internat.exe - SCard...
 

Hallo zusammen,

ich habe bei einer Bekannten einen befallenen PC versucht zu säubern (über 400inf. Dateien). Vieles ist unten, aber ein paar Sachen stehen noch, und da komm ich nicht weiter. Versuche mich noch um das Neuaufsetzen herumzuwinden, da einige der neueinzuspielenden Programme ein ewiges Online-Update-Prozedere mit sich bringen würden (und das bei ISDN).

Hier mal der Hijack-Log

Logfile of HijackThis v1.99.1
Scan saved at 09:15:19, on 27.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\SCardClnt.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
E:\CD_Antivir\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.optik-marktbreit.de/
R3 - Default URLSearchHook is missing
O2 - BHO: CDownCom Class - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - C:\WINNT\DOWNLO~1\ipreg32.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Ae6t] C:\WINNT\tsbsnc.exe
O4 - HKLM\..\Run: [loader32] C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
O4 - HKCU\..\Run: [Iomega Active Disk] C:\Programme\Iomega\AutoDisk\AD2KClient.exe
O4 - HKCU\..\Run: [internat.exel] internat.exe
O4 - Startup: GENO lite ZV F‰lligkeiten.lnk = C:\WINLITE\ZAWF.EXE
O4 - Startup: Scan & Print.lnk = C:\Programme\Scan & Print\Scan & Print.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Service Manager.lnk = C:\mssql7\Binn\sqlmangr.exe
O4 - Global Startup: SQL Server.lnk = C:\mssql7\Binn\scm.exe
O4 - Global Startup: VR-NetWorld Auftragspr¸fung.lnk = C:\Programme\VR-NetWorld\vrtoolcheckorder.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...bridge-c32.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{8867DC50-F615-4CAD-90E7-40F8D2B3CC07}: NameServer = 192.168.120.252,192.168.120.253
O20 - Winlogon Notify: PCANotify - C:\WINNT\SYSTEM32\PCANotify.dll
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2004\AVKService.exe
O23 - Service: AVK W‰chter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst f¸r die Verwaltung logischer Datentr‰ger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Iomega Activity Disk2 - Iomega Corporation - C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
O23 - Service: IomegaAccess - Iomega Corporation - C:\WINNT\system32\IomegaAccess.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINNT\system32\SCardClnt.exe
O23 - Service: ZipToA - Iomega Corporation - C:\WINNT\system32\ZipToA.exe

___

Die "internat.exe" hatte ich in "internat.exel" in der Reg geändert.

Vielen Dank!

Herzliche Grüsse
Michael

@e-peoples
Das ist vergeblich, denn hier
steckt W32/Codbot
Du kannst noch die Datei hier überprüfen, aber ich gehe stark davon aus, dass meine Ferndiagnose stimmt.

Hallo Rene-gad,

das mit "W32/codbot - z" wusste ich schon. Habe auch schon mehrere Posts gesehen, welche Lösungen zeigen, wie das Teil dauerhaft zu killen gehen soll. Doch habe ich gerne noch eine zweite Meinung. (Man soll sich ja auch nicht nur auf einen Virenscanner verlassen).

Die vorgeschlagene Vorgehensweise ist:

Zuerst HijackThis in einen eigenen Ordner entpacken. Nicht direkt aus der Zipdatei ausführen. Computer in den abgesicherten Modus neustarten. In Dein übliches Benutzerkonto einloggen.
In Start - Ausführen eingeben: cmd
In dem Kommandofenster die folgenden Befehle eingeben und nach jedem die Eingabetaste drücken:
sc delete SCardClnt
(Systemsteuerung - Ordneroptionen - Ansicht - "Alle Dateien und Ordner anzeigen" aktivieren und "Geschützte Systemdateien ausblenden" deaktivieren.)
Die folgenden Dateien löschen:
C:\WINDOWS\System32\SCardClnt.exe
Den Inhalt der folgenden Ordner löschen: C:\Dokumente und Einstellungen\ph\Lokale Einstellungen\Temp C:\Dokumente und Einstellungen\ph\Lokale Einstellungen\Temporary Internet Files C:\Windows\Temp


_________

Macht dies Sinn? Sorry wenn ich so blöde frage, aber es ist immer ein großer Aufwand an den Computer zu kommen. Und ich möchte dies auf ein Minimum reduzieren.

Herzliche Grüsse
Michael

@e-peoples
Eigentlich keinen. Die Meinung von Microsoft kannst du hier lesen: http://www.microsoft.com/technet/com...mt/sm0504.mspx

Hallo Rene-gad,

ja dieses "Microsoft-Geständnis" kenne ich auch. Wie gesagt, bin schon lange am machen.....! Schei.... Windows.

O.K., dann halt die harte Tour! Danke nochmals!

Herzliche Grüsse
Michael :kloppen: