bitte um hilfe

juic3 · 15.08.2007, 12:12

Logfile of HijackThis v1.99.1
Scan saved at 13:08:50, on 15.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\PROGRA~1\ADP\EPCINT~1\BHEPCInt.exe
C:\Programme\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe
C:\PROGRA~1\BHPS\Epci3\bin\epc_srv.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\userinit.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\PROGRA~1\BHPS\Epci3\bin\epc_srv.exe
C:\WINDOWS\system32\MAPISP32.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\*****l\Desktop\aa\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = h***
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = microweb
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [EPC Integration] C:\PROGRA~1\ADP\EPCINT~1\BHEPCInt.exe
O4 - HKLM\..\Run: [HPWT myPrintMileage Agent] C:\Programme\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - Startup: ADP.lnk = C:\TUN\EMUL\emul32.exe
O4 - Startup: EPC 3.lnk = bin\ShortcutLauncher.exe
O4 - Startup: Microsoft Outlook.lnk = C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
O4 - Startup: Outlook Express.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{107E05B1-424E-4614-B840-E4710F29C06D}: NameServer = 205.249.19.65,199.228.170.43
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = de1004.autoconnect.de,autoconnect.de,dcs.eds.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{107E05B1-424E-4614-B840-E4710F29C06D}: NameServer = 205.249.19.65,199.228.170.43
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = de1004.autoconnect.de,autoconnect.de,dcs.eds.com
O17 - HKLM\System\CS3\Services\Tcpip\..\{107E05B1-424E-4614-B840-E4710F29C06D}: NameServer = 205.249.19.65,199.228.170.43
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = de1004.autoconnect.de,autoconnect.de,dcs.eds.com
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\UltraVNC\WinVNC.exe" -service (file missing)

Rene-gad · 15.08.2007, 12:15

Zitat:

Zitat von juic3

hmm leider geht die Anmeldung auf virusinfo.info nicht da ich keinen letterbox angezeigt

Ich habe alles überprüft und verstehe nicht - warum? Âèðóñ Èíôî | Virus Info - Ïðàâèëà ôîðóìà - funktioiniert den Link bei Dir? Dann alles lesen, Haken gegen I have read setzen und aufs Icon Register drücken. Dann kommt man zu den Anmeldefeldern.

juic3 · 15.08.2007, 12:19

beim anmelde festern gibst du den benutzername ein
das pw , nochmal pw

email email

blablub

unten kommt dann ein feld wo man deine zahlencombi eingeben soll die recht im fenster steht. bei mir steht an stelle des bildes nur: bild kann nicht angezeigt werden.

und ohne das kommt man nicht weiter

Rene-gad · 15.08.2007, 12:39

@juic3
k. Danke, ich melde das Prob bei der Administration. Aber ich denke mal - deinen Rechner müsstest du mal neu aufspielen

EDIT:

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

Bevor wir soweit sind - versuche jetzt die beiden zu fixen.

juic3 · 15.08.2007, 14:17

die 2 sachen gefixed + script

sorry bin bissl im stress grad deswegen solange reply dauer

Logfile of HijackThis v1.99.1
Scan saved at 15:08:13, on 15.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\PROGRA~1\ADP\EPCINT~1\BHEPCInt.exe
C:\Programme\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe
C:\PROGRA~1\BHPS\Epci3\bin\epc_srv.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\userinit.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\PROGRA~1\BHPS\Epci3\bin\epc_srv.exe
\Epc3srv\gmg-gmg\bin\ShortcutLauncher.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\BHPS\JRE142\bin\javaw.exe
C:\WINDOWS\system32\cmd.exe
C:\Dokumente und Einstellungen\****\Desktop\aa\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://*****
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = ht****
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = microweb
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [EPC Integration] C:\PROGRA~1\ADP\EPCINT~1\BHEPCInt.exe
O4 - HKLM\..\Run: [HPWT myPrintMileage Agent] C:\Programme\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - Startup: ADP.lnk = C:\TUN\EMUL\emul32.exe
O4 - Startup: EPC 3.lnk = bin\ShortcutLauncher.exe
O4 - Startup: Microsoft Outlook.lnk = C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
O4 - Startup: Outlook Express.lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{107E05B1-424E-4614-B840-E4710F29C06D}: NameServer = 205.249.19.65,199.228.170.43
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = de1004.autoconnect.de,autoconnect.de,dcs.eds.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{107E05B1-424E-4614-B840-E4710F29C06D}: NameServer = 205.249.19.65,199.228.170.43
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = de1004.autoconnect.de,autoconnect.de,dcs.eds.com
O17 - HKLM\System\CS3\Services\Tcpip\..\{107E05B1-424E-4614-B840-E4710F29C06D}: NameServer = 205.249.19.65,199.228.170.43
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = de1004.autoconnect.de,autoconnect.de,dcs.eds.com
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\UltraVNC\WinVNC.exe" -service (file missing)

