Hallo,
sieht jetzt alles sauber aus. Nächste Maßnahme wäre das SP2 und alle weiteren Updates einzuspielen, das ist für ein sicheres System unerläßlich.

Und zukünftig keine unseriöse Software mehr installieren, keine zweifelhaften Videocodecs, keine Software von Crackseiten oder von Filesharing.
Weitere Absicherungsmaßnahmen kannst du hier nachlesen.


Grüße Wildone

Hi

alles klar, werds mir merken. danke nochmal für deine hilfe.

grüße neightmaehr

Virus Alert Problem, dateien gelöscht mit killbox, aber ist immer noch nicht weg...

Log1:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 008C-49CF

Verzeichnis von C:\WINDOWS\system32

15.05.2006 23:59 7.006 jupdate-1.5.0_06-b05.log
15.05.2006 19:26 35.986 vsconfig.xml
15.05.2006 19:20 1.080 settings.sfm
15.05.2006 19:20 384 DVCState-{00000000-00000000-0000000B-00001102-00000004-20021102}.dat
15.05.2006 19:20 384 DVCStateBkp-{00000000-00000000-0000000B-00001102-00000004-20021102}.dat
15.05.2006 19:20 1.080 settingsbkup.sfm
15.05.2006 19:20 32.088 BMXBkpCtrlState-{00000000-00000000-0000000B-00001102-00000004-20021102}.rfx
15.05.2006 19:20 32.088 BMXCtrlState-{00000000-00000000-0000000B-00001102-00000004-20021102}.rfx
15.05.2006 19:20 32.592 BMXState-{00000000-00000000-0000000B-00001102-00000004-20021102}.rfx
15.05.2006 19:20 32.592 BMXStateBkp-{00000000-00000000-0000000B-00001102-00000004-20021102}.rfx
15.05.2006 19:02 0 stdole3.tlb
15.05.2006 18:18 27.149 ldBB59.tmp
15.05.2006 18:13 248.696 FNTCACHE.DAT
15.05.2006 18:11 4.212 zllictbl.dat
15.05.2006 17:56 176.128 appmagr.dll
15.05.2006 17:55 2 wapisvsu.exe
14.05.2006 23:35 12.162 wincnu32.dll
14.05.2006 22:55 34.308 BASSMOD.dll
14.05.2006 22:16 7.680 Thumbs.db
14.05.2006 22:07 34.064 lhacm.acm
14.05.2006 21:54 0 h323log.txt
14.05.2006 21:34 664 d3d9caps.dat
14.05.2006 21:13 184 e000001.dat
14.05.2006 21:02 311.604 perfh009.dat
14.05.2006 21:02 39.992 perfc009.dat
14.05.2006 21:02 48.156 perfc007.dat
14.05.2006 21:02 316.594 perfh007.dat
14.05.2006 21:02 723.744 PerfStringBackup.INI
14.05.2006 21:01 2.206 wpa.dbl
14.05.2006 21:00 386 $winnt$.inf
14.05.2006 20:58 2.951 CONFIG.NT
14.05.2006 20:58 16.832 amcompat.tlb
14.05.2006 20:58 23.392 nscompat.tlb
14.05.2006 20:57 488 logonui.exe.manifest
14.05.2006 20:57 488 WindowsLogon.manifest
14.05.2006 20:57 749 cdplayer.exe.manifest
14.05.2006 20:57 749 wuaucpl.cpl.manifest
14.05.2006 20:57 749 sapi.cpl.manifest
14.05.2006 20:57 749 nwc.cpl.manifest
14.05.2006 20:57 749 ncpa.cpl.manifest
14.05.2006 20:56 21.740 emptyregdb.dat

