VirusProtect !!! entfernen unmöglich !!! hier meine log files

yusuf92 · 28.12.2007, 17:47

hallo -_-

wie immer ein virusprotect problem
bin wohl nicht der einzige der ein problem hat

ya dieses virusprotect langweilt mich

ich weis gar niks über dieses forum und so log files aber ich hab diesen HiJackThis runtergeladen und es gemacht wie es bei anderen beiträge steht

hier meine log files

noch ne frage : was muss ich dann machen nach dem ich es eingefügt habe und euch es geschickt hab ???????

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:12:21, on 28.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Webroot\Spy Sweeper\SSU.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\MSN Messenger\livecall.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.homepageback.com/?cm=340367&lt=2&it=2007-12-27%2017%3A12%3A04&dt=2007-12-27%2017%3A46%3A03&q=http://www.homepageback.com/?cm=240364&lt=2&it=2007-12-27%2014%3A17%3A00&dt=2007-12-27%2015%3A59%3A13&q=http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R3 - URLSearchHook: (no name) - _{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
O2 - BHO: (no name) - {69B98C68-D2B8-4A4E-9CB7-E85B6F3A7014} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MI3369~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\Video Add-on\isfmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxpt173YYDE
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI3369~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI3369~1\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.updatesgate.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.updatesgate.com/redirect.php (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI3369~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by122w.bay122.mail.live.com/mail/resources/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131354357031
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://www.pop-radio.de/video_popup/ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB4A59F5-EE51-4868-A8A3-3EEC1B7CD2E6}: NameServer = 213.191.74.18 62.109.123.196
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MI3369~1\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll
O20 - Winlogon Notify: ddabx - C:\WINDOWS\
O20 - Winlogon Notify: jkkli - C:\WINDOWS\system32\jkkli.dll (file missing)
O20 - Winlogon Notify: khfffcy - khfffcy.dll (file missing)
O22 - SharedTaskScheduler: ficklety - {e31f5c72-8e0d-4921-8375-9573746c170c} - C:\WINDOWS\system32\ezzhjmt.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxcg_device - - C:\WINDOWS\system32\lxcgcoms.exe
O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe

--
End of file - 10620 bytes

Tayk · 28.12.2007, 21:23

Das ist die liste der einträge die du fixen solltest:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\Video Add-on\isfmntr.exe

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxpt173YYDE

Ende

Wie man fixt:
Du startest HijackThis machst ein scan ohne logfile suchst genau diese einträge dann makierst du sie ein (häckschen rein machen) und dann klickst du unten auf ,,FIX CHECKED´´

yusuf92 · 28.12.2007, 22:17

und das entfernt virusProtect ?????

halt ich mein

ich hab so ein virusprotect insatlliert ge des ha mich gesört und habs deinstallirt

aber es erscheint ein weisses kreuz mit rotem hintergrund und dann ein weisses fragezeichen mit blauem hintergrund. unten rechts

Ich bekomm es einfach nicht mehr weg

Tayk · 29.12.2007, 03:53

Du bist verwirrent, aber egal ein tipp für dich google das kennst du bestimmt benutz das das nächste mal !

Aber egal hier die hilfe!

Du lädst dir Spybot Search & Destroy herunter und da du anscheinen nich mit google umgehen kannst mach ich dir sogar ein link! SpyBot - Search & Destroy 1.5.1 Deutsch - Download - CHIP Online

Das instalierst du dann nach der Instalation machst du ein Update und danach ein Systemscan und dann verschiebst du alles was es findet in die quarantäne oder du löschst es! Dann müsste das prob behoben sein!
Und die einträge die ich das letzte mal aufgelistet habe auch fixen es sei denn du hast es shcon gemacht!

yusuf92 · 29.12.2007, 17:21

hey ich hab das gemacht und

leider hat es nicht funktioniert

bite es ist sehr wichtig es stört mich wenn ich emulator oder so spiele

Tayk · 29.12.2007, 17:35

Finde DLLs von VirusProtect Pro :

nuqjici.dll
zpeolvh.dll
vgibz.dll
wpchz.dll
cefrjsh.dll
yhjbbzf.dll
onljweo.dll
surzzh.dll
wfcof.dll
myqlejy.dll
lapmvzf.dll
xnvaogd.dll
gusur.dll
gtawclv.dll
vjxwnn.dll
wzhtjqo.dll
cqsfk.dll
psndz.dll
ugofuq.dll
dyrwls.dll
bgwttyl.dll
afzdbl.dll
tkrsw.dll
zpuwriz.dll
lrnjnzf.dll

Finde die Daten von VirusProtect Pro:

VirusProtectPro 3.3.exe
nuqjici.dll
zpeolvh.dll
VirusProtectPro 3.3.lnk
VirusProtectPro 3.3 Website.lnk
Uninstall VirusProtectPro 3.3.lnk
VirusProtectPro 3.3.url
vgibz.dll
wpchz.dll
VirusProtectPro 3.4.url
VirusProtectPro 3.4 Website.lnk
Uninstall VirusProtectPro 3.4.lnk
VirusProtectPro 3.4.lnk
VirusProtectPro 3.4.exe
cefrjsh.dll
yhjbbzf.dll
onljweo.dll
surzzh.dll
wfcof.dll
myqlejy.dll
lapmvzf.dll
xnvaogd.dll
gusur.dll
VirusProtectPro 3.6.url
VirusProtectPro 3.6 Website.lnk
Uninstall VirusProtectPro 3.6.lnk
VirusProtectPro 3.6.lnk
VirusProtectPro 3.6.exe
gtawclv.dll
vjxwnn.dll
wzhtjqo.dll
VirusProtectPro 3.5.url
VirusProtectPro 3.5 Website.lnk
Uninstall VirusProtectPro 3.5.lnk
VirusProtectPro 3.5.lnk
cqsfk.dll
psndz.dll
ugofuq.dll
dyrwls.dll
bgwttyl.dll
afzdbl.dll
tkrsw.dll
zpuwriz.dll
lrnjnzf.dll

Breche die Vorgänge von VirusProtect Pro ab:
VirusProtectPro 3.3.exe
VirusProtectPro 3.4.exe
VirusProtectPro 3.6.exe

Ich kann dir das schnell per remote machen wenn du willst

yusuf92 · 29.12.2007, 19:23

hmm ok

ich wills ya dir geben aber du kannst doch meine daten und so sehen und meine ordner und so sehen

und wie gehts das der mmit den remote

raman · 29.12.2007, 19:47

Lass die Finger von der "Remotesache" oder willst du jemand Unbekannten vollen Zugriff auf deinem Rechner gewaehren?

yusuf92 · 29.12.2007, 22:51

aber wie soll ichs denn machen

wie soll ich die dlls löschenund so was der tyk mir geschrieben hat

wie soll ichs machen hilf t mir bitte

Tayk · 29.12.2007, 23:03

Ja das mit Remote lassen wir ich wurde ermahnt von einem Admin weil ich das angeboten hab darf man anscheinend nicht wusste ich nich im privaten mache ich das allerdings öfters naja egal!

Edit:
1.Das ist eine beschreibung zur entvernung von VirusProtect bitte befolge diese.
VirusProtectPro/VirusProtect Pro Removal - HijackThis.de Support Board

2.Suche auch nach den dateien die dort aufgelistet sind und wenn sie da sind geh nach der anleitung vor!
http://www.trojaner-board.de/30411-a...-von-zlob.html Suche

30.12.2007, 17:03

@yusuf

Du hast Zlob auf Deinem Rechner, eine *Säuberung* ist daher nicht 100% ig sicher.

Wenn Du dem Link von Tayk folgst (Anleitung von GUA zur Entfernung von Zlob), dann solltest Du auch diesen Satz hier von GUA beachten:

Zitat:

Aufgrund der Komplexität von Zlob kann nicht garantiert werde, dass mit der folgenden Anleitung der Trojaner komplett entfernt wird, die sicherste Methode ein vertrauenswürdiges System wieder herzustellen ist ein Neuaufsetzen.

Quelle: http://www.trojaner-board.de/30411-a...-von-zlob.html

Tayk

Ich find's gut, wie Du yusuf hier hilfst, aber bitte weise ihn auch auf die Unzulänglichkeiten von der *Bereinigungsaktion* hin.

VirusProtect !!! entfernen unmöglich !!! hier meine log files

Plagegeister aller Art und deren Bekämpfung: VirusProtect !!! entfernen unmöglich !!! hier meine log files