System noch zu retten oder Neuinstallation ?
 

Hallo zusammen,

erstmal bin ich froh darüber dieses Forum gefunden zu haben.

Mein Problem besteht seit Freitag...und zwar kam ich da nicht mehr ins Internet. Nach einigem rumgucken und rumlesen kam ich endlich darauf das im NDIS-Benutzermodus das E/A Protokoll von automatisch auf deaktiviert stand :crazy::confused:

Hab dann dank regedit die Zahl von 4 auf 2 geändert (also wieder auf automatisch) und Neustart ausgeführt. Dann funzte das Internet wieder, aber sehr langsam.

Nach einem Speedtest stellte ich fest das ich statt einer DSL 6000 Leitung unter einer DSL 1000 Leitung lag mit meinen Werten :eek::(

Beim nächsten Hochfahren des PC´s ging das Internet wieder nicht. Ich guckte unter regedit nach und die Werte hatten sich wieder von 2 auf 4 gestellt, also wieder NDIS deaktiviert :koch:

Tja und so ging das ganze los... mein Virenscanner ging nicht mehr, meine Firewall auch nicht mehr. Habe dann alles deinstallieren müssen und habe ein Online Scanning gemacht. Und dabei kam glaub ich nix gutes bei raus :(

Denke mein PC ist verseucht, ist nur die Frage...kann man ihn retten oder muss ich wirklich eine Neuinstallierung machen ? Und was kann ich für Daten vorher retten ? Habe sehr viele Fotos, Programme usw.

Vielleicht kann mir jemand von euch helfen. Habe hier ein Hijack-Protokoll und eine eScan-Protokoll erstellt. Habt Nachsicht wenn das Protokoll falsch sein sollte, bin aber Neuling auf diesem Gebiet :(

Vielleicht kann mir jemand was dazu sagen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:15:53, on 21.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe
D:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\MemOptimizer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\DOKUME~1\Miguel\LOKALE~1\Temp\mexe.com
C:\DOKUME~1\Miguel\LOKALE~1\Temp\kavss.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://vaya.netfirms.com/best/lan
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [cFosSpeed] F:\Programme\CFos-Speed\cFosSpeed.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NokiaMServer] C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles
O4 - HKLM\..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [Norman ZANDA] C:\VIRUSfighter\Bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] D:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /dropdisc
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\MemOptimizer.exe" autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - h***://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Programme\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee Services (mcmscsvc) - Unknown owner - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe (file missing)
O23 - Service: Norton Ghost - Symantec Corporation - D:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - D:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SPYWAREfighterRP - Unknown owner - C:\Programme\SPYWAREfighter\spfprc.exe (file missing)
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 9145 bytes

Und hier das eScan-Protokoll:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.6.7
Sprache: German
Virus-Datenbank Datum: 1/18/2008

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sw Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "softomate toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "softomate toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "softomate toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Aktion vorgenommen.
System found infected with egroup Spyware/Adware (access.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\wintems.exe infiziert von "Email-Worm.Win32.Bagle.of" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\mdelk.exe infiziert von "Email-Worm.Win32.Bagle.of" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\Miguel\LOKALE~1\TEMPOR~1\Content.IE5\DR19JOKE\b64_2[1].jpg infiziert von "Trojan.Win32.Pakes.bwy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\Miguel\LOKALE~1\TEMPOR~1\Content.IE5\GMC6FIMK\b64_3[1].jpg infiziert von "Email-Worm.Win32.Bagle.of" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Miguel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DR19JOKE\b64_2[1].jpg infiziert von "Trojan.Win32.Pakes.bwy" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Miguel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GMC6FIMK\b64_3[1].jpg infiziert von "Email-Worm.Win32.Bagle.of" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2C571264-C01F-4422-BA29-BCF8E96618E7}\RP4\A0000333.exe infiziert von "Email-Worm.Win32.Bagle.of" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2C571264-C01F-4422-BA29-BCF8E96618E7}\RP4\A0000336.exe infiziert von "Email-Worm.Win32.Bagle.of" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2C571264-C01F-4422-BA29-BCF8E96618E7}\RP6\A0000510.exe infiziert von "Email-Worm.Win32.Bagle.of" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2C571264-C01F-4422-BA29-BCF8E96618E7}\RP6\A0000511.exe infiziert von "Email-Worm.Win32.Bagle.of" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2C571264-C01F-4422-BA29-BCF8E96618E7}\RP8\A0000643.exe infiziert von "Email-Worm.Win32.Bagle.of" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2C571264-C01F-4422-BA29-BCF8E96618E7}\RP8\A0000645.exe infiziert von "Email-Worm.Win32.Bagle.of" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2C571264-C01F-4422-BA29-BCF8E96618E7}\RP8\A0000672.exe infiziert von "Email-Worm.Win32.Bagle.of" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{2C571264-C01F-4422-BA29-BCF8E96618E7}\RP8\A0000673.exe infiziert von "Email-Worm.Win32.Bagle.of" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\mdelk.exe infiziert von "Email-Worm.Win32.Bagle.of" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\cmdow.exe markiert als "not-a-virus:RiskTool.Win32.HideWindows". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{2C571264-C01F-4422-BA29-BCF8E96618E7}\RP16\A0003280.exe markiert als "not-a-virus:AdWare.Win32.Craagle.19". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\cmdow.exe markiert als "not-a-virus:RiskTool.Win32.HideWindows". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Programme\access.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Miguel\Eigene Dateien\bewerbung\sw
Offending Folder found: C:\Dokumente und Einstellungen\Miguel\Lokale Einstellungen\anwendungsdaten\winamp toolbar\ietoolbar
Offending Folder found: C:\Dokumente und Einstellungen\Miguel\Lokale Einstellungen\Anwendungsdaten\winamp toolbar\ietoolbar
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\winamp toolbar\ietoolbar
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCR\magnet !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e27a50aa-4ba1-11d9-beba-806d6172696f} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
E:\Neu\XPand Rally\Xpand.Rally.(CD1).{ULTiMA}.iso nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 163260
Gefundene Viren: 26
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 53
Dauer des Scans bisher: 13:42:32
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 6:26:24,67
Batchende: 6:26:45,85

