HiJackThis Log-File...könnt ihr bitte mal schauen
 

Hallo zusammen,

habe seit ein paar Wochen folgendes Problem:

PC ist sehr langsam geworden, hängt sich andauernd auf.
Habe schon verschiedene Virenprogramme laufen lassen, angeblich nichts gefunden.

Wenn ich ins Net möchte, geht entweder nur eine Website oder nur Outlook Expreß. Bin am Verzweifeln.

PC hängt sich auf, keien Rückmeldung...Taskmanager funktioniert dann auch nicht mehr...dauert ewig, bis der sich öffnet.

Dann sofort beenden-Dialogfeld...iexplore.exe...dann eine Datei von meinem Brother-Drucker...und explore.exe.

Dann gehe ich auf ´Neu starten´...und bei ´Benutzereinstellungen speichern´ fährt der PC einfach nicht runter...und ich mache ihn dann so aus.

Bitte bitte helft mir. Anbei mein Logfile.

Vorab vielen vielen Dank
viele Grüße
igad


Logfile of HijackThis v1.99.1
Scan saved at 13:07:10, on 16.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\dagmar hain\Eigene Dateien\pruefung.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [RemoveWGA] C:\Dokumente und Einstellungen\dagmar hain\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KFG1ULS9\RemoveWGA.exe -startup
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [HKLD] "C:\Programme\Lizard Safeguard PDF Viewer\HKLD.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Easy SpyRemover] C:\Programme\Easy SpyRemover\EasySpyRemover.exe /smart
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126025758671
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1126072488812
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3667D39A-4FB7-4F1F-9357-89D344D6871A}: NameServer = 194.97.173.124 194.97.173.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9471E45-AC8F-4C2D-A0A2-196CA6833BA6}: NameServer = 195.58.160.194,195.58.161.122
O17 - HKLM\System\CS1\Services\Tcpip\..\{3667D39A-4FB7-4F1F-9357-89D344D6871A}: NameServer = 194.97.173.124 194.97.173.125
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)

...braucht ihr noch irgendwelche Angaben?

Viele Grüße
igad

Geht es auch ohne zu drängeln? Hilfeleistung in Foren erfolgt auf der freiwilligen Basis, ergo muss man mit den verzögerten oder sogar keinen Antworten rechnen.
Überprüfe die Datei bei www.virustotal.com und poste das Ergebnis:
BTW: man soll die persönlcihen Daten aus den Logs entfernen.

Und zusätzlich wäre auch diese angebracht..

..zu überprüfen. ;)

Gruß
Sunny

Möglicherweise ;) WGA notification tool uninstaller (RemoveWGA.exe) - perubique - freeware opensource

Hallo,

es tut mir leid...es war kein Drängeln...:heulen:

Eigentlich war der logfile schon nach www.virustotal.com

Ich mache es gerne nochmal.

LG
igad

Das Logfile hat bei virustotal nichts zu suchen. Du müsstest die besagte Datei uploaden und Log von virustotal auswählen, kopieren samt die Zeilen mit MD5/SHA1-Prüfsummen und in deinen nächsten Posting einfügen.

sorry, welche Datei soll ich überprüfen?

Bin da leider nicht so fit...bitte nochmal zum Mitschreiben.

Danke
VG
igad

Klick hier : http://www.trojaner-board.de/268828-post3.html

also...das kam dann raus...

STATUS: QUEUEDYour file "pruefung.com" is queued in position: 315. Estimated start time is between 45 and 65 minutes.

Auf Deutsch heißt es: Also Bitte Warten.

Hallo,
das heißt jetzt :du hast Wartezeit in Kauf zu nehmen...

Versuche das gleiche bei diesem Prüfer :Online Malware scan

Lade dort die besagte datei ebenfalls hoch.
Irrlicht

okay...vielen Dank.

VG
igad

Ist noch schlimmer: Deutscher Server ist down, Englischer - hoffnungslos überlastet.

