Trojaner-Board - "Only the best"-Problem und Arbeitsplatz geht nicht auf

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - "Only the best"-Problem und Arbeitsplatz geht nicht auf (https://www.trojaner-board.de/13350-only-the-best-problem-arbeitsplatz-geht.html)

"Only the best"-Problem und Arbeitsplatz geht nicht auf

Sees Leutz

hab ein schwerwiegendes Problem. Und zwar kann ich nicht meinen Arbeitsplatz-Ordner öffnen. Der PC ladet etwas und dann kommt nach ner halben Minute die Fehlermeldung mit Problembericht senden "drwtsn32.exe" kann nicht geöffnet werden. Sonst läuft der PC einwandfrei, bis ich auf Arbeitsplatz oder Windows Explorer versuch zu gehen.

Ich hab gehijackt und dank der AutomatischenLogfile-Auswertung gefixt. Das Problem kommt aber immer wieder.

Außerdem kommt anstatt meiner Startseite (google.de) immer eine leere Seite und paar Sekunden drauf ein Pop-Up mit "Only the best"-Anzeigen.

Ich poste hier einfach nochmal meine Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 10:45:54, on 06.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\ICQLite\ICQLite.exe
D:\Programme\Daemon2\daemon.exe
D:\Programme\Viren\AVGNT.EXE
C:\WINDOWS\system32\appot.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\Skype\Phone\Skype.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
D:\Programme\Viren\AVGUARD.EXE
D:\Programme\Viren\AVWUPSRV.EXE
C:\WINDOWS\system32\crqa32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
D:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\GRMUS~1\LOKALE~1\Temp\Rar$EX00.042\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\fskyu.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\fskyu.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\fskyu.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\fskyu.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\fskyu.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\fskyu.dll/sp.html#44768
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\fskyu.dll/sp.html#44768
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programme\acrobar reader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {D770BB7E-A8C9-5405-1211-95AF61010CB7} - C:\WINDOWS\addoj32.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\Daemon2\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\Viren\AVGNT.EXE /min
O4 - HKLM\..\Run: [appot.exe] C:\WINDOWS\system32\appot.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/f5e66c1c/enter.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099002213968
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AE195A3-CB76-47C6-9D36-D24174D85FB2}: NameServer = 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{88048909-6A82-4DB9-B432-080C7609CD56}: NameServer = 217.237.150.141 217.237.150.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{0AE195A3-CB76-47C6-9D36-D24174D85FB2}: NameServer = 194.25.2.129
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\Viren\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\Viren\AVWUPSRV.EXE
O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINDOWS\system32\crqa32.exe

Firewall ist natürlich on. Habe Antivir natürlich auf dem letzten Updatestand.
Bitte erklärt wie ich mein Problem lösen kann.

Vielen Dank im voraus

Gruß Corelli

@Corelli
Benutze bitte Board-Suche mit Suchbegriff: sp.html

Zitat:

Firewall ist natürlich on.

Wie du siehst, bringt sie nicht viel bis gar nix.

@rene-gad

Kannst du mir bítte sagen was ich genau machen soll.

Neuinstallation wär fatal.

Bitte helft mir weiter!!!

@Corelli

Zitat:

Kannst du mir bítte sagen was ich genau machen soll.

Lese noch mal meine Antwort. Das Thema sp.html trifft man jeden Tag mindestens 20 Mal. Bitte aufsuchen und lesen. Du bist nicht der Erste und , leider nicht der Letzte.

Zitat:

Neuinstallation wär fatal.

Fatal ist unvernünftiges Hin-und-Her-Surfen mit IE.

He cool
Des is genau mein Prob.

Vielleicht komm ich doch ohne Format aus...

So Leute

hab jetzt fast alles probiert

escan, spybot, hijack,adaware....alles im abgesicherten Modus!

aber mein Arbeitsplatz ging nicht auf.

Heute hab ich auf einmal 200 Trojaner Meldungen von Antivir bekommen, nachdem ich das Update draufgeladen habe. (Letztes Update am Sonntag gezogen)

Dann bin ich wieder in den abgesicherten Modus und hab meine Antivir überprüfen lassen. der hat dann 5 Trojaner gelöscht und nach dem Neustart hab ich dann meinen Arbeitsplatz, etc. wieder öffnen können.

Aber ich bekomm immer noch wie am laufenden Band Tojaner Meldungen. Kann mal die letzten so hier einfügen aus log-Datei von Antivir.

Die SP Geschichte ist aber dadurch glaub ich nicht bereinigt. Zwar kommt keine about:blank Seite mehr, aber weiß nicht wie lange mein Glück anhält.

