Hallo zusammen,

ich habe folgendes Problem.Es fing alles an das ich keine .avi Dateien mehr löschen kann,dann startet mir der Rechner neu.Ich habe mit Hilfe von NOD 32 ein Virenscan gemacht,nix.Dann mit Antivir und der fand 2mal eine Shoutdown.exe die ich gelöscht habe(löschen lassen).So jetzt wollte ich gerade mit dem Rechner online gehen aber er verbindet sich nicht.Ich sitze hinter einem WLan Router und zwar der SMC-WBR14T-G.Der router verbindet sich(gott sei dank) so das ich mit dem Lappi online gehen kann.Da ich jetzt nicht mehr weiter weiß dachte ich mir ich frage mal hier nach da ich schon viel gelesen habe das ihr helfen konntet.Mein System ist ein Ahtlon XP 2600 mit 1gig Ram von Infineon und eine Graka von Connect 3D(Radeon 850pro).Ein Logfile setze ich bei,hoffentlich könnt ihr mir helfen???

malibu

Logfile of HijackThis v1.99.1
Scan saved at 18:13:40, on 26.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Eset\nod32krn.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ESET\nod32kui.exe
C:\Programme\ICQ\Icq.exe
C:\Dokumente und Einstellungen\Papa\Eigene Dateien\HijackThis.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

@malibu,

Dein Logfile ist nicht vollständig, oder hast du dein System gerade erst neu aufgesetzt?
Wenn nicht erstell ein neues, nicht im abgesicherten Modus, das wäre sinnfrei..

Gruß
Daniel

Zitat:

Zitat von malibu

Dann mit Antivir und der fand 2mal eine Shoutdown.exe die ich gelöscht habe(löschen lassen).

Richtig geschrieben?
Wo wurde die Datei gefunden und als welcher Virus wurde sie identifiziert?

Dein Log ist sehr kurz, ist es im normalen Modus erstellt worden? Wenn nein: nachholen und posten.

Im Log konnte ich nix Böses erkennen.

edit: Man, war ich langsam....

Gruß
Yopie

Zitat:

Zitat von Yopie

Im Log konnte ich nix Böses erkennen.

OT:

Ich schon: Internet Explorer

Hallo Yopie..

Zitat:

Zitat von [Gc]Sunny

Ich schon: Internet Explorer

Na wenn schon, dann doch eher: TuneUp Utilities 2006

Solche Programme (ach ne, Progz!) eignen sich imho prima dazu, sein System kaputtzuoptimieren.

Gruß
Yopie

@sunny,ich habe mein System weder neu aufgesetzt noch im abgesicherten modus das Logfile erstellt.Ich habe jetzt den Rechner neu gestartet und ein neues Logfile erstellt.Bidde schön

Logfile of HijackThis v1.99.1
Scan saved at 18:43:06, on 26.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Eset\nod32krn.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Papa\Eigene Dateien\HijackThis.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

@yopie,wenn ich das jetzt noch wüßte,es war einmal auf C:/ und einmal glaube ich auf G:/ wo die .avi liegen.Erkannt wurde es als neue Unbekannte Gefahr!

Keine Ahnung.

malibu

Imho ist dein Log zu kurz. Selbst im frisch installierten Zustand dürfte das Log länger sein.

Vermutungen:
- kaputtoptimiert oder
- Backdoor

Vorschlag1: eScan, Funde mit find.bat posten (Anleitung in Signatur lesen, verstehen, befolgen!)

Es ist übrigens immer schlecht, Empfehlungen von AV-Programmen blind zu vertrauen.

Gruß
Yopie

Hallo alle miteinander,

ich les natürlich immer fleißig mit hier im Forum und bei diesem thread hier hab ich ja mal so eine Zwischenfrage ;D

Zitat:

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Zitat:

Na wenn schon, dann doch eher: TuneUp Utilities 2006

Solche Programme (ach ne, Progz!) eignen sich imho prima dazu, sein System kaputtzuoptimieren.

Wie meinst du das genau? Inwiefern kann denn dieses Programm mein bzw. sein System kaputtoptimieren ^^? Mir ist nämlich aufgefallen, dass ich genau dasselbe Programm auf meinem Rechner hab, wenn auch nur das Tune Up Utilities 2004
(glaube ich hab es mir mal geladen um unnütze .tmp Dateien usw zu killen und ein wenig aufzuräumen)

Also das ist jetzt nur ne ganz kurze Zwischenfrage
Lasst euch nicht weiter stören

grüße
jan

Zitat:

Zitat von contestedgenius

Wie meinst du das genau? Inwiefern kann denn dieses Programm mein bzw. sein System kaputtoptimieren ^^?

Die Erfahrung zeigt, dass die meisten Nutzer solcher Optimierungsprogramme nicht wissen, was sie tun, und dass diese Programme selbst auch nicht idiotensicher sind. Und dann passiert es eben, dass an systemkritsichen Einstellung herumgepfuscht wird.

Was genau passiert ist und ob es wirklich an TU lag weiß ich nicht. Meine eigene Erfahrung mit solchen "Toolz" ist übrigens Null.

