Ich habe ein Problem mit meinem PC und dieses Problem heißt JAVA/FEMAD.1, JAVA/CLASSLDR.I.2, JAVA/FEMAD, TR/LOWZONES.DN,
JS/FEMAD.B, TR/Dldr.small.cdh, und FEMAD.B. Habe ich mir alle von gestern zu heute eingefangen. Habe schon verschiedene Scanner drüberlaufen lassen, Ergebnis s.o.
Ich bin kein Computerfreak und bitte deswegen jemanden, der sich damit auskennt um Hilfe, damit ich IHN (den PC) wieder flott bekomme. Zur Zeit kann ich nicht "speichern unter" ausführen. Im Browser läßt sich Google nicht mehr aufrufen und vor allen webseiten muß ich http://..... vorsetzen sonst rückt sich nichts.
Würde mich über ein schnelle Antwort freuen,

beste Grüße Joerg

hallo holidate,
ich versuchsmal mit schnellen Fragen
-welches Betriebssystem und Servicepacks ?
-welcher Virescanner und wo werden die Funde gemacht ?
-welcher Browser wird benutzt ?
Ohne diese Angaben müßte man die Glaskugel bemühen
MFG aus HH

Hallo!

Also vorerst mal ein hijackthis Log.

Dann sehn wir mal weiter!

hallo nochdigger,
ich versuchsmal mit schnellen Fragen
-welches Betriebssystem und Servicepacks ?

Windows XP pro / Servicepack2 / automatische Updates,

-welcher Virescanner und wo werden die Funde gemacht ?

AntiVir Personal Edition, automatische Updates,

-welcher Browser wird benutzt ?

IE Version 6.0, regelmäßige Updates

Ohne diese Angaben müßte man die Glaskugel bemühen
MFG aus HH

Hello The Saint,

ich hoffe das ist so richtig

Logfile of HijackThis v1.99.1
Scan saved at 20:30:12, on 18.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\MailCheck\MailCheck.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\WINDOWS\system32\verclsid.exe
C:\WINDOWS\system32\verclsid.exe
C:\WINDOWS\system32\verclsid.exe
C:\WINDOWS\system32\verclsid.exe
C:\WINDOWS\system32\verclsid.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\verclsid.exe
C:\WINDOWS\system32\verclsid.exe
C:\WINDOWS\system32\verclsid.exe
C:\WINDOWS\system32\verclsid.exe
C:\WINDOWS\system32\verclsid.exe
C:\WINDOWS\system32\verclsid.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\notepad.exe
C:\WINDOWS\system32\verclsid.exe
C:\WINDOWS\system32\verclsid.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\notepad.exe
C:\unzipped\hijackthis[1]\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.1und1.com/d1redirect?multilink=0&dialtime=4&tarifid=1343
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: MailCheck 2.lnk = C:\Programme\MailCheck\MailCheck.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {11111111-1111-1111-1111-111111111111} - file://C:\Info6.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2719a93360e3715bdf05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093246306341
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www6.pc-sicherheit.web.de/ols/fscax.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0987458-5A48-4673-AABF-2B62BDA00A03}: NameServer = 217.237.151.33 217.237.149.225
O20 - Winlogon Notify: f3dsl - lsd_f3.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

Hallo ich sende noch die Auswertung von AntiVir von heute mit!



Erstellungsdatum der Reportdatei: Dienstag, 18. April 2006 12:36


Job Name: 'Lokale Laufwerke'

Es wird nach 359238 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: ***
Computername: BUERO