08.02.2005,15:58:00 WARNING: The Trojan horse TR/StartPage.TJ!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5973AD9-0F32-4479-B9C5-C6FBFDAD0B55}\RP134\A0020581.EXE
08.02.2005,15:58:04 WARNING: The Trojan horse TR/StartPage.TJ!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5973AD9-0F32-4479-B9C5-C6FBFDAD0B55}\RP134\A0020582.EXE
08.02.2005,15:58:05 WARNING: The Trojan horse TR/StartPage.TJ!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5973AD9-0F32-4479-B9C5-C6FBFDAD0B55}\RP134\A0020583.EXE
08.02.2005,15:58:05 WARNING: The Trojan horse TR/StartPage.TJ!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5973AD9-0F32-4479-B9C5-C6FBFDAD0B55}\RP134\A0020584.EXE
08.02.2005,15:58:06 WARNING: The Trojan horse TR/StartPage.TJ!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5973AD9-0F32-4479-B9C5-C6FBFDAD0B55}\RP134\A0020580.EXE
08.02.2005,16:02:07 WARNING: The Trojan horse TR/StartPage.TJ!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5973AD9-0F32-4479-B9C5-C6FBFDAD0B55}\RP134\A0020584.EXE
08.02.2005,16:02:09 WARNING: The Trojan horse TR/StartPage.TJ!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5973AD9-0F32-4479-B9C5-C6FBFDAD0B55}\RP134\A0020585.EXE
08.02.2005,16:02:10 WARNING: The Trojan horse TR/StartPage.TJ!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5973AD9-0F32-4479-B9C5-C6FBFDAD0B55}\RP134\A0020586.EXE
08.02.2005,16:02:11 WARNING: The Trojan horse TR/StartPage.TJ!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5973AD9-0F32-4479-B9C5-C6FBFDAD0B55}\RP134\A0020587.EXE
08.02.2005,16:02:13 WARNING: The Trojan horse TR/StartPage.TJ!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5973AD9-0F32-4479-B9C5-C6FBFDAD0B55}\RP134\A0020588.EXE
08.02.2005,16:07:18 WARNING: The Trojan horse TR/StartPage.TJ!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5973AD9-0F32-4479-B9C5-C6FBFDAD0B55}\RP134\A0020581.EXE
08.02.2005,16:15:19 WARNING: The Trojan horse TR/StartPage.TJ!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5973AD9-0F32-4479-B9C5-C6FBFDAD0B55}\RP134\A0020582.EXE
08.02.2005,16:15:20 WARNING: The Trojan horse TR/StartPage.TJ!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5973AD9-0F32-4479-B9C5-C6FBFDAD0B55}\RP134\A0020583.EXE
08.02.2005,16:15:21 WARNING: The Trojan horse TR/StartPage.TJ!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5973AD9-0F32-4479-B9C5-C6FBFDAD0B55}\RP134\A0020581.EXE
08.02.2005,16:15:21 WARNING: The Trojan horse TR/StartPage.TJ!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5973AD9-0F32-4479-B9C5-C6FBFDAD0B55}\RP134\A0020584.EXE
08.02.2005,16:15:22 WARNING: The Trojan horse TR/StartPage.TJ!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5973AD9-0F32-4479-B9C5-C6FBFDAD0B55}\RP134\A0020585.EXE
08.02.2005,16:15:22 WARNING: The Trojan horse TR/StartPage.TJ!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5973AD9-0F32-4479-B9C5-C6FBFDAD0B55}\RP134\A0020586.EXE
08.02.2005,16:15:23 WARNING: The Trojan horse TR/StartPage.TJ!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5973AD9-0F32-4479-B9C5-C6FBFDAD0B55}\RP134\A0020587.EXE
08.02.2005,16:15:23 WARNING: The Trojan horse TR/StartPage.TJ!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5973AD9-0F32-4479-B9C5-C6FBFDAD0B55}\RP134\A0020588.EXE
08.02.2005,16:15:26 WARNING: The Trojan horse TR/StartPage.TJ!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{A5973AD9-0F32-4479-B9C5-C6FBFDAD0B55}\RP134\A0020580.EXE

Hier die Log. Jetzt meine Bitte an euch: helft mir diesen blöden Schlamasel loszuwerden.
Wenn ich das gemacht habe, ist die erste Aktion den Firefox-Browser zu installieren und IE zu deinstallieren!

Danke im voraus

Hi,

deaktiviere die Systemwiederherstellung.
Fahr Deinen Rechner runter.
Neustart und Systemwiederherstellung wieder aktivieren.
Dann sind Diese weg: C:\SYSTEM VOLUME INFORMATION\_RESTORE....
Steckten woanders auch noch welche?