Gruß
Yopie

Achso verstehe =)

Wenn ich es demnächst nochmal nutzen werde, dann schau ich mal, dass ich aufpasse was wie und wo ich etwas lösche oder änder =)

Wie gesagt. War nur ne kurze Zwischenfrage!
Viel Glück noch bei diesem Fall

grüße
jan

Hallo zusammen,ich habe es gestern leider nicht mehr geschafft.So ich habe nun mit Hilfe von escan eine Überprüfung von Platte C:/ gemacht im Abgesicherten Modus.Das was ich nun einfüge ist hoffentlich das richtige und kann mir und auch euch weiter helfen.Danke im vorraus.

[General]
EngineType=1

[Welchia]
Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCPatch,"","",""
Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCTFTPD,"","",""
DeleteFile1=%winsysdir%\wins\svchost.exe
DeleteFile2=%winsysdir%\wins\Dllhost.exe

[LovGate]
Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ll_reg,"","",""
Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetMeeting\RemoteDesktop(RPC),"","",""
Reg3=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft\NetWork File Wall Services,"","",""
Reg4=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows\Management Instrumentation Driver Extension,"","",""
DeleteFile1=%winsysdir%\NetServices.exe
DeleteFile2=%winsysdir%\RAVMOND.EXE
DeleteFile3=%winsysdir%\RAVMOND.EXE
DeleteFile4=%winsysdir%\WinGate.exe
DeleteFile5=%winsysdir%\WinDriver.exe
DeleteFile6=%winsysdir%\WinHelp.exe
DeleteFile7=%winsysdir%\winrpc.exe
DeleteFile8=%winsysdir%\ily.dll
DeleteFile9=%winsysdir%\task.dll
DeleteFile10=%winsysdir%\reg.dll
DeleteFile11=%winsysdir%\1.dll
DeleteFile12=%winsysdir%\win32vxd.dll
DeleteFile13=%winsysdir%\kernel66.dll
DeleteFile14=%winsysdir%\kernel66.dll
DeleteFile15=%winsysdir%\iky668.dll
DeleteFile16=%winsysdir%\reg678.dll
DeleteFile17=%winsysdir%\task688.dll
DeleteFile18=%winsysdir%\111.dll

[CodeRed]
DeleteFile1=%inetpub%\scripts\root.exe
DeleteFile2=%PF%\common~1\system\MSADC\root.exe
;DeleteFile3=%SYSTEMDIR%explorer.exe
;DeleteFile3 commented because in XP (64-bit OS), explorer.exe is kept in system32 folder!!!
Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\C
Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\D

[OpaServ]
DeleteFile1=%SYSTEMDIR%\Tmp.ini
; this is Opaserv.M
DeleteFile2=%SYSTEMDIR%\MSLICENF.COM
DeleteFile3=%SYSTEMDIR%\BOOT.EXE
BAT1=Autoexec.bat,MSLICENF
BAT2=Autoexec.bat,BOOT.EXE

[Sobig.e]
DeleteFile1=%winsysdir%\cgtask.exe
DeleteFile2=%winsysdir%\mmtask.exe

[Winupie]
DeleteFile1=%winsysdir%\AxConfig.dll,regsvr32 /s /u AxConfig.dll

[Swen]
DeleteFile1=%winsysdir%\SWEN*.DAT

[JS.Fortnight]
DeleteFile1=%PF%\sign.htm
DeleteFile2=%PF%\sign.html

[Novarg]
DeleteFile1=%winsysdir%\shimgapi.dll

[Pagabot]
Reg1=HKEY_LOCAL_MACHINE\Software\Microsoft\windows\currentversion\run,Cryptographic Service,"",""

[Parite.b]
Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,PINF,"",""

[Parite.a]
Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,ZANF,"",""

[Adware.SeekSeek]
Reg1=HKEY_CURRENT_USER\Console,UUID,"",""
Reg2=HKEY_CURRENT_USER\Console,lp,"",""


Ich denke mal das ist heftig verseucht!!!

Zitat:

Zitat von malibu

.Das was ich nun einfüge ist hoffentlich das richtige und kann mir und auch euch weiter helfen.Danke im vorraus.

Ist leider nicht das richtige, lies dir nochmal die Anleitung durch, beachte vor allem den part mit der "find.bat"

Zitat:

Ich denke mal das ist heftig verseucht!!!

Das denke ich allerdings auch

Gruß
Daniel

Jetzt Scannt er noch mal alles durch???

Ich dachte ich hätte es jetzt überstanden,aber nun ja.

Kann mir denn jemand schon mal sagen ob das noch zu retten ist oder nicht,wäre sehr nett.

Zitat:

Zitat von malibu

Kann mir denn jemand schon mal sagen ob das noch zu retten ist oder nicht,wäre sehr nett.

Mach erstmal den Scan zu Ende, und poste dann wie beschrieben:

Zitat:

5] Rechtsklick auf die Find.zip -> Ziel speichern unter… z.B. 'C:\Find.zip' -> 'Find.zip' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.
An dieser Stelle, vielen Dank an Haui45, dem Autor der Find.bat.

[6] Strg + A (alles markieren) -> Strg + C (kopieren) -> Strg + V (Thread einfügen).

Gruß