Rene-gad · 15.08.2007, 14:24

Zitat:

Zitat von juic3

die 2 sachen gefixed + script

Du merkst ja - es hat nichts geholfen.

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

Also bekommt man das Problem ohne Neuinstallation nicht in griff.
BTW: Das Anmeldeproblem beim VirusInfo habe ich gemeldet, bis dato geschah aber nichts: das Forum stand eine Woche lang unterm staken DDoS-Beschuss und die Admins sind noch im Begriff, die Folgen zu beseitigen.
EDIT: ich habe deine Logfiles bei VirusInfo platziert, Kannst du mir noch den Inhalt des Ordners Quarantine (als ZIP-Datei Paswortgeschützt (Passwort virus)) per E-Mail senden? Danke.

juic3 · 15.08.2007, 14:54

na ich dank eher dir

die email is in 2min unterwegs.

Rene-gad · 15.08.2007, 15:01

Zitat:

Zitat von juic3

na ich dank eher dir

die email is in 2min unterwegs.

Versuche mal noch diesen Script

Code:

ATTFilter

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile(C:\WINDOWS\system32\ntos.exe)
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

den hat ein Kollege aus dem Vi-Forum empfohlen
EDIT> Ich wollte eigentlich ntos.exe sehen, Script geändert. Wenn die Datei in die Qurantine landet bitte noch mal senden.
Die Datei in *.dat in der Quarantine umbenennen in ProQuestKbdSimInterface.dll, ins Verzeichnis

Zitat:

C:\Programme\BHPS\Pia2\

zurück kopieren und an newvirus@z-oleg.com senden: das ist ein Fehlalarm.
EDIT2: HiJackthis hier nehmen http://www.trendsecure.com/portal/en...HiJackThis.zip

juic3 · 15.08.2007, 15:44

Fehlermeldung bei check syntax

Error: ')' expected at position 4:18

und was wie wo is nen fehlalarm?

Rene-gad · 15.08.2007, 16:32

Zitat:

Zitat von juic3

Fehlermeldung bei check syntax

1. Sry, mein Fehler:

Code:

ATTFilter

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

2. Die in die Quarantäne gelandete Datei ist ein Fehlalarm von AVZ: Du sollst die wiederherstellen.

juic3 · 16.08.2007, 06:46

morgen stund hat gold im mund

in der Quarantäne landet leider keine file, der Ordner ist leer.
Ich hab noch kurz aus dem autostart paar sachen rausgeschmiessen sonst bootet er immer ewig

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:36:52, on 16.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\HPWTTBX.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ADP\EPCINT~1\BHEPCInt.exe
C:\Programme\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe
C:\PROGRA~1\BHPS\Epci3\bin\epc_srv.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\PROGRA~1\BHPS\Epci3\bin\epc_srv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\***\Desktop\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http***
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = htt***
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = microweb
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [EPC Integration] C:\PROGRA~1\ADP\EPCINT~1\BHEPCInt.exe
O4 - HKLM\..\Run: [HPWT myPrintMileage Agent] C:\Programme\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ADP.lnk = C:\TUN\EMUL\emul32.exe
O4 - Startup: Eigene Dateien
O4 - Startup: EPC 3.lnk = bin\ShortcutLauncher.exe
O4 - Startup: Microsoft Outlook.lnk = C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
O4 - Startup: Outlook Express.lnk = C:\Programme\Outlook Express\msimn.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{107E05B1-424E-4614-B840-E4710F29C06D}: NameServer = 205.249.19.65,199.228.170.43
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = de1004.autoconnect.de,autoconnect.de,dcs.eds.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{107E05B1-424E-4614-B840-E4710F29C06D}: NameServer = 205.249.19.65,199.228.170.43
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = de1004.autoconnect.de,autoconnect.de,dcs.eds.com
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Programme\UltraVNC\WinVNC.exe

--
End of file - 4570 bytes

Rene-gad · 16.08.2007, 07:07

@juic3
Es sieht schon besser aus. Vllt. haben wir den Schädling schon mit dem ersten Script erschlagen und dann mit den Fantomen gekämpft haben.
Du sollst JavaRE updaten (aktuelle Version 1.6.02.)