Installiere gleich den Firefox.
Den IE kannst Du nicht löschen, der wird fürs Updaten gebraucht.
Siehe Punkt Nr. 5 hier : http://www.trojaner-board.de/showthread.php?t=12154
Halte Dich ebenfalls an die anderen Punkte.

dartus

Zitat:

C:\SYSTEM VOLUME INFORMATION\_RESTORE

=>Systemwiederherstellung deaktivieren->Neustart->Systemwiederherstellung aktivieren.

Scanne dein System bitte mit eScan im abgesicherten Modus (Anleitung genau befolgen!) und poste was gefunden wird. Am einfachsten machst du das so:
Direkt nach dem Scan, den Inhalt des Fensters "Virus Log Information" kopieren (Strg+A alles markieren; Strg+C kopieren) und dann in einer Textdatei abspeichern (z.B. mit Wordpad o.ä.). Dazu den Inhalt mit Strg+V in das Textverarbeitungsprogramm einfügen und das Dokument dann abspeichern. Nach dem Neustart kannst du die Infos aus der Datei dann einfach ins Forum kopieren.

Poste ein neues HijackThis-Logfile und die "Virus-Log Information" von eScan.

Blöde Frage, wo deaktivier/aktivier ich Systemherstellung???

Zitat:

Blöde Frage, wo deaktivier/aktivier ich Systemherstellung???

->Google ->Windows-Hilfe ->Suchfunktion des Boardes ;)

So haui gesagt getan,

Systemherstellung deaktiviert->Neustart->abgesicherter Modus->escan->Neustart->Systemherstellung aktiviert

Hier log von escan:

Tue Feb 08 18:24:09 2005 => Total Files Scanned: 67982
Tue Feb 08 18:24:09 2005 => Total Virus(es) Found: 8
Tue Feb 08 18:24:09 2005 => Total Disinfected Files: 0
Tue Feb 08 18:24:09 2005 => Total Files Renamed: 0
Tue Feb 08 18:24:09 2005 => Total Deleted Files: 0
Tue Feb 08 18:24:09 2005 => Total Errors: 21
Tue Feb 08 18:24:09 2005 => Time Elapsed: 01:11:18
Tue Feb 08 18:24:09 2005 => Virus Database Date: 2005/02/07
Tue Feb 08 18:24:09 2005 => Virus Database Count: 117359

Tue Feb 08 18:24:09 2005 => Scan Completed.

Hier die Viren:

File C:\DOKUME~1\GRMUS~1\LOKALE~1\Temp\10.tmp infected by "Trojan-Downloader.Win32.Small.ahz" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\GRMUS~1\LOKALE~1\Temp\98.tmp infected by "Trojan-Downloader.Win32.Small.ahz" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen.....\Lokale Einstellungen\Temp\10.tmp infected by "Trojan-Downloader.Win32.Small.ahz" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temp\98.tmp infected by "Trojan-Downloader.Win32.Small.ahz" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Downloaded Program Files\inst2.dll infected by "Trojan-Downloader.Win32.WinShow.au" Virus. Action Taken: No Action Taken.

File D:\Programme\....\Ahead.Nero.Burning.ROM.v6.6.0.0.Ultra.Incl.Keygen.zip infected by "Trojan-Dropper.Win32.Delf.fd" Virus. Action Taken: No Action Taken.

File D:\Programme\Hijack\backups\backup-20050111-004043-631.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken.

File D:\Programme\Viren\INFECTED\LSASS.EXE.VIR infected by "Trojan-Downloader.Win32.Agent.ea" Virus. Action Taken: No Action Taken.

und hier nochmals hijack Log

Logfile of HijackThis v1.99.0
Scan saved at 19:17:42, on 08.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\ICQLite\ICQLite.exe
D:\Programme\Daemon2\daemon.exe
C:\WINDOWS\system32\appot.exe
D:\Programme\Viren\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
D:\Programme\Skype\Phone\Skype.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
D:\Programme\Viren\AVGUARD.EXE
D:\Programme\Viren\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\GRMUS~1\LOKALE~1\Temp\Rar$EX00.915\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jcjyh.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jcjyh.dll/sp.html#44768
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jcjyh.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\jcjyh.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jcjyh.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jcjyh.dll/sp.html#44768
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\jcjyh.dll/sp.html#44768
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programme\acrobar reader\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\Daemon2\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [appot.exe] C:\WINDOWS\system32\appot.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\Viren\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/f5e66c1c/enter.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099002213968
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AE195A3-CB76-47C6-9D36-D24174D85FB2}: NameServer = 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{88048909-6A82-4DB9-B432-080C7609CD56}: NameServer = 217.237.150.141 217.237.150.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{0AE195A3-CB76-47C6-9D36-D24174D85FB2}: NameServer = 194.25.2.129
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\Viren\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\Viren\AVWUPSRV.EXE

Zitat:

Zitat von Corelli

Blöde Frage, wo deaktivier/aktivier ich Systemherstellung???