Versionsinformationen:
AVSCAN.EXE : 7.0.0.30 536616 28.03.2006 19:10:38
AVSCAN.DLL : 7.0.0.30 53288 28.03.2006 19:10:38
LUKE.DLL : 7.0.0.30 114728 28.03.2006 19:10:38
LUKERES.DLL : 7.0.0.30 32768 28.03.2006 19:10:38
ANTIVIR0.VDF : 6.32.0.60 4323840 06.12.2005 09:47:34
ANTIVIR1.VDF : 6.34.0.105 1669120 28.03.2006 19:10:40
ANTIVIR2.VDF : 6.34.0.185 223744 14.04.2006 07:54:44
ANTIVIR3.VDF : 6.34.0.196 18432 18.04.2006 10:35:10
AVEWIN32.DLL : 7.0.0.7 1171968 05.04.2006 20:36:56
AVPREF.DLL : 6.34.0.0 38440 18.01.2006 11:05:54
AVREP.DLL : 6.34.0.170 2326568 11.04.2006 09:02:46
AVPACK32.DLL : 6.33.0.6 331816 09.01.2006 08:03:38
AVREG.DLL : 6.31.0.90 27688 28.07.2005 09:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 06:56:48
NETNW.DLL : 6.32.0.0 9768 27.09.2005 06:56:48


Beginn des Suchlaufs: Dienstag, 18. April 2006 12:36


Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:'
[HINWEIS] Es wurde kein Virus gefunden!

Es wird begonnen die Registry nach ausführbaren Programmen zu durchsuchen.

Die Registry wurde durchsucht ( 49 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SOFTWARE
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SYSTEM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\DEFAULT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Perflib_Perfdata_b44.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TNB7XLWA\e[1].anr
[FUND] Enthält Signatur des Exploits EXP/MS05-002.Ani.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4475c5f6.qua' verschoben!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W3RFE8H1\jar[1].jar
[0] Archivtyp: ZIP
--> Counter.class
[FUND] Enthält Signatur des Java-Virus JAVA/Femad.1
--> Gummy.class
[FUND] Enthält Signatur des Java-Virus JAVA/ClassLdr.I.2
--> VerifierBug.class
[FUND] Enthält Signatur des Java-Virus JAVA/Femad
--> web.exe
[FUND] Ist das Trojanische Pferd TR/LowZones.DN
--> Worker.class
[FUND] Enthält Signatur des Java-Scriptvirus JS/Femad.B
--> Xeyond.class
[FUND] Enthält Signatur des Java-Virus JAVA/Femad
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44b6c831.qua' verschoben!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KX6BSXE7\jar[1].jar
[0] Archivtyp: ZIP
--> Counter.class
[FUND] Enthält Signatur des Java-Virus JAVA/Femad.1
--> Gummy.class
[FUND] Enthält Signatur des Java-Virus JAVA/ClassLdr.I.2
--> VerifierBug.class
[FUND] Enthält Signatur des Java-Virus JAVA/Femad
--> web.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.cdh
--> Worker.class
[FUND] Enthält Signatur des Java-Scriptvirus JS/Femad.B
--> Xeyond.class
[FUND] Enthält Signatur des Java-Virus JAVA/Femad
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44b6c846.qua' verschoben!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Der zu durchsuchende Pfad E:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Dienstag, 18. April 2006 13:29
Benötigte Zeit: 52:28 min

Der Suchlauf wurde vollständig durchgeführt.

4593 Verzeichnisse wurden überprüft
226840 Dateien wurden geprüft
13 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2211 Archive wurden durchsucht
49 Warnungen
0 Hinweise

Zum Surfen würde ich dir Firefox empfehlen.

Zu deinem Problem das liegt an der C:\WINDOWS\system32\verclsid.exe, das ist ein vollkommen sinnloser Sicherheitspatsch von Mikrosoft den man wieder deinstallieren sollte.

Dieser Sicherheitspatch KB908531 kann dazu führen das man im IE (http://) eingeben muß und führt zu abstürzen der explorer.exe.

Zitat:

Es hat gemeldete Probleme gegeben, dass Software, die zuvor von Hewlett Packard (HP) verteilt wurde, gemeldete Probleme bewirken, das Programm Verclsid.exe nicht mehr zu reagieren. Die bestimmte Komponente, die Probleme verursacht, ist der Share-to-Web-Namespace-Dämon (Hpgs2wnd.exe). Diese Software wird nicht länger von HP verteilt aber gehörte zuvor zu den folgenden Elementen:

hier dazu ein Lösung.

Weiters lösche den Inhalt von
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet oder lade dir Cleaprog herunter und lösche damit tempörären Internet Dateien.

Zur Sicherheit kannst du noch einen eScan durchführen und das Ergebniss Laut Anleitung hier posten.