Auch wenn mir bei meinem letzten Problem winfixer2005scannerinstallde-im-autostart noch nicht fertig geholfen wurde, kommt jetzt hier ein neues Laptop-Problem.
Hab den HijackThis drüberlaufen lassen und gleich noch den eScan incl. Find.bat und poste die Ergebnisse hier in der Hoffnung, dass mir doch jemand helfen kann...

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 08:46:00, on 05.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
G:\HijackThis\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www . aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader\Disk_Monitor.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PowerManagement] C:\Programme\Power Management\PwrGui.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [GazelDisplay] "\gsyno.exe" -h
O4 - HKLM\..\Run: [KEYPAD] StdKeyPad.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 11\Register\registration.exe /title="CorelDRAW Graphics Suite 11" /date=021607 serial=DR11WBL-2155594-HXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {E05EC57C-ECD9-431C-981D-15573E34076E} - http://www . medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www . aldi.com/
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

eScan:

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Mon Feb 05 09:06:47 2007 => Version 9.1.1
Mon Feb 05 09:07:00 2007 => Virus Database Date: 2/3/2007
Mon Feb 05 10:54:01 2007 => Virus Database Date: 2/3/2007
Mon Feb 05 11:02:32 2007 => Virus Database Date: 2/3/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Feb 05 09:08:47 2007 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.
Mon Feb 05 09:08:54 2007 => System found infected with spylax Trojan (C:\WINDOWS\unvise32.exe)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Feb 05 09:08:47 2007 => Offending file found: C:\WINDOWS\gpinstall.exe
Mon Feb 05 09:08:54 2007 => Offending file found: C:\WINDOWS\unvise32.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Mon Feb 05 09:08:48 2007 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Vielen Dank schonmal im Voraus für die Hilfe!
Gruß Elbspatz

Nochmal zur Klarstellung, es handelt sich um einen anderen Laptop, falls das hier nicht so rübergekommen sein sollte...

Soll ich das System neu aufsetzen? Oder kann ich die Eindringlinge irgendwie killen?

Gruß Elbspatz

Hallo.
Dass der eine oder andere Thread hier mal durchs Raster fällt, versteh ich ja, dass aber gleich meine beiden Hilfegesuche ungehört verhallen, finde ich schade.
Ich weiß, dass hier Experten am Werk sind, die diese Hilfeleistungen in ihrer Freizeit machen und das rechne ich ihnen auch hoch an. Leider komme ich mir hier trotzdem etwas alleingelassen vor.
Ich werde mich wohl anderweitig kümmern müssen, um die beiden Computerprobleme lösen zu können.

Danke schön.

Gruß Elbspatz

Zitat:

O4 - HKLM\..\Run: [GazelDisplay] "\gsyno.exe" -h
O4 - HKLM\..\Run: [KEYPAD] StdKeyPad.exe

Suche die beiden Dateien mal bitte und überprüfe sie
bei Virustotal (siehe sig).

Zitat:

C:\WINDOWS\gpinstall.exe
C:\WINDOWS\unvise32.exe

Da du bei escan die 2 gefunden hast,
gehe in der Anleitung weiter vor,
falls noch nicht getan.

mfg Cleriker

Herzlichen Dank, Cleriker!
Ich werde das überprüfen, sobald ich den Laptop wieder in der Hand habe, die Besitzerin brauchte den Rechenknecht mittlerweile wieder. Ich hatte gehofft, das Problem schneller erledigen zu können.
Ich melde mich wieder, sobald ich die Ergebnisse habe.

Viele Grüße
Elbspatz

Hallo Cleriker,
die Dateien
C:\WINDOWS\gpinstall.exe und
C:\WINDOWS\unvise32.exe
sind bei Virustotal als virenfrei angezeigt worden (hab versehentlich von meiner Bekannten diese beiden Dateien scannen lassen und nicht
O4 - HKLM\..\Run: [GazelDisplay] "\gsyno.exe" -h und
O4 - HKLM\..\Run: [KEYPAD] StdKeyPad.exe )
Soll ich die wirklich entfernen lassen? Die "unvise32.exe" z.B. hab ich auf meinem eigenen PC auch drauf... Nicht dass dann was nicht mehr funktioniert...

Die beiden letztgenannten Dateien sind aber normale Dateien für den Laptop.
"gsyno.exe" gehört zu einem ISDN-Modem "Typhoon" und StdKeyPad.exe zu einem USB-Nummernblock, der Zahleneingaben für Vielrechner erleichtern soll.
Kann die nur jetzt leider nicht scannen, da ich den Laptop momentan ums Verrecken nicht in Netz bekomme (Büro-ISDN-Anschluss spinnt)
Aber vielleicht hat sich das mit der Erklärung schon erledigt?

Viele Grüße
Elbspatz

Hi,

hört sich für mich als Nichtsogerner Frühaufsteher
verwirrend an.

Zitat:

hab versehentlich von meiner Bekannten diese beiden Dateien scannen lassen und nicht

Verstehe ich nicht ... kannst du nochmal erklären, wie du das meinst?

Zitat:

Soll ich die wirklich entfernen lassen?...
Nicht dass dann was nicht mehr funktioniert

Nach Googlen bin ich auch auf die selben Aussagen gekommen,
wie du. Aber escan sagt was anderes

Zitat:

Mon Feb 05 09:08:47 2007 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.
Mon Feb 05 09:08:54 2007 => System found infected with spylax Trojan (C:\WINDOWS\unvise32.exe)! Action taken: No Action Taken.

Na dann müssen wir uns Sicherheit verschaffen. Suche die
Dateien auf und lade sie ebenfalls bei Virustotal hoch. Poste
bitte danach das Ergebnis mit Dateigröße. Von Aussagen wie

Zitat:

sind bei Virustotal als virenfrei angezeigt worden

würde ich mich gerne selber überzeugen.
Zusätzlich lade dir den SpywareDoctor runter und scanne das System.
Der behauptet beim Googlen nämlich was anderes.

mfg Cleriker