Systemherstellng kann man deaktivieren, sobald man Bill Gates mit den anderen Sachen beschäftigt.
Für Systemwiederherstellung kann man hier nachschauen: http://www.systemwiederherstellung-d...indows-xp.html

Überprüfe mal bitte folgende Datei online bei http://virusscan.jotti.org/
C:\WINDOWS\system32\appot.exe
und poste das Ergebnis.

Dabei dürfte es sich um neue Malware handeln.

@Haui45

Zitat:

C:\WINDOWS\system32\appot.exe
Dabei dürfte es sich um neue Malware handeln.

Seine Kiste ist schon mit der alten bis zum Rande voll, und das schon seit 2 Tagen. Die Ewige Frage der Security will ich hier nicht noch mal stellen.

Zitat:

Seine Kiste ist schon mit der alten bis zum Rande voll, und das schon seit 2 Tagen.

Da gab's schon schlimmere Fälle.

Zitat:

Die Ewige Frage der Security will ich hier nicht noch mal stellen.

Gut!

Sag mal Rene wenns zu viel wird brauchst nicht ständig dazwischenquatschen.

Bloß weil du über tausend posts, paar hundert leuten geholfen und kein bock mehr zur aktiven hilfe hast, brauchst hier nicht mit so blöden Sprüchen kommen.

Sorry, aber das muß mal gesagt werden.

@haui

Sorry, aber die Datei ist nicht mehr da!?!

da gibts paar die so heißen:

appcn.exe
append.exe
appkw.exe
apprh32.exe
appru.exe
appyh.exe
...
...
Kann des sein, dass sich die datei umbenannt hat???

Also die meisten von den Dateien, die du aufgeschrieben hast, dürften Malware sein (außer du hast dich vertippt). Grund: Zufallsnamen, und Google kennt sie auch nicht....
Dass eScan diese nicht beanstandet hat, lässt schlimmes ahnen.
Um dein System wirklich wieder sauber zu bekommen, wäre ein erneutes Aufsetzen des OS dringend anzuraten.
Wie gesagt, da ist dann nicht mehr viel mit fixen und löschen, wenn sogar eScan fast nichts erkennt. Sorry :(

-> Neuaufsetzen des Systems

PS: Ich glaube es wäre auch nicht in deinem Sinne, wenn wir jetzt per Ferndiagnose sagen würden, was zu löschen ist, dabei aber die Hälfte übersehen. Dein System wäre nach der "Bereinigung" auch nicht wieder sauber.

@Corelli

Zitat:

Sag mal Rene wenns zu viel wird brauchst nicht ständig dazwischenquatschen

Ständig tue ich es auch nicht, nur gelegentlich.

Zitat:

Bloß weil du über tausend posts, paar hundert leuten geholfen und kein bock mehr zur aktiven hilfe hast, brauchst hier nicht mit so blöden Sprüchen kommen.

a) Mein Posting wurde nicht an dich , sondern an Haui45 adressiert, ergo dürftest du es nicht persönlich nehmen.
b) Ich habe mich noch ein mal in meiner Meinung bestätigt, dass das Neuaufsetzen des Systems viel schneller geht und bringt auch viel meht Sicherheit mit sich, als Stunden- oder Tagenlange "Fixen"-Diskussionen, die meistens sowieso zur Ergebnis kommen, das "besser wäre, wenn System neu aufgesetzt wird".

Zitat:

Sorry, aber das muß mal gesagt werden.

Dito

Zitat:

a) Mein Posting wurde nicht an dich , sondern an Haui45 adressiert, ergo dürftest du es nicht persönlich nehmen.

Darf ich es dann persönlich nehmen? :confused:

btw: Der "andere Punkt" wurde schon oft genug durchgekaut....

ich habs weg

hab alles im abgesicherten modus hijack gefixt was mir unbekannt vorkam (mutig ich weiß aber ich hatte mich schon mit format abgefunden und einfach mal rumprobiert).
dann hab ich noch spybot laufen lassen
und dann noch die registrierung nach dem durchsucht was ich mit hjt gefixt hatte und das auch gelöscht.

Dann reboot und der Arbeitsplatz geht wieder auf. Das only the best ding is auch weg. :huepp: