Hallo habe mir irgentwie auf meinem Geschäfts PC den VirusProtectPro eingefangen !!

Leider in der Mittagspause beim Rumsurfen!

Mein Chef dreht total ab jetzt !

Könnt ihr mir bitte Helfen wie ioch das Geblinke in der Taskleiste weg bekomme!
Schutzschild ( Blauweiß mit ? ) und (Rot mit weißem X)

Wollte doch morgen Urlaub haben mien Chef dreht jetzt aber völlig am Rad !!

Habe gesehne damit das schonmal vorgekommen ist hier habe aber mit der anleitun von :
http://www.trojaner-board.de/41124-v...askleiste.html

Keinen Erfolg bitte SCHNELL !!

Kenne mich leider mit So logfiles nicht so aus !!
Eigentlich kenn ich m ich fast gar nich am PC aus !

Danke schon mal !!!

Zitat:

Zitat von yoschi2606

Hallo habe mir irgentwie auf meinem Geschäfts PC den VirusProtectPro eingefangen !!

Sry, aber für die betrieblich genutzten PCs ist jede Hilfe im Forum untersagt. Bitte wende dich an den zuständigen Netzwerkadministrator oder Fachfirma vor Ort.

Zitat:

Zitat von Rene-gad

Sry, aber für die betrieblich genutzten PCs ist jede Hilfe im Forum untersagt. Bitte wende dich an den zuständigen Netzwerkadministrator oder Fachfirma vor Ort.

Hallo Rene, wir sind ein minikleiner Betrieb 2 Mann

Es gibt keinen Admin hier.
Auserdem nutze ich den PC Privat !
Das heißt du hilfst hier keiner Firma oder sonst einem Großen Betrieb!
Dachte hier wird Privatleuten geholfen !!
So einer bin ich doch !!!

@yoschi2606
Hijackthis-Log bitte erstellen: http://www.trojaner-board.de/17493-a...ijackthis.html

Ich hoffe das stimmt so :


Logfile of HijackThis v1.99.1
Scan saved at 14:38:45, on 06.08.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir fuer KEN!\sched.exe
C:\Programme\AntiVir fuer KEN!\avguard.exe
C:\WINNT\system32\crypserv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\KEN!\KENCLI.EXE
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\****************\****************.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\KEN!\kentbcli.exe
C:\Programme\AntiVir fuer KEN!\avgnt.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.115.7:3128/ken.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.115.7:3128;https=192.168.115.7:3128;ftp=192.168.115.7:3128;socks=192.168.115.7:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\MSN Messenger\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\MSN Messenger\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Programme\Video ActiveX Access\iesplg.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\MSN Messenger\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir fuer KEN!\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [****************] C:\Programme\****************\****************.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://192.168.115.7:3128/ken.html
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186147933010
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1186147916128
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EA8326C-FCA5-4769-99B2-7568E0BA9FE9}: NameServer = 198.168.115.7
O17 - HKLM\System\CS1\Services\Tcpip\..\{1EA8326C-FCA5-4769-99B2-7568E0BA9FE9}: NameServer = 198.168.115.7
O17 - HKLM\System\CS2\Services\Tcpip\..\{1EA8326C-FCA5-4769-99B2-7568E0BA9FE9}: NameServer = 198.168.115.7
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\****************\SASWINLO.dll
O23 - Service: AntiVir für KEN! Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\sched.exe
O23 - Service: AntiVir für KEN! Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\avguard.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINNT\SYSTEM32\crypserv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

Auserdem Spinnt mein Spybot :

Habe alle paar SEC das hier auf dem Bildschirm ....

Kann es leider nicht hier einfügen wier kann ich denn einen Bildschirmdruck hier Posten ??????

@yoschi2606
Video ActiveX Access Remover - HijackThis.de Support Board

Zitat:

C:\Programme\****************\****************.exe

Sry, bin wohl kein Hellseher Wat is dat?

Zitat:

Kann es leider nicht hier einfügen wier kann ich denn einen Bildschirmdruck hier Posten ??????

Taste Druck drücken, ein Bild-Programm, z.B. Paint, öffnen, Einfügen, Posting editieren, Schaltfläche Anhänge Verwalten drücken, die Bild-Datei speichern und so komprimieren , dass die Größe passt.

Ist das hier mein Fehler ??

Zitat:
C:\Programme\****************\****************.exe


und mit dem bekomme ich das weg oder ??

Video ActiveX Access Remover - HijackThis.de Support Board


Also das Spybot ding :

Wie bekomme ich denn deine Word datei so klein damit das geht ! ???

Hat sich denn jetzt was getan ? .....

Das blinkende Schild ist auf jedenfall mal weg !!


Logfile of HijackThis v1.99.1
Scan saved at 16:04:11, on 06.08.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir fuer KEN!\sched.exe
C:\Programme\AntiVir fuer KEN!\avguard.exe
C:\WINNT\system32\crypserv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\KEN!\KENCLI.EXE
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\KEN!\kentbcli.exe
C:\Programme\AntiVir fuer KEN!\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\****************\****************.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.115.7:3128;https=192.168.115.7:3128;ftp=192.168.115.7:3128;socks=192.168.115.7:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\MSN Messenger\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\MSN Messenger\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\MSN Messenger\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir fuer KEN!\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [****************] C:\Programme\****************\****************.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://192.168.115.7:3128/ken.html
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1186147933010
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1186147916128
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EA8326C-FCA5-4769-99B2-7568E0BA9FE9}: NameServer = 198.168.115.7
O17 - HKLM\System\CS1\Services\Tcpip\..\{1EA8326C-FCA5-4769-99B2-7568E0BA9FE9}: NameServer = 198.168.115.7
O17 - HKLM\System\CS2\Services\Tcpip\..\{1EA8326C-FCA5-4769-99B2-7568E0BA9FE9}: NameServer = 198.168.115.7
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\****************\SASWINLO.dll
O23 - Service: AntiVir für KEN! Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\sched.exe
O23 - Service: AntiVir für KEN! Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\avguard.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINNT\SYSTEM32\crypserv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

Vielen DANK schon , mal ,

kann euch nicht sagen wie mir das hilft !

Liebe´s Küschen Steffi

Zitat:

Zitat von yoschi2606

Ist das hier mein Fehler ??
C:\Programme\****************\****************.exe

Du solltest die Daten, die deine Identität aufdecken können, auf dieser Weise editieren. Bitte die Angaben in der Zeile, wie vom HJT geliefert wurde, eigeben.

Zitat:

und mit dem bekomme ich das weg oder ??

Die Malware sicher weg zu bekommen geht nur über Tabula Rasa. Die Lösung darfst du ausprobieren.

Zitat:

Wie bekomme ich denn deine Word datei so klein damit das geht !

Lese bitte meinen vorigen Posting noch mal durch. Wenn du dort irgendwas von einer Word-Datei findest, bist du zum Bier eingeladen, wenn nein - dann ich

Hallo Rene ,

Ich schätze mal Du wirst gleich die Hände über dem Kopf zusammenschlagen !

Aber ich hab erlich gesagt keinen Blassen !! Was Du genau meinst !

Oaky.. das stimmt mit dem Word !

Das mit dem Bier das hast Dir verdient !*hihi*

Ich bin eigentlich eben gar kein Pc -Mensch !!

Wie bekomme ich das Ding weg !!
Hab die Anleitung da gelesen stoß aber schon beim Ersten Punkt auf wiederstand!
Weil ich das nicht laden kann ??? oder nicht finde was ich laden soll !!!

Hat das mit dem Druck jetzt hochgeladen geklappt ??? **g**

@yoschi2606
Welche Version von Spybot ist installiert (Übrigens:die Verwendung vom Tool auf den betrieblichen PCs ist aus den urheberrechtlichen Gründen untersagt )?
Bitte noch eScan-Log erstellen & posten: http://www.trojaner-board.de/38066-e...ightymarc.html

Welche Version von Spybot ist installiert (Übrigens:die Verwendung vom Tool auf den betrieblichen PCs ist aus den urheberrechtlichen Gründen untersagt )?


Hallo wie gesagt ist eben eigenlich n Privater Pc steht eben in dem Geschäft ( Haus ) meiner Freundin !!!

Was ist denn das Tool ????

Versuch das jetzt mal m mit der File da !!!

RENE D A N K E

Welche Version von Spybot ist installiert ?

Hy ...

Öhh.. Hab spybot erst vorher heruntergeladen !

Also müßte es die Aktuelle sein !!

Sagmal wie kann ich Dir danken ??!

Grüßle Steff

Zitat:

Zitat von yoschi2606

Öhh.. Hab spybot erst vorher heruntergeladen !

Müsste die letzte sein, also 1.4. Hast du auch den TeaTimer mitinstalliert? Wenn Ja - stelle ihn ab: Safer Networking Forums - View Single Post - resident deaktivieren?