Hi!
Bei mir funtioniert so einiges nicht mehr. Mein Browser blinkt in der obersten Leiste und habe große Probleme diesen Text zu schreiben weil ich immer wieder hier rein klicken muss. Ich muss immer eine iexplore.exe beenden weil sie soviel ressoucen weg nimmt. ich kann die antivir und spybot .exe nicht mehr auf meinem pc finden. Mein Rechner startet sich neu und genere encwcsvr.exe starte sich auch immer wieder neu...

brauche dringen gute hilfe für einen leihen. hier die log von hijackthis


Logfile of HijackThis v1.99.1
Scan saved at 15:09:50, on 12.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Power Soft\Power Notes\Notes.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCSVR.EXE
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Power Notes] "C:\Programme\Power Soft\Power Notes\Notes.exe"
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.moove.com
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


Habe letztens eine file bei emule geladen die nicht funktioniert hat "angeblich" habe sie nicht mehr, war für das prog power notes (haftnotizen auf dem desktop)

hoffe ihr könnt helfen.
Bin gegen Abend wieder da.
Danke und Gruß Kim

Hallo.

Mach mal bitte einen Check mit blacklight und escan (Link in meiner Signatur).

Hi!
Habe jetzt mit Blacklight gecheckt, 9 Files hat er gefunden und repariert...
escan kann ich leider nicht machen weil mein rechner den abgesicherten modus nicht starten kann. lädt die db47bus.sys oder so und startet komplett neu.

hoffe mir kann noch jemand helfen weil ich nur diese eine Partition habe.

Poste bitte das Logfile von Blacklight.

Also die Fehler sind alle nach wie vor da

hier das Log


08/13/07 21:18:04 [Info]: BlackLight Engine 1.0.64 initialized
08/13/07 21:18:04 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/13/07 21:18:04 [Note]: 7019 4
08/13/07 21:18:04 [Note]: 7005 0
08/13/07 21:18:06 [Note]: 7006 0
08/13/07 21:18:06 [Note]: 7011 1664
08/13/07 21:18:06 [Note]: 7026 0
08/13/07 21:18:06 [Note]: 7026 0
08/13/07 21:18:06 [Note]: 7024 3
08/13/07 21:18:06 [Info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe
08/13/07 21:18:06 [Note]: 7024 3
08/13/07 21:18:06 [Info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe
08/13/07 21:18:10 [Note]: FSRAW library version 1.7.1022
08/13/07 21:18:11 [Info]: Hidden file: c:\Dokumente und Einstellungen\Kim\Anwendungsdaten\hidires\hidr.exe
08/13/07 21:18:11 [Note]: 10002 2
08/13/07 21:18:11 [Note]: 10002 3
08/13/07 21:18:11 [Info]: Hidden file: c:\Dokumente und Einstellungen\Kim\Anwendungsdaten\hidires\rosa.sys
08/13/07 21:18:11 [Note]: 10002 3
08/13/07 21:18:11 [Note]: 10002 2
08/13/07 21:18:11 [Note]: 10002 2
08/13/07 21:19:05 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Empty.txt
08/13/07 21:19:05 [Note]: 10002 3
08/13/07 21:19:05 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Filters.xml
08/13/07 21:19:05 [Note]: 10002 3
08/13/07 21:19:05 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\news.png
08/13/07 21:19:05 [Note]: 10002 3
08/13/07 21:19:05 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\paint.png
08/13/07 21:19:05 [Note]: 10002 3
08/13/07 21:19:05 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Profiles\Blank.txt
08/13/07 21:19:05 [Note]: 10002 3
08/13/07 21:19:05 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Sample1.jpg
08/13/07 21:19:05 [Note]: 10002 3
08/13/07 21:19:05 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Sample2.jpg
08/13/07 21:19:05 [Note]: 10002 3
08/13/07 21:19:05 [Note]: 10002 2
08/13/07 21:19:05 [Note]: 10002 2
08/13/07 21:21:15 [Note]: 10002 2
08/13/07 21:21:15 [Note]: 10002 2
08/13/07 21:21:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\pci32.sys
08/13/07 21:21:46 [Note]: 10002 2

Zitat:

08/13/07 21:18:06 [Info]: Hidden process: C:\WINDOWS\system32\hldrrr.exe
08/13/07 21:21:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\pci32.sys

Dein System dürfte somit mit an Sicherheit grenzender Wahrscheinlichkeit hinüber sein, da kompromittiert. Das sind definitiv keine Systemdateien, noch haben die was im System32-Ordner zu suchen, bei dir werkeln wahrscheinlich schon einige Hinterüren.

Folge dem Link neu aufsetzen in meiner Signatur.

Jetzt sieht mein Log so aus...


08/14/07 18:37:54 [Info]: BlackLight Engine 1.0.64 initialized
08/14/07 18:37:54 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/14/07 18:37:54 [Note]: 7019 4
08/14/07 18:37:54 [Note]: 7005 0
08/14/07 18:37:57 [Note]: 7006 0
08/14/07 18:37:57 [Note]: 7011 1676
08/14/07 18:37:58 [Note]: 7026 0
08/14/07 18:37:58 [Note]: 7026 0
08/14/07 18:38:12 [Note]: FSRAW library version 1.7.1022
08/14/07 18:43:17 [Note]: 7007 0

habe mein System nach dieser anleitung ganz unten bereinigt
http://board.protecus.de/t27513-3.htm

leider kann ich noch nicht antivir installieren... es ist wohl doch besser neu zu installieren, aber dann sind alle Daten weg...

cosinus, danke für deine Hilfe

Bei den Rootkits wäre ich sehr vorsichtig. Man weiß nie, welche Rootkits noch verborgen sind und auch nicht vom Blacklight angezeigt werden.

Garantie hast du nur nach dem Neuaufsetzen. Aber musst du wissen...

eine Frage noch,

ist es denn aber möglich meine Musikdatein und Dokumentenordner auf eine Externe Festplatte zu spielen ohne die Rootkits mitzunehmen? bzw gibt es eine möglichkeit die zu verpacken/verschlüsseln etc

gruß

Hallo

Zitat:

ist es denn aber möglich meine Musikdatein und Dokumentenordner auf eine Externe Festplatte zu spielen ohne die Rootkits mitzunehmen?

so lange du auf ausführbare Dateien verzichtest, ja.
Musik und Dokumente sowie Bilder sollten nur sehr geringes Risiko beinhalten, scanne die Dateien aber besser vor dem zurückspielen ins neue System mit einem aktuellem Antivirenprogramm.

Zitat:

bzw gibt es eine möglichkeit die zu verpacken/verschlüsseln etc

halte ich für unnötig

MFG

verschieb

GUA