Das erklärt auch die derbe Wartezeiten bei Virustotal......
Ich wollte ja eben meinen Augen nicht trauen > 45 Minuten...:heulen:
Irrlicht

ist das hier ne Alternative? Virus.Org :: Malware Scanning Service

Bitte mal testen, falls jemand files hat...

so...virustotal hat fertig :Boogie:


STATUS: FINISHEDComplete scanning result of "pruefung.com", received in VirusTotal at 05.16.2007, 18:50:05 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.16.1 05.16.2007 no virus found
AntiVir 7.4.0.23 05.16.2007 no virus found
Authentium 4.93.8 05.15.2007 no virus found
Avast 4.7.997.0 05.16.2007 no virus found
AVG 7.5.0.467 05.15.2007 no virus found
BitDefender 7.2 05.16.2007 no virus found
CAT-QuickHeal 9.00 05.16.2007 no virus found
ClamAV devel-20070416 05.16.2007 no virus found
DrWeb 4.33 05.16.2007 no virus found
eSafe 7.0.15.0 05.16.2007 suspicious Trojan/Worm
eTrust-Vet 30.7.3634 05.15.2007 no virus found
Ewido 4.0 05.16.2007 no virus found
FileAdvisor 1 05.16.2007 No threat detected
Fortinet 2.85.0.0 05.16.2007 no virus found
F-Prot 4.3.2.48 05.15.2007 no virus found
F-Secure 6.70.13030.0 05.16.2007 no virus found
Ikarus T3.1.1.7 05.16.2007 no virus found
Kaspersky 4.0.2.24 05.16.2007 no virus found
McAfee 5032 05.16.2007 no virus found
Microsoft 1.2503 05.16.2007 no virus found
NOD32v2 2271 05.16.2007 no virus found
Norman 5.80.02 05.16.2007 no virus found
Panda 9.0.0.4 05.16.2007 no virus found
Prevx1 V2 05.16.2007 no virus found
Sophos 4.17.0 05.16.2007 no virus found
Sunbelt 2.2.907.0 05.12.2007 no virus found
Symantec 10 05.16.2007 no virus found
TheHacker 6.1.6.115 05.15.2007 no virus found
VBA32 3.12.0 05.16.2007 no virus found
VirusBuster 4.3.7:9 05.16.2007 no virus found
Webwasher-Gateway 6.0.1 05.16.2007 no virus found


Aditional Information
File size: 218112 bytes
MD5: ee86268e59e4b38961e7c40d16be5bb4
SHA1: e80e2933817b0ef854589faa90e52dc9749d4aad
packers: UPX
packers: UPX
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=ee86268e59e4b38961e7c40d16be5bb4
packers: UPX

Guten Morgen,

kann mir Jemand bitte weiterhelfen, wie ich diesen einen Virus beseitigen kann?
Und woran liegt es bitte, daß mein PC so langsam ist?

Vielen herzlichen Dank vorab und freundliche Grüße
igad

Nachtrag...das Ergebnis von OnlineMalwareScan

VG
igad


EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)
Entdeckte Packprogramme: UPX

A-Squared Keine Viren gefunden
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

Hallo,
scheint soweit alles in Ordnung zu sein......
Was die Geschwindigkeit betrifft,könnte man so einiges aus dem Autostart nehmen.Den siehst du hier. Da sind einige Programme dabei,die nach Updates suchen wollen und eventuell "nachHause telefonieren"....

Warum man überhaupt eine "Remove WGA" auf der Platte haben muß,erschließt sich mir nun wirklich nicht.Solange man kein geklautes Betriebssystem hat ,halte ich das für paranoide Wahnvorstellung....:teufel3:

Das Programm "Easy Spyware Remover" hast du gekauft ?
Gleiche Frage für das "Scansoft" Programm,hast du bezahlt dafür ?
Warum dein Drucker ständig nach Updates schielt,ist auch so eine Frage die sie dir bei "Brother" nicht wirklich werden beantworten können.Das muß nämlich nicht sein.
Also,du hast eine menge Programme auf der Kiste,die dasselbe machen und sich möglicherweise behindern.
Entweder wir schmeißen einiges davon runter,oder wir nehmen es aus dem Autostart...daher die Frage nach bezahlter Software.
Noch was....
Gehst du über ein W-Lan oder Router ins Netz ?
Irrlicht

Hallo,

danke für deine Antwort.

Da sind einige Programme dabei,die nach Updates suchen wollen und eventuell "nachHause telefonieren"....

Und welche bitte könnte ich entfernen?

Warum man überhaupt eine "Remove WGA" auf der Platte haben muß,erschließt sich mir nun wirklich nicht.

Das ´Remove WGA´ habe ich schon entfernt.

Das Programm "Easy Spyware Remover" hast du gekauft ?
Gleiche Frage für das "Scansoft" Programm,hast du bezahlt dafür ?

Das weiß ich nicht...wo kann ich das sehen?

Entweder wir schmeißen einiges davon runter,oder wir nehmen es aus dem Autostart...daher die Frage nach bezahlter Software.

Okay. Betriebssystem ist gekauft.

Gehst du über ein W-Lan oder Router ins Netz ?

Hab schon seit Jahren von der Telekom ein DSL Modem und einen Splitter. Mir reicht das. Bin derzeit leider noch bei freenet unter Vertrag.

VG
igad

Hallo,

In deinem Geldbeutel vielleicht ?:lach:
Du mußt doch wissen ob du solche Software gekauft hast,oder ob du mit einer freien Testversion arbeitest ?
Haben denn mehrer Leute Zugang zu diesem Rechner ?
Haben die möglicherweise Software bezahlt ?
Noch eine Frage...
Du nutzt als Scanner "Antivir". Siehst du unten in der Taskleiste rechts, einen aufgespannten Regenschirm ?
Immer ? Auch wenn du die Kiste gerade eingeschaltet hast ?
Irrlicht

Hallo,

In deinem Geldbeutel vielleicht ?:lach:

Haha...sehr witzig!!!

Du mußt doch wissen ob du solche Software gekauft hast,oder ob du mit einer freien Testversion arbeitest ?

Ich habe diese Software nicht gekauft.Nur ich alleine bin an diesem PC.

Du nutzt als Scanner "Antivir". Siehst du unten in der Taskleiste rechts, einen aufgespannten Regenschirm ?
Immer ? Auch wenn du die Kiste gerade eingeschaltet hast ?

Er spannt sich während des Hochfahrens auf. Dann ist der Regenschirm unten rechts die ganze Zeit aufgespannt. Ja.

VG
igad

Hallo,
gut ,dann fangen wir mal an.....

Was ich mit diesen Zeichen " " einfasse,dient nur deiner Information was du eingeben sollst oder der Kenntlichmachung was gemeint ist,du läßt diese Zeichen weg.
Öffne das Programm "Spybot Search & Destroy.Im Programm findest du oben links einen Reiter "Modus".Klicke den und stelle auf "erweiterter Modus".Du erkennst die richtige Einstellung am Haken vor dem Modus.Klicke nun auf "Werkzeuge",unten links.Es öffnet eine graue Leiste.Suche darin nach "Resident" und klicke.Du siehst nun ein großes Fenster.Darin sind zwei Kästchen angegeben "Status des permanenten Schutzes".Nimm aus diesen beiden Kästchen,beide Haken raus.Bestätige das du das so willst,wenn Spybot nachfragt.Schließe das Programm.Du hast nun den "TeaTimer" von Spybot ausgeschaltet.Er könnte sonst versuchen ,uns in die Suppe zu spucken....
Auf dem gleichen Weg ,machst du später die Haken wieder rein.
Möglicherweise fragt Spybot dann nach ob du das alles so haben willst.Bestätige das dann eben....

Start > ausführen gib ein "msconfig", >ok
Im Fenster suchst du den Reiter oben "Systemstart",klicke ihn.
Nimm dort alle Haken raus,bis auf diese hier :

Vergewissere dich ,das die aufgeführten Namen mit Haken versehen sind und das die anderen Haken weg sind.
Klick "übernehmen" und schließe es
Du wirst gefragt werden ob du einen Neustart machen willst.
Mach einen....
Es sollte dann beim Hochfahren nochmals ein Fenster kommen,das dir mitteilt daß etwas verändert wurde und ob das so ok wäre.
Dabei ist ein Haken zu machen an der Stelle,wo du gesagt bekommst das diese Warnung nun nicht mehr immer gezeigt werden soll.
Auch das solltest du machen.
Nun sollte dein Startvorgang wesentlich flüssiger verlaufen.Auch irgend welche Einblendungen dürften sich erledigt haben.
Berichte dazu,dann gehts weiter.....
Irrlicht

Hallo,

so...habe nun alles so ausgeführt wie du beschrieben hast.

