp.com/ew...oadManager.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF192C9-225A-4CA8-BE5A-76677B3BFDF0}: NameServer = 85.255.113.141,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD232A62-E688-4997-BFB2-280000D03E38}: NameServer = 85.255.113.141 85.255.112.216
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Servus!

Hört sich ja kryptisch an! Poste doch einmal - wenn möglich - ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 hier! Wichtig dabei: Entpacke HJT in ein eigenes Verzeichnis (zB. C:\HJT). Nicht im Temporärordner laufen lassen!

stupormundi

hallo,
hier hab ich den log-file. ich hoffe das ist soweit ok, bin bei sowas sehr ungeübt!!

Logfile of HijackThis v1.99.1
Scan saved at 09:09:44, on 12.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Programme\TuneUp Utilities 2006\StartUpManager.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Programme\hijackthis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.tune-up.com/link/?app=tu2004&version=4.1.2311&tulang=de&lang=de&country=DE&target=logonscreens
R3 - URLSearchHook: (no name) - {97537C64-BEA5-F811-767C-B719BEB5D75B} - AliceSD.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1B3D7888-FE19-48C4-9A44-9D5A82F9DC20} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {25365FF3-2746-4230-9DA7-163CCA318309} - http://inst.c-wss.com/126p/html/gtdownlr.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132597417936
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1132598536842
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.kochmesser.de/scan/Msie/bitdefender.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF192C9-225A-4CA8-BE5A-76677B3BFDF0}: NameServer = 85.255.113.141,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD232A62-E688-4997-BFB2-280000D03E38}: NameServer = 85.255.113.141 85.255.112.216
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Servus wieder!
Ein bißchen Geduld hätte nicht geschadet
Mehrfachpostings erhöhen nicht automatisch die Chance auf sofortige Antwort - alle die hier helfen, tun das nebenbei und haben noch Jobs, Familie und ein Privatleben - also bitte ein wenig Geduld!

Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
stupormundi

hi,
dachte ich wär im falschen bereich.

welchen escan soll ich genau downloaden?

lg ronny

Die Gratisversion *rechtsklick*!
Wichtig: halte die bereits geposteten Tipps ein - Speicher/Entpackungsort, Sprache, update, abgesicherter Modus - und übe dich in Geduld, der Scan dauert je nach System > 1Stunde und länger!

Anschließend nicht das ganze Log posten sondern wie in der Anleitung von Cidre beschrieben (ganz unten, Fußnoten) nur die Funde.

stupormundi

hi,
hab soweit alles gemacht! hier ist nun das ergebnis





Wed Apr 12 12:37:50 2006 => File C:\Dokumente und Einstellungen\Ronny PC\Desktop\downloads\fddli_1200_Gs_s_Inst-77.exe tagged as "not-a-virus:AdWare.Win32.Gator.o". Action Taken: No Action Taken.
Wed Apr 12 13:51:43 2006 => File C:\Dokumente und Einstellungen\Ronny PC\Desktop\downloads\tetriboxSetup-dm.exe tagged as "not-a-virus:AdWare.Win32.Trymedia.b". Action Taken: No Action Taken.
Wed Apr 12 14:16:47 2006 => File C:\Programme\Gemeinsame Dateien\lnpuqlel\luemcnatrp\ddqnsbuqs.exe tagged as "not-a-virus:AdWare.Win32.Gator.a". Action Taken: No Action Taken.Wed Apr 12 14:16:47 2006 => File C:\Programme\Gemeinsame Dateien\lnpuqlel\npbmeasn\ubqlsaou.exe tagged as "not-a-virus:AdWare.Win32.Gator.a". Action Taken: No Action Taken.
Wed Apr 12 14:16:47 2006 => File C:\Programme\Gemeinsame Dateien\lnpuqlel\npbmeasn\ubqlsaou.exe tagged as "not-a-virus:AdWare.Win32.Gator.a". Action Taken: No Action Taken.
Wed Apr 12 14:46:38 2006 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1101.dll tagged as "not-a-virus:AdWare.Win32.Gator.1101". Action Taken: No Action Taken.
Wed Apr 12 12:37:57 2006 => File C:\Dokumente und Einstellungen\Ronny PC\Desktop\downloads\hbtools.exe tagged as "not-a-virus:AdWare.Win32.HotBar.be". Action Taken: No Action Taken.

Total Objects Scanned: 56905
Wed Apr 12 13:11:10 2006 => Total Critical Objects: 12
Wed Apr 12 13:11:10 2006 => Total Disinfected Objects: 0
Wed Apr 12 13:11:10 2006 => Total Objects Renamed: 0
Wed Apr 12 13:11:10 2006 => Total Deleted Objects: 0
Wed Apr 12 13:11:10 2006 => Total Errors: 37
Wed Apr 12 13:11:10 2006 => Time Elapsed: 00:37:20
Wed Apr 12 13:11:10 2006 => Virus Database Date: 4/11/2006
Wed Apr 12 13:11:10 2006 => Virus Database Count: 187568

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Apr 12 12:34:48 2006 => System found infected with hotbar Spyware/Adware ({74cc49f7-eb32-4a08-b204-948962a6e3db})! Action taken: No Action Taken.
Wed Apr 12 12:34:48 2006 => System found infected with adware.toolbar.sbsoft.h Spyware/Adware ({08bec6aa-49fc-4379-3587-4b21e286c19e})! Action taken: No Action Taken.
Wed Apr 12 12:34:51 2006 => Object "funwebproducts Spyware/Adware" found in File System! Action Taken: No Action Taken.
Wed Apr 12 12:34:53 2006 => Object "hotbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Wed Apr 12 12:37:50 2006 => File C:\Dokumente und Einstellungen\Ronny PC\Desktop\downloads\fddli_1200_Gs_s_Inst-77.exe tagged as "not-a-virus:AdWare.Win32.Gator.o". Action Taken: No Action Taken.
Wed Apr 12 12:37:57 2006 => File C:\Dokumente und Einstellungen\Ronny PC\Desktop\downloads\hbtools.exe tagged as "not-a-virus:AdWare.Win32.HotBar.be". Action Taken: No Action Taken.
Wed Apr 12 12:38:00 2006 => File C:\Dokumente und Einstellungen\Ronny PC\Desktop\downloads\tetriboxSetup-dm.exe tagged as "not-a-virus:AdWare.Win32.Trymedia.b". Action Taken: No Action Taken.
Wed Apr 12 12:41:54 2006 => File C:\Dokumente und Einstellungen\Ronny PC\Eigene Dateien\Eigene Bilder\BILDER\BILDER\XXY\ARETHOSE.EXE tagged as "not-a-virus:Porn-Dialer.Win32.Generic". Action Taken: No Action Taken.
Wed Apr 12 12:42:05 2006 => File C:\Dokumente und Einstellungen\Ronny PC\Eigene Dateien\Eigene Bilder\Eigene Bilder\Bilder\Bilder\xxy\arethose18.exe tagged as "not-a-virus:Porn-Dialer.Win32.Generic". Action Taken: No Action Taken.
Wed Apr 12 12:45:21 2006 => File C:\Programme\Gemeinsame Dateien\lnpuqlel\luemcnatrp\ddqnsbuqs.exe tagged as "not-a-virus:AdWare.Win32.Gator.a". Action Taken: No Action Taken.
Wed Apr 12 12:45:21 2006 => File C:\Programme\Gemeinsame Dateien\lnpuqlel\npbmeasn\ubqlsaou.exe tagged as "not-a-virus:AdWare.Win32.Gator.a". Action Taken: No Action Taken.
Wed Apr 12 13:00:24 2006 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1101.dll tagged as "not-a-virus:AdWare.Win32.Gator.1101". Action Taken: No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Wed Apr 12 12:34:53 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Ronny PC\Anwendungsdaten\hbtools
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Wed Apr 12 12:34:51 2006 => Offending Key found: HKCU\Software\funwebproducts !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Apr 12 13:11:10 2006 => Total Errors: 37
Wed Apr 12 13:11:10 2006 => Time Elapsed: 00:37:20
Wed Apr 12 13:11:09 2006 => Total Objects Scanned: 56905
Wed Apr 12 12:18:08 2006 => Virus Database Date: 4/11/2006
Wed Apr 12 12:19:19 2006 => Virus Database Date: 4/12/2006
Wed Apr 12 12:32:09 2006 => Virus Database Date: 4/11/2006
Wed Apr 12 13:11:10 2006 => Virus Database Date: 4/11/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Backlight:

04/12/06 16:30:36 [Info]: BlackLight Engine 1.0.35 initialized
04/12/06 16:30:36 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/12/06 16:30:36 [Note]: 7019 4
04/12/06 16:30:36 [Note]: 7005 0
04/12/06 16:30:42 [Note]: 7006 0
04/12/06 16:30:42 [Note]: 7011 1404
04/12/06 16:30:42 [Note]: 7026 0
04/12/06 16:30:42 [Note]: 7026 0
04/12/06 16:30:42 [Note]: FSRAW library version 1.7.1015
04/12/06 16:31:04 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
04/12/06 16:31:04 [Note]: 10002 1
04/12/06 16:31:05 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
04/12/06 16:31:05 [Note]: 10002 1
04/12/06 16:31:06 [Info]: Hidden file: C:\WINDOWS\system32\dmufn.exe
04/12/06 16:31:06 [Note]: 7002 32
04/12/06 16:31:06 [Note]: 7003 1
04/12/06 16:31:06 [Note]: 10002 1
04/12/06 16:31:07 [Info]: Hidden file: C:\WINDOWS\system32\howiper.exe
04/12/06 16:31:07 [Note]: 7002 5
04/12/06 16:31:07 [Note]: 7003 1
04/12/06 16:31:07 [Note]: 10002 1
04/12/06 16:31:08 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
04/12/06 16:31:08 [Note]: 10002 1
04/12/06 16:31:09 [Info]: Hidden file: C:\WINDOWS\system32\csgul.exe
04/12/06 16:31:09 [Note]: 7002 32
04/12/06 16:31:09 [Note]: 7003 1
04/12/06 16:31:09 [Note]: 10002 1
04/12/06 16:31:10 [Info]: Hidden file: C:\WINDOWS\system32\sphlp32.exe
04/12/06 16:31:10 [Note]: 10002 1
04/12/06 16:32:15 [Note]: 7007 0

symantec VP hat gleich einen virus und trojaner gefunden!?