Schade...zu spät zum editieren :crazy:

Wollte noch dazu sagen, dass diese Situation alles auf meinem Desktop-PC passiert. Allerdings funzt das Internet mit dem Laptop auch nicht richtig. Mit dem Laptop zeigt er mir unter Speedtest auch statt einer 6000´er Leitung nur Werte unter einer 1000´er Leitung :confused::eek:

Wie kann das sein ? Mit dem Laptop gehe ich über den W-Lan-Stick über den W-Lan Router ins Internet und habe keine Verbindung mit meinem Desktop-PC !

Trotzdem mit infiziert oder liegen meine Probleme nicht an einem Virus ??? Ich weiss echt nicht mehr weiter :confused::heulen::heulen:

Hat keiner eine Vermutung oder gar Lösung ?

Falls ich das Problem nicht ausführlich genug beschrieben habe oder ich das Protokoll falsch dargestellt habe, sagt es mir bitte.

Hi,

DSL 6000 abschließen heißt nicht, dass sie dir das Tempo garantieren. Es gibt Plätze, da ist es technisch nicht möglich, dennoch kann man dort Verträge über DSL 6000 oder gar 15000 abschließen. Wenn das Internet auf verschiedenen Computern gleich langsam ist, dann liegt es nahe, die Ursache dafür außerhalb dieser Computer zu vermuten.


Dein oben mit Logs geschildertes System mit dem Bagle solltest Du aber neu installieren. Reine Daten kannst du natürlich sichern, z.B. Fotos, Musik, Texte. Programme gehören aber danach vom Originaldatenträger neu installiert. Sachen wie Firefox usw. eben neu runterladen (natürlich auf einem sauberen System).

Gruß, Karl

Danke schonmal für deine Antwort.

Ja das mit dem DSL weiss ich ja, steht ja überall BIS zu ...und deswegen garantieren sie dir das nicht, aber ich hatte bisher immer so um die 4500 bis 5000 bits/s lt. Speedtest und nun nur noch 350 bits/s download. Und gleichzeitig halt die Viren usw. Da stimmt was nicht...

Naja aber das ich am Laptop auch nicht die normalen Werte zwischen 4-5000 bekomme wundert mich. Hatte wie gesagt nie Probleme mit der Geschwindigkeit.

Und du meinst ich muss also doch format C: machen :( ? Oder besser gesagt Fotos usw. speichern auf CD, DVD und dann komplett platt machen ?

Au Mann das ist gar nicht gut :(

So...werde nun mein System neu aufsetzen und habe hier im Forum ja auch schon eine super Anleitung gefunden.

Eine Frage habe ich aber noch: Was ist mit Passwörtern ändern gemeint ? Nur das bei Windows und Router oder auch überall wo ich angemeldet bin (versch. Foren usw.) ?

Auch überall, wo du angemeldet bist. Gerade dort.
Aber natürlich erst nach der Neuinstallation.

Vielen Dank

Nach der Installation ist klar :D

OK dann weiss ich ja jetzt womit ich mein kommendes WE verbringen werde :balla::rolleyes:

An was man alles denken muss bei einer Neuaufsetzung von XP... :pukeface:

Naja dafür hab ich dann hoffentlich, wenn alles klappt, wieder ein schön aufgeräumten PC :D

Hoffe ich vermisse nicht allzuviele Programme, die ich installiert hatte :(

Hab mir viele Screenshots gemacht damit ich weiss wie mein PC aussah und was alles installiert war. ;)

Diese Anleitung sollte dir die eine oder andere Sorge abnehmen. ;)
Die hattest du doch sicher von Originalmedien oder aus Original-Downloadquellen, oder? Wenn nicht, sollte es auch nichts zu vermissen geben. :rolleyes:
Jedem wie er's mag. :D

Genau DIE Anleitung meinte ich, die ich hier im Forum gefunden habe. Ist echt genial, aber viel abzuarbeiten ;)

Ja die Programme sind alle legal wie z.B. Winamp, Nokia-Software und diverse Freeware usw.

Vielleicht mach ich mir auch zuviel Gedanken, dass ich was vergessen könnte :rolleyes:

Naja ich werde es merken was mir fehlt, wenn es drauf ankommt und ich das ein oder andere machen möchte am PC. :huepp:

Priorität hat erstmal ein "sauberes" System hinzubekommen und dieses dann richtig abzusichern und da denke ich bin ich jetzt schlauer :D

Hallo zusammen,

so...hab es endlich geschafft mein System neu aufzusetzen mit allem was dazu gehört. