Kann mir jemand helfen ??

schiba · 19.08.2006, 08:59

Logfile of HijackThis v1.99.1
Scan saved at 18:43:23, on 18.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Autodesk Network License Manager\lmgrd.exe
C:\Programme\Symantec\pcAnywhere\awhost32.exe
C:\Programme\Autodesk Network License Manager\adskflex.exe
C:\Programme\Aon\aonVirenchecker\GuardNT\GuardNT.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\DynDNS-Updater\ddusrv.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\system32\wfxsnt40.exe
C:\Programme\TelefonCD\OtbStart.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\CNOServerLauncher.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\CameraFixer.exe
C:\WINDOWS\tsnpstd3.exe
C:\WINDOWS\vsnpstd3.exe
C:\WINDOWS\system32\IKAutoUp.exe
C:\Programme\DynDNS-Updater\ddutray.exe
C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
C:\Programme\Nikon\NkView5\NkvMon.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\TypeItIn\TypeItIn.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.aon.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = w**.aon.at
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*h**p://w*w.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.**:8080;h**p=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Dokumente und Einstellungen\***\Eigene Dateien\LimeWire\***\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Dokumente und Einstellungen\***\Eigene Dateien\LimeWire\***\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [OtbStart] C:\Programme\TelefonCD\OtbStart.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [CnOServerLauncher] CNOServerLauncher.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [CameraFixer] C:\WINDOWS\CameraFixer.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [Ikarus-AutoUpdate] C:\WINDOWS\system32\IKAutoUp.exe /LOG
O4 - HKLM\..\Run: [Guard NT] C:\Programme\Aon\aonVirenchecker\GuardNT\GuardNT.exe /STARTDLG /CPYTOKEN
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spfprc.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: TypeItIn.lnk = C:\Programme\TypeItIn\TypeItIn.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: DynDNS-Updater Traytool.lnk = C:\Programme\DynDNS-Updater\ddutray.exe
O4 - Global Startup: FotoStation Easy AutoLaunch.lnk = ?
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O4 - Global Startup: Picture Package Menu.lnk = C:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
O4 - Global Startup: Picture Package VCD Maker.lnk = C:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Dokumente und Einstellungen\***\Eigene Dateien\LimeWire\***\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZCxdm490YYAT
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Dokumente und Einstellungen\***\Eigene Dateien\*** Bilder\Poker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Dokumente und Einstellungen\***\Eigene Dateien\*** Bilder\Poker\PartyPoker\RunApp.exe (file missing)
O16 - DPF: RaptisoftGameLoader - http://w*w.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - h**p://w*w.cult3d.com/download/cult.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105377610687
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - h**p://l00kl23.com/default.cab?uid=54&id=39400&1s&ex&ppd=4&tag=68
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://w*w.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - http://w*w.nutzwerk.de/control/NutzNavi.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - h**p://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - h**p://install.download-url.de/StarInstall.ocx
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - h**p://install.power-url.de/InstallationsAssistent.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D82B3A7-5444-43F0-B355-A56D23C93A40}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{A610A83B-FC2C-49AF-976D-86803ED23E2B}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E604BF7B-C01C-4F1D-9164-798058DB4303}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{1D82B3A7-5444-43F0-B355-A56D23C93A40}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{1D82B3A7-5444-43F0-B355-A56D23C93A40}: NameServer = 192.168.120.252,192.168.120.253
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winzzc32 - winzzc32.dll (file missing)
O23 - Service: Autodesk - Macrovision Corporation - C:\Programme\Autodesk Network License Manager\lmgrd.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: DynDNS-Updater (DDUService) - Nord-Vision Business Systeme GmbH - C:\Programme\DynDNS-Updater\ddusrv.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Guard NT - Ikarus Software Wien - C:\Programme\Aon\aonVirenchecker\GuardNT\GuardNT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Bitte um hilfe !! Was muss ich fixen ?? Welche dateien sind verseucht ??
Immer wieder kommt der Virus W32.Alcra.B ! Norton löscht die datei immer wieder, aber der Virus kommt immer wieder !! Was kann ich dagegen tun ??

Mfg Schiba

Rene-gad · 19.08.2006, 10:26

@schiba

Zitat:

Was muss ich fixen ??

Am Besten-alles, System neu aufsetzen (Anleitung s. Link in meiner Signatur).
System absichern: http://faq.underflow.de/#SECTION000110000000000000000

The Saint · 19.08.2006, 10:28

Hallo!

1.)
Erstens entscheide dich welches Antivirus Programm du weiterhin benutzen möchtest.
Mehrere Programme verlangsamen dein System und schützen auch nicht besser.

2.)
Benutze keine P2P Programme wie Emule Kazaa usw. davon kommt dieser Virus.

3.)
a)Systemwiederherstellung abschalten

b) Lade dir clearprog 1.4.1 final herunter das Programm starten häckchen bei "alles löschen" setzen und auf löschen klicken.

c) Öffne den Regedit mit Start/Ausführen --> regedit eingeben und OK klicken.
Danach suche nach
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run und suche nun im rechten Fenster nach dem Schlüssel winupdates und lösche diesen mit rechtsklick.

d) Lösche die Ordner falls vorhanden:

C:\ProgramFiles\winupdates\winupdates.exe
C:\ProgramFiles\winupdates\a.tmp
C:\ProgramFiles\winupdates\a.zip
oder

C:\Programme\winupdates\winupdates.exe
C:\Programme\winupdates\a.tmp
C:\Programme\winupdates\a.zip

weiters suche nach (falls vorhanden) der a.zip im Downloadordner von deinem P2P Programm.

Danach Rechner neu starten und die Systemwiederherstellung wieder aktivieren.

The Saint · 19.08.2006, 10:30

Zitat:

Zitat von Rene-gad

@schiba

Am Besten-alles, System neu aufsetzen (Anleitung s. Link in meiner Signatur).
System absichern: http://faq.underflow.de/#SECTION000110000000000000000

Warum neu aufsetzen?

Rene-gad · 19.08.2006, 10:55

Zitat:

Zitat von The Saint

Warum neu aufsetzen?

Was haben deine Ratschläge mit dem OP gemeinsam?
1. Diese Einträge:

Zitat:

O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbar...p=ZCxdm490YYAT
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - h**p://install.power-url.de/InstallationsAssistent.ocx

kann ich keinerlei als gut bezeichnen. Wenn man nicht weiß, was dahinter steckt, ist Tabula Rasa die beste Lösung.

2. Wenn man einen gewerblichen PC/Laptop auch für Online-Poker und Weiß-Herr-Gott-Was noch verwendet, stellt er große Gefahr nicht nur für sich selbst, sondern auch für seinen Arbeitgeber dar.

The Saint · 19.08.2006, 11:06

O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
das gehört zu einer Kamera.
Aber zur Sicherheit könnte es man ja noch bei Jotti prüfen lassen.

O8 - Extra context menu item: &Search - h**p://edits.mywebsearch.com/toolbar...p=ZCxdm490YYAT
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - h**p://install.power-url.de/InstallationsAssistent.ocx

und das kann man fixen!

Rene-gad · 19.08.2006, 16:40

Zitat:

Zitat von The Saint

das gehört zu einer Kamera.

Vllt. hast du recht, aber mir kommt es spanisch vor: Digikam legt die Eier im Systemverzeichnis!?

**Sunny** · 19.08.2006, 16:56

Zitat:

Zitat von Rene-gad

Vllt. hast du recht, aber mir kommt es spanisch vor: Digikam legt die Eier im Systemverzeichnis!?

Hallo Rene-gad,

Viren und andere schädliche Dateien können sich als tsnpstd3.exe tarnen. Insbesondere, wenn sich die Datei in C:\Windows oder C:\Windows\System32 Ordner befindet.

Um dem auf den Grund zu gehen würde ich die Dateien..

Zitat:

C:\WINDOWS\tsnpstd3.exe
C:\WINDOWS\vsnpstd3.exe

..einfach mal hier prüfen lassen -> Virustotal

Gruß
Sunny

dartus · 20.08.2006, 01:42

Hallo,

tendiere hier auch zur Neuinstallation, da das System schon ewig nicht mehr upgedatetet wurde.

dartus

schiba · 21.08.2006, 14:39

wie kann ich ein Thema von mir löschen ?????

**Sunny** · 21.08.2006, 15:24

Zitat:

Zitat von schiba

wie kann ich ein Thema von mir löschen ?????

Garnicht, das übernimmt (sofern von Nöten!) unsere Moderatoren & Admins.
Da es aber keinen Grund gibt deinen Beitrag zu löschen, bleibt er weiterhin für alle anderen User geöffnet. (könnte ja mal irgendwann hilfreich sein.)

Gruß

Kann mir jemand helfen ??

Log-Analyse und Auswertung: Kann mir jemand helfen ??