@ronny2006
Es sieht so aus, als Du zu viel Freeware runterziehst, ohne einen Verdacht zu haben, dass viele solche "Spielzeuge" Spy- und Adware enthalten.(tetribox, z.B.)
1. Schau dir erstmal die Systemsteuerung\Software-Liste an. Wenn Du etwas findest, was Du bestimmt nicht installiert hast oder was Dir "spanisch" vorkommt, deinstalliere es
2. Lade herunter:
http://www.safer-networking.org/de/news/index.html
http://www.lavasoftusa.com/support/download
Lasse beide Tools laufen (aber nicht gleichzietig).
3. Löche diese Dateien im abgesicherten Modus (falls diese 2 Tools sie nicht finden).

Zitat:

C:\Dokumente und Einstellungen\Ronny PC\Desktop\downloads\fddli_1200_Gs_s_Inst-77.exe
C:\Dokumente und Einstellungen\Ronny PC\Desktop\downloads\tetriboxSetup-dm.exe
C:\Programme\Gemeinsame Dateien\lnpuqlel\luemcnatrp\ddqnsbuqs.exe
C:\Programme\Gemeinsame Dateien\lnpuqlel\npbmeasn\ubqlsaou.exe
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1101.dll
C:\Dokumente und Einstellungen\Ronny PC\Desktop\downloads\hbtools.exe

4. Fixe mit Hijackthis:

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{8AF192C9-225A-4CA8-BE5A-76677B3BFDF0}: NameServer = 85.255.113.141,85.255.112.216
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD232A62-E688-4997-BFB2-280000D03E38}: NameServer = 85.255.113.141 85.255.112.216

hallo zusammen,

habe die letzten schritte sogut wie möglich befolgt.
das ist der momentane stand:

Wed Apr 12 21:06:38 2006 => System found infected with hotbar Spyware/Adware ({74cc49f7-eb32-4a08-b204-948962a6e3db})! Action taken: No Action Taken.
Wed Apr 12 21:06:38 2006 => System found infected with adware.toolbar.sbsoft.h Spyware/Adware ({08bec6aa-49fc-4379-3587-4b21e286c19e})! Action taken: No Action Taken.
Wed Apr 12 21:06:41 2006 => Offending Key found: HKCU\Software\funwebproducts !!!
Wed Apr 12 21:06:41 2006 => Object "funwebproducts Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Apr 12 21:06:42 2006 => Offending Folder found: C:\Dokumente und Einstellungen\Ronny PC\Anwendungsdaten\hbtools
Wed Apr 12 21:06:42 2006 => Object "hotbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

backlighht

04/12/06 23:08:36 [Info]: BlackLight Engine 1.0.35 initialized
04/12/06 23:08:36 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/12/06 23:08:36 [Note]: 7019 4
04/12/06 23:08:36 [Note]: 7005 0
04/12/06 23:08:39 [Note]: 7006 0
04/12/06 23:08:39 [Note]: 7011 1516
04/12/06 23:08:39 [Note]: 7026 0
04/12/06 23:08:39 [Note]: 7026 0
04/12/06 23:08:39 [Note]: FSRAW library version 1.7.1015
04/12/06 23:09:01 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
04/12/06 23:09:01 [Note]: 10002 1
04/12/06 23:09:02 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
04/12/06 23:09:02 [Note]: 10002 1
04/12/06 23:09:03 [Info]: Hidden file: C:\WINDOWS\system32\dmmsg.exe
04/12/06 23:09:03 [Note]: 7002 32
04/12/06 23:09:03 [Note]: 7003 1
04/12/06 23:09:03 [Note]: 10002 1
04/12/06 23:09:03 [Info]: Hidden file: C:\WINDOWS\system32\howiper.exe
04/12/06 23:09:03 [Note]: 7002 5
04/12/06 23:09:03 [Note]: 7003 1
04/12/06 23:09:03 [Note]: 10002 1
04/12/06 23:09:05 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
04/12/06 23:09:05 [Note]: 10002 1
04/12/06 23:09:05 [Info]: Hidden file: C:\WINDOWS\system32\csnri.exe
04/12/06 23:09:05 [Note]: 7002 32
04/12/06 23:09:05 [Note]: 7003 1
04/12/06 23:09:05 [Note]: 10002 1
04/12/06 23:09:06 [Info]: Hidden file: C:\WINDOWS\system32\sphlp32.exe
04/12/06 23:09:07 [Note]: 10002 1
04/12/06 23:09:27 [Note]: 7007 0

norton hat wieder den trojaner howiper gefunden!

beim letzten hochfahren ist er wieder stecken geblieben, und im start up war wieder eine verkehrt geschriebene system32 exe datei die kein ziel hat!?

hoffe auf weitere hilfe

lg ronny