Zitat:

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe

Hast diesen Eintrag selbst eingefügt?

Zitat:

O4 - Startup: Eigene Dateien

Kennst du diese IP-Adresse (euer Proxy?). Wenn nein - fixe alle O17

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{107E05B1-424E-4614-B840-E4710F29C06D}: NameServer = 205.249.19.65,199.228.170.43

juic3 · 16.08.2007, 07:23

hab mal kurz an nem andern pc hjt laufen lassen und kopier dir mal die 17ner einträge rein.

autostart eigene datein is von mir ja. aber wie kann ich javre updaten? hab mal gegooglet aber nix gefunden im java ordner auch nicht

O17 - HKLM\System\CCS\Services\Tcpip\..\{30ECE9B6-4ADF-4421-83BC-C9C995BE7C91}: NameServer = 205.249.19.65,199.228.170.43
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = de1004.autoconnect.de,autoconnect.de,dcs.eds.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{30ECE9B6-4ADF-4421-83BC-C9C995BE7C91}: NameServer = 205.249.19.65,199.228.170.43
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = de1004.autoconnect.de,autoconnect.de,dcs.eds.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{30ECE9B6-4ADF-4421-83BC-C9C995BE7C91}: NameServer = 205.249.19.65,199.228.170.43
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = de1004.autoconnect.de,autoconnect.de,dcs.eds.com

Rene-gad · 16.08.2007, 07:36

Zitat:

Zitat von juic3

hab mal kurz an nem andern pc hjt laufen lassen und kopier dir mal die 17ner einträge rein.

Es scheint, euer Proxy zu sein, aber schreibe diese Frage auf und kläre das mit euren IT-Leuten.

Zitat:

aber wie kann ich javre updaten?
hab mal gegooglet aber nix gefunden im java ordner auch nicht

Dann ist dein Google auch updatebedürftig

SCNR : Download der Java-Software von Sun Microsystems
Eine andere Möglichkeit: Start/Systemsteuerung/Zur klassischen Ansicht wechseln/Java/Aktualisierung/Jetzt aktualisieren.
EDIT1: Update AVZ , wiederhole die AVZ-Logs und sende mir, wie gestern.
EDIT2: In der Zeit, die wir für die Säuberung verbraten haben, könnte man Windows schon 3 mal neu installieren

EDIT3: Bei VirusInfo kann man sich jetzt anmelden - die Eingabe der magischen Ziffern gibt es nicht mehr: Âèðóñ Èíôî | Virus Info - Ïðàâèëà ôîðóìà

juic3 · 16.08.2007, 07:47

avz logs laufen, update hatter nicht gebraucht. java update läuft auch grad.

in der zeit hätte man windows bestimmt 5 mal installiert, aber nicht die netzwerk programme:/ da hätte erst der "Futzi

" kommen müssen und mein chef hätte mich 2 mal umgebracht bis der pc wieder läuft

bitte um hilfe

Log-Analyse und Auswertung: bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

Ähnliche Themen: bitte um hilfe

15.08.2007, 14:54	#22
juic3	bitte um hilfe na ich dank eher dir die email is in 2min unterwegs.

15.08.2007, 15:44	#24
juic3	bitte um hilfe Fehlermeldung bei check syntax Error: ')' expected at position 4:18 und was wie wo is nen fehlalarm?

16.08.2007, 07:47	#30
juic3	bitte um hilfe avz logs laufen, update hatter nicht gebraucht. java update läuft auch grad. in der zeit hätte man windows bestimmt 5 mal installiert, aber nicht die netzwerk programme:/ da hätte erst der "Futzi" kommen müssen und mein chef hätte mich 2 mal umgebracht bis der pc wieder läuft