Der PC läuft nun wesentlich schneller...toll!!!
Ich kann Website und Outlook gemeinsam öffnen, konnte
ich schon lange nicht mehr :daumenhoc

Und nun?

VG
igad

Hallo,
so habe ich mir das gedacht.....

Neue Aufgabe....

start > Systemsteuerung > je nach eingestellter Ansicht ,entweder >Netzwerk und Internetoptionen > Netzwerkverbindung
oder gleich nach Netzwerkverbindung gehen.
Du solltest nun mehrer Verbindungsmöglichkeiten sehen.Eine davon heißt "Lan-Verbindung",mache einen Rechtsklick darauf und dann normal klicken auf "Eigenschaften"
Unter dem Reiter "allgemein" findest du ein kleines Fenster,drüber steht "diese Verbindung verwendet folgende Elemente"
Entferne dort drin alle Haken die möglich sind.Du brauchst das nicht,nur Windows weiß das nicht und sucht danach.Die Zeit der Suche sparst du dir und Windows....
Neustart nach Belieben...sollte jetzt schneller dasein ,die Kiste...:Boogie:
Thema Firewall :
Schau im Sicherheitscenter nach (anklicken,Symbol in der Leiste unten),ob die aktiv ist.Windows hat eine eigene die normalerweise genügt.

Schau unter Start > Software
Kannst du dieses Programm finden,dann lösche es dort :Du brauchst das nicht,du hast "Antivir" und "Spybot" das genügt vollkommen.

Dann müssen wir noch über Outlock und einen ordentlichen Browser sprechen......
Irrlicht

komisch...nun ist er auf einmal wieder langsamer.
Hab noch mal alles überprüft. Verstehe ich nicht.

Was war eigentlich mit dem ´aufgespannten Schirm´?
Deaktivieren, während der PC an ist?

VG
igad

Hallo,

Nein,nein....das ist dein Virenwächter der auf dich aufpassen soll.
Heute morge war ich noch nicht ganz da....:party: und hab im Log was nicht gesehen.....:rolleyes:
Mache mal einen Rechtsklick auf den Schirm und klicke dann "Update starten"
Er sucht nun nach Neuem und wenn er fertig ist beendet er sich von selbst.Eventuell siehst du ein großes Werbefenster,ist aber ok. ....die müssen ja auch leben...:heilig:

Kann ich mir fast nicht vorstellen......Neustart gemacht ?
War die Winowseigene Firewall aktiv ? Oder mußtest du die anschalten ?
Ist der Spyware Remover gelöscht ?
Dann erstelle mal ein neues Logfile von Hijackthis.Einfach nochmal laufen lassen.
Achte darauf das neueste Log zu kopieren.
Irrlicht

Hallo,

nochmal mein logfile

VG
igad


Logfile of HijackThis v1.99.1
Scan saved at 14:43:45, on 17.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\dagmar hain\Lokale Einstellungen\Temp\wz237d\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [RemoveWGA] C:\Dokumente und Einstellungen\dagmar hain\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KFG1ULS9\RemoveWGA.exe -startup
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126025758671
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1126072488812
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3667D39A-4FB7-4F1F-9357-89D344D6871A}: NameServer = 194.97.173.124 194.97.173.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9471E45-AC8F-4C2D-A0A2-196CA6833BA6}: NameServer = 195.58.160.194,195.58.161.122
O17 - HKLM\System\CS1\Services\Tcpip\..\{3667D39A-4FB7-4F1F-9357-89D344D6871A}: NameServer = 194.97.173.124 194.97.173.125
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)

Hallo,
aha....

Im Programm "Hijackthis" diese drei Einträge fixen.
Geht so : Hijackthis laufen lassen danach vor diese drei Einträge einen Haken setzen und unten auf "fix checked" klicken.
Der Remove WGA sucht sich selbst...
Dein Drucker ist hartnäckig.....
Der Spamfighter will sich updaten....
Brauchen wir nicht......

Diese auch fixen,sind Reste von Kontrollen die du gemacht hast...:)

Schau dir die zu fixenden Dinger an,damit du keine falschen erwischt.

Dann wären noch meine Fragen von vorher zu beantworten...
Sonst weiß ich nicht wie der Stand der Dinge ist....:heulen:
Du darfst auch gerne etwas zum allgemeinen Verhalten deines Compis sagen.....:daumenhoc
Weißt du "Daggi"...Informationen sind wichtig.....:D
Du hast Arbeit und ich eine Kaffeepause.....:Boogie: gibt lecker Schokokuchen.....
Irrlicht

Hallo,

hab schon wieder das gleiche Problem.
Kann entweder nur Outlook oder nur eine Website öffnen.
Er hängt schon wieder.

VG
igad

Hallo irrlicht,

mache ich.

VG
igad

Hallo irrlicht,

na dann einen GUTEN beim Schokokuchen.
Bei mir gibt´s heute leider nur Kaffee.

Ach ja, heute ist ja Vatertag...und da tummelst du dich
hier im Forum rum?

VG
igad

Vielen Dank!
 

Hallo irrlicht,

Dein Drucker ist hartnäckig.....

Allerdings, diese Datei läßt sich nicht fixen, mehrmals probiert.

Der Spamfighter will sich updaten....

Diese Datei war komischerweise gar nicht mehr da :confused: .

Im Moment läuft der PC gut, nicht zu schnell und nicht zu langsam :daumenhoc .

Erstmal vielen Dank für deine Hilfe. Wenn ich wieder Probleme mit meinem PC habe, darf ich mich doch an dich wenden?

Ach so...was war jetzt mit meinem Wurm, der doch erkannt wurde?

Und was meintest du mit anderem Browser und Outlook...ist IE nicht okay?

VG
igad

Hallo,

Geht mich ja im Prinzip nix an....und zum "Sinnlos im Freien saufen" ist das Wetter hier nicht geeignet...:)

Nochmal nachsehen. Start > ausführen eingeben "msconfig" und unter Systemstart nachsehen ob der Drucker immer noch mit dabei sein will.Rausnehmen ,Haken wegmachen.
Du weißt ,das wenn du einmal auf einen Eintrag klickst und der blau ist,dann kannst du das Fenster runterrollen und ALLE Einträge ansehen ?

Erschreck mich nicht so...:eek:
Du hast keinen Wurm....

Das ist das Thema Softwarekunde.....:Boogie:

Der Internet Explorer ist ein sehr anfälliger Browser. Der wird immer wieder von den "bösen Buben" genommen,eben weil er so leicht zu manipulieren ist.....

Eine sehr viel bessere Alternative ist der Mozilla Firefox.
Er hat diverse Lücken nicht,die im IE vorhanden sind.Er ist schneller und genau so komfortabel.....

In etwa das Gleiche betrifft Outlook.Das ist zwar in letzter Zeit nicht mit üblen Lücken aufgefallen,aber die richtige Einstellung von Outlook ist nicht einfach.....
Es ist immer noch relativ einfach ,einem schlecht eingestellten Outlook schädliche Dateien unterzujubeln.....

Aber auch dafür gibt es etwas Besseres.Das Mailprogramm heißt Thunderbird.
Es ist ein direkter Verwandter von Firefox.Beide sind aufeinander abgestimmt und funktionieren sehr gut zusammen....
Somit könntest du den IE völlig links liegen lassen und Outlook daneben......
Ich weiß daß man sich von einmal gewohnten Sachen ungern trennt......
Mit Firefox und Thunderbird wird man sich aber schnell wohlfühlen.......

Schau es dir mal an :Die deutsche Mozilla Firefox-Website im Internet
Links unten auf der Seite stehen "Tips"...ist echt easy damit....:Boogie:


Grundsätzlich gilt :
* mit einem "eingeschränkten Benutzerkonto" surfen
* mit einem sicheren Browser surfen
* Windows Updates automatisch einspielen lassen,wenn welche da sind
*E Mail Anhänge nicht mal mit der Kneifzange anfassen,sondern sofort löschen
* keinen Link oder Datei nehmen,aus Messenger oder ICQ,egal von wem

Somit hast du sicher 90% aller Probleme ausgeschlossen.......
Bei den restlichen 10 % mußt du halt hier nachfragen...:heilig:
Irrlicht

Hallo irrlicht,

auf einmal geht gar nichts mehr.
Ich bin froh, daß ich wenigstens diese Antwort schreiben kann.

Ich verstehe das einfach nicht...hab alles nochmal überprüft.

Die Datei vom Drucker krieg ich nicht weg.

Kann nicht mal auf START klicken, da tut sich nichts.

Muß manuell runterfahren, Taskmanager funktioniert nicht.

Vorhin hat er mal kurz explorer.exe SOFORT BEENDEN angezeigt.

Hilfeeeee

VG
igad

So Ordell , erty :party:

Hab ich einen Fehler gemacht ? was übersehen ?
Ist es doch ein Router ?
Eigentlich müßte die Kiste doch flutschen,wie ein Einser...:confused:
Irrlicht

jetzt geht wieder mal was.

Bitte irrlicht...bitte nochmal nachsehen.

Danke
igad



Mein Logfile

Logfile of HijackThis v1.99.1
Scan saved at 18:19:53, on 17.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\...\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126025758671
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1126072488812
O17 - HKLM\System\CCS\Services\Tcpip\..\{3667D39A-4FB7-4F1F-9357-89D344D6871A}: NameServer = 194.97.173.124 194.97.173.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9471E45-AC8F-4C2D-A0A2-196CA6833BA6}: NameServer = 195.58.160.194,195.58.161.122
O17 - HKLM\System\CS1\Services\Tcpip\..\{3667D39A-4FB7-4F1F-9357-89D344D6871A}: NameServer = 194.97.173.124 194.97.173.125
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)

Hallo,

es dauert ungefähr 10 -20 min, dann funktioniert der PC.

Nein, kein Router.

VG
igad

Hallo zusammen,

das log-file ist meiner Meinung nach unauffällig, aber das heißt ja heute nicht viel. Ich würde einen scan mit silentrunners vorschlagen und einen escan nach dieser Anleitung im abgesicherten Modus. Vielleicht isses auch nur ein Treiberproblem.

@Daggi: ->bitte Rechtsklick mit der Maus, Ziel speichern unter... silentrunners.vbs ausführen, log posten

Lies dir die Anleitung zu escan genau durch, das spart im Nachhinein Zeit bei der Hilfe. Poste das Log der find.bat.

Gruß ordell

Hallo,
möglicherweise ist dein Rechner noch beleidigt wegen dem WGA.
Über Start > alle Programme >links oben "Microsoft Update" anklicken.Der Rest geht automatisch.
Wird dir ein Update angeboten,nimm es
Kommt eine Fehlermeldung,poste sie im Wortlaut.
Irrlicht

Du vermutest doch Malware,ordell ?
Ist doch ein Log wie aus dem Bilderbuch....:confused:

@dagi
Gut gehen wir auf Nummer ganz sicher !
Arbeite die Vorschläge von Ordell ab.
Fange mit dem Silent Runners an und poste gleich das Ergebniss.
Irrlicht

Hallo,

silent runners hat funktioniert, bei escan hängt er sich auf.