Log 2:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 008C-49CF

Verzeichnis von C:\DOKUME~1\Mauli\LOKALE~1\Temp

16.05.2006 12:30 609 AZU40978.tmp
16.05.2006 00:06 609 AZU60014.tmp
16.05.2006 00:05 6.871.297 Azureus2.4.0.2.jar
16.05.2006 00:00 4.862 AZU43938.tmp
16.05.2006 00:00 34.393 azupdater_1.8.3.zip
16.05.2006 00:00 609 AZU43936.tmp
15.05.2006 23:59 376 java_install_reg.log
15.05.2006 23:58 23.544 java_install.log
15.05.2006 23:58 57.856 f9a4c6.mst
15.05.2006 23:16 23.262 TFR126.tmp
15.05.2006 23:16 21.122 TFR122.tmp
15.05.2006 23:16 23.427 TFR11E.tmp
15.05.2006 23:16 62.753 TFR11A.tmp
15.05.2006 23:16 10.225 TFR117.tmp
15.05.2006 23:16 35.574 TFR115.tmp
15.05.2006 23:16 37.885 TFR110.tmp
15.05.2006 23:16 67.994 TFR111.tmp
15.05.2006 18:46 16.384 ~DFF7BC.tmp
15.05.2006 12:18 0 ~10D.tmp
14.05.2006 23:36 421.821 win8.tmp
14.05.2006 23:35 935 win7.tmp
14.05.2006 23:35 12.162 cli6.tmp
14.05.2006 23:00 3.024 Microsoft Office 2003 Setup(0001).txt
14.05.2006 23:00 382.432 Microsoft Office 2003 Setup(0001)_Task(0001).txt
14.05.2006 22:56 49.184 offcln11.log
14.05.2006 21:13 89 VerChk.txt
14.05.2006 21:05 41.696 nicupd.log
14.05.2006 21:05 448 nicrem2k.log
14.05.2006 21:05 28 tdinst2k.log
14.05.2006 21:05 66.471 UpdDrv2K.log

Log3:
16.05.2006 00:44 10 popcinfo.dat
16.05.2006 00:07 299.737 setupapi.log
15.05.2006 19:29 50 wiaservc.log
15.05.2006 19:29 159 wiadebug.log
15.05.2006 19:26 4.933.320 {00000000-00000000-0000000B-00001102-00000004-20021102}.CDF
15.05.2006 19:26 0 0.log
15.05.2006 19:26 78.204 WindowsUpdate.log
15.05.2006 19:26 2.048 bootstat.dat
15.05.2006 19:21 133.530 ntbtlog.txt
15.05.2006 19:20 1.964 SchedLgU.Txt
15.05.2006 18:45 4.916 WGA.log
15.05.2006 18:45 1.374 imsins.log
15.05.2006 18:45 20.058 comsetup.log
15.05.2006 18:45 15.829 tsoc.log
15.05.2006 18:45 1.874 tabletoc.log
15.05.2006 18:45 7.336 KB898461.log
15.05.2006 18:45 10.458 ntdtcsetup.log
15.05.2006 18:45 62.109 iis6.log
15.05.2006 18:45 1.569 ocmsn.log
15.05.2006 18:45 2.337 MedCtrOC.log
15.05.2006 18:45 4.956 netfxocm.log
15.05.2006 18:45 1.489 msgsocm.log
15.05.2006 18:45 20.564 ocgen.log
15.05.2006 18:45 23.902 FaxSetup.log
15.05.2006 18:45 14.010 msmqinst.log
15.05.2006 18:45 1.374 imsins.BAK
15.05.2006 18:45 6.609 KB893803v2.log
15.05.2006 16:43 194.764 setupact.log
15.05.2006 14:42 366 SUPERLEX.INI
15.05.2006 14:42 649 win.ini
15.05.2006 12:21 1.229 wmsetup.log
14.05.2006 23:11 976 eReg.dat
14.05.2006 22:58 400 ODBC.INI
14.05.2006 21:53 0 Sti_Trace.log
14.05.2006 21:51 0 nsreg.dat
14.05.2006 21:51 107.134 UninstallFirefox.exe
14.05.2006 21:51 1.348 regopt.log
14.05.2006 21:51 231 system.ini
14.05.2006 21:51 2.266 mozver.dat
14.05.2006 21:50 0 setuperr.log
14.05.2006 21:20 86 ke.log
14.05.2006 21:18 98 Ô
14.05.2006 21:15 90 setup.log
14.05.2006 21:14 0 SBWIN.INI
14.05.2006 21:02 829 OEWABLog.txt
14.05.2006 21:01 828.356 setuplog.txt
14.05.2006 21:01 8.192 REGLOCS.OLD
14.05.2006 20:58 0 control.ini
14.05.2006 20:58 316.640 WMSysPr9.prx
14.05.2006 20:58 4.161 ODBCINST.INI
14.05.2006 20:57 749 WindowsShell.Manifest
14.05.2006 20:56 1.023 sessmgr.setup.log
14.05.2006 20:56 36 vb.ini
14.05.2006 20:56 37 vbaddin.ini
14.05.2006 20:56 133 DtcInstall.log
14.05.2006 20:54 200 cmsetacl.log

Ach ja und der Hijack this log:

Logfile of HijackThis v1.99.1
Scan saved at 15:26:18, on 16.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ABIT\ABIT uGuru\uGuru.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Steam\Steam.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gamers.IRC\mirc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Logitech\SetPoint\MediaPlayerMgr.exe
C:\Programme\Azureus\Azureus.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programme\HLSW\hlsw.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\DOKUME~1\Mauli\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R3 - URLSearchHook: (no name) - {932D15B1-8255-EF91-0105-FB3A862179C1} - C:\WINDOWS\system32\puth.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ABIT uGuru] C:\Programme\ABIT\ABIT uGuru\uGuru.exe
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] E:\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1147710760017
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: wincnu32 - C:\WINDOWS\SYSTEM32\wincnu32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Was ich allerdings nicht ganz verstehe ist warum zeigt datfind noch daten von telweise '95 an, ich habe am wochenende einen low format gemacht...

Hallo,
lösche folgende Dateien(alle im system32 Ordner) mit killbox on reboot:

stdole3.tlb
ldBB59.tmp
appmagr.dll
wapisvsu.exe
wincnu32.dll

außerdem fixt(Haken davor und auf "fix checked") du folgende einträge mit HijackThis:
R3 - URLSearchHook: (no name) - {932D15B1-8255-EF91-0105-FB3A862179C1} - C:\WINDOWS\system32\puth.dll (file missing)
O20 - Winlogon Notify: wincnu32 - C:\WINDOWS\SYSTEM32\wincnu32.dll



Grüße Wildone

Zitat:

Zitat von Wildone

Hallo,
lösche folgende Dateien(alle im system32 Ordner) mit killbox on reboot:

stdole3.tlb
ldBB59.tmp
appmagr.dll
wapisvsu.exe
wincnu32.dll

außerdem fixt(Haken davor und auf "fix checked") du folgende einträge mit HijackThis:
R3 - URLSearchHook: (no name) - {932D15B1-8255-EF91-0105-FB3A862179C1} - C:\WINDOWS\system32\puth.dll (file missing)
O20 - Winlogon Notify: wincnu32 - C:\WINDOWS\SYSTEM32\wincnu32.dll



Grüße Wildone

das habe ich versucht, allerdings funktioniert das nicht. ich habe versucht die files zu killen, aber die lassen sich nicht löschen... ich benutzt schon dieses killbox...

Hallo,
benutzt du es auch mit der Option "delete file on reboot"?
Wenn es Fehlermeldungen gibt, diese bitte wort wörtlich posten.


Grüße Wildone

Zitat:

Zitat von Wildone

Hallo,
benutzt du es auch mit der Option "delete file on reboot"?
Wenn es Fehlermeldungen gibt, diese bitte wort wörtlich posten.


Grüße Wildone

ja tue ich.. die fehlermeldungs ist wie folgt "PendingFileRenameOperations Registry Data has been Removed by External Process"

Ich hab TeaTimer am laufen.. aber der sperrt die registry ja nur und verändert diese nicht

Hallo,
versuche es mal mit ausgeschaltetem Teatimer.
Wenn das nicht funktioniert, gehst du in den abgesicherten Modus (F8 beim booten) und löschst dort die Dateien ganz normal.


Grüße Wildone

fixed, aber nur nachdem ich mich als admin eingeloggt habe im abegischerten modus.. jetzt ist es aber weg, danke schön