VG
igad


"Silent Runners.vbs", revision R50, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_11\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Germany GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{8e9d6600-f84a-11ce-8daa-00aa004a5691}" = "Shell extensions for NetWare"
-> {HKLM...CLSID} = "NetWare Objects"
\InProcServer32\(Default) = "nwprovau.dll" [MS]
"{e3f2bac0-099f-11cf-8daa-00aa004a5691}" = "Shell extensions for NetWare"
-> {HKLM...CLSID} = "NetWare UNC Folder Menu"
\InProcServer32\(Default) = "nwprovau.dll" [MS]
"{52c68510-09a0-11cf-8daa-00aa004a5691}" = "Shell extensions for NetWare"
-> {HKLM...CLSID} = "NetWare Hood Verbs"
\InProcServer32\(Default) = "nwprovau.dll" [MS]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\System32\upnpui.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"sprestrt" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
NetWareUNCMenu\(Default) = "{e3f2bac0-099f-11cf-8daa-00aa004a5691}"
-> {HKLM...CLSID} = "NetWare UNC Folder Menu"
\InProcServer32\(Default) = "nwprovau.dll" [MS]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\dagmar hain\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Active Desktop web content (hidden if disabled):

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = ""
"Source" = "http://i.friendscout24.de/dating/img/s.gif"
"SubscribedURL" = "http://i.friendscout24.de/dating/img/s.gif"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\ssstars.scr" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000005\LibraryPath = "C:\WINDOWS\system32\pnrpnsp.dll" [MS]
000000000006\LibraryPath = "C:\WINDOWS\system32\pnrpnsp.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 29
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Germany GmbH"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Germany GmbH"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.5.0_11"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_11\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_11"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll" ["Sun Microsystems, Inc."]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=http://www.tiscali.de

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Brother Popup Suspend service for Resource manager, brmfrmps, ""C:\WINDOWS\system32\Brmfrmps.exe" -service " ["Brother Industries, Ltd."]
BrSplService, Brother XP spl Service, "C:\WINDOWS\System32\brsvc01a.exe" ["brother Industries Ltd"]
Einfache TCP/IP-Dienste, SimpTcp, "C:\WINDOWS\System32\tcpsvcs.exe" [MS]
IPv6-Hilfsdienst, 6to4, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\6to4svc.dll" [MS]}
RIP-Überwachung, Iprip, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\iprip.dll" [MS]}


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Brother Internet Port\Driver = "C:\WINDOWS\System32\BIP_MON.DLL" ["Brother Industries, Ltd."]
LPR Port\Driver = "lprmon.dll" [MS]


----------
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 92 seconds, including 18 seconds for message boxes)

Hallo zusammen,

heute morgen hatte ich mal escan durchgeführt (eben läuft er noch),
er hatte 300 Fehler entdeckt und ich glaube 13 Viren.

Dann hat sich die Prüfung immer wiederholt, wie eine Schleife, stundenlang,
er hörte gar nicht auf. Da habe ich auf ABBRECHEN geklickt.

Mal sehn, was jetzt passiert...das Ganze hat fast 3 Stunden gedauert.

Microsoft update will nicht...er findet und findet nichts.

Mag nicht mehr :heulen: oder lieber das ? :kloppen: :kloppen: :kloppen:

Scheiß PC

VG
igad

Warte noch den escan ab. Bleibt er hängen, brich ab. Speichere die find.bat unter c:\, öffne die Kommandozeile (Start -> Ausführen -> cmd, gib "cd\" ein, am Prompt sollte jetzt C:\ stehen, und dann gib "find.bat 3" ein). Poste das log von escan_neu.txt. Gruß

Hallo,

Wann hast du das gemacht ?
Während wir am löschen und umbauen waren ?
EScan dauert solange, das ist normal
Warte und behalte die Nerven.....

Aber ich gehe jetzt mal raus und schreie......
Dabei hatte ich dir doch extra gesagt,Informationen sind wichtig deshalb sag was du machst,ob es funktioniert hat...:heulen:
Irrlicht,
der mit seiner Fassung ringt...:balla:

Hallo,

nein, nicht während wir gelöscht haben. Nachher.
Wie gesagt, escan hat sich ja aufgehängt...und jetzt wieder.

Ich schreie mit...hatte vorhin auch mal nen Anfall, das hilft sogar :headbang:

:rolleyes:

VG
igad

Hallo irrlicht, hallo ordell,

es dauert ungefähr 10 min, bis sich die Websiten öffnen.
Dann funktioniert alles einwandfrei.

Mit escan...probiere ich heute nochmal.

VG
igad

escan erstellt sein log während des scans. Sollte der scan also nicht durchlaufen, kannst du trotzdem die find.bat nutzen und wenigstens den Teil posten.

Hallo zusammen,

mein PC läuft immer noch zu langsam.
Nun bootet er auch noch zu langsam.

Ich mache erstmal gar nichts mehr.

Eine Bitte habe ich, könnt ihr bitte meine threads löschen,
oder wenigstens meinen Namen in den logfiles?

Hatte es vergessen.

Wenn man seinen PC so offenbart, ist es doch eine Leichtigkeit
für die ´Hacker´, was zu verändern, oder?

Daran denkt man erst gar nicht.

Auch die vielen Virenprogramme, die angeboten werden...Jeder hat eine
bessere PC-Überwachung. Manchmal habe ich das Gefühl, es ist so eine
Art Konkurrenzkampf zwischen diesen Firmen der sogenannten ´Virenwächter´, und es wird bewußt manipuliert. Wer weiß :confused:

Wenn nicht soo viele Probleme auftauchen würden, und es tauchen täglich EINIGE auf...dann wärt ihr ja fast arbeitslos :). Das war jetzt nicht böse gemeint. Es ist gut, daß ihr da seid...und wir PC-Laien euch fragen dürfen.

Danke nochmals und viele Grüße
Dagmar

Am Besten:

Suche Dir jemanden der sich mit PC´s auskennt und lass die Kiste neu aufsetzen.Dann möglichst mit so wenig Software wie möglich.

Wenn ich an unserem Institut für Informatik solche Mega langen Logfiles sehe setzen wir die Kisten sowieso wieder zurück.

Manchmal oder ganz oft ist platt machen einfacher als rum reparieren.

Viel Glück und die Jungs hier haben wirklich alles gegeben.:daumenhoc

Gruss

Docbrown

@DocBrown

Suche Dir jemanden der sich mit PC´s auskennt und lass die Kiste neu aufsetzen.Dann möglichst mit so wenig Software wie möglich.

Danke für den Tipp :daumenhoc Eigentlich habe ich wenig Software drauf, halt das Übliche.

Ich denke, ich habe nur Positives über euch gesagt.

Wenn ich an unserem Institut für Informatik solche Mega langen Logfiles sehe setzen wir die Kisten sowieso wieder zurück.

Genau...am besten gleich einen neuen PC kaufen, wenn der ALTE nicht mehr funktioniert...und die Wirtschaft ankurbeln...da bin ich mit dir einer Meinung :knuddel: .

Manchmal oder ganz oft ist platt machen einfacher als rum reparieren.

Mit neuer Festplatte und Betriebssystem neu draufladen, ist es dann auch nicht mehr getan, oder? Einfach alles neu! :Boogie:

Viel Glück und die Jungs hier haben wirklich alles gegeben.:daumenhoc

Nochmals herzlichen Dank euch allen...und das ist ehrlich!!!

VG
Dagmar

Hallo,
ob sie wohl nochmal vorbei schaut....?:confused:
Wenn die Kiste jetzt auch noch langsam bootet,möchte ich noch einen letzten Vorschlag machen....
Hast du dein Handbuch zu deinem Compi in Griffweite ?
PC´s haben sowas wie einen eingebauten Schutzmechanismus.Wird es zu dolle,fährt der Computer die Leistung selbst zurück.Solches geschieht im BIOS.
Wie du dahinein gelangst,sollte dir dein Handbuch erzählen.Ist eine Tastenkombination,die jeder gern ein bissel anders macht.
Desweiteren sollte das Büchlein verraten,wie deine CPU getaktet ist.Das wird in "MHz" mit einer Zahl dargestellt.
Der Selbstschutz wird dann dahingehend manipuliert,in dem das BIOS den Takt runternimmt.
Alles geht super langsam,weil die CPU auf superlangsam gestellt wird.
Das kann dann zurückgestellt werden......
Aber erst mal : Hast du ein Handbuch ,findest du die tastenkombination ?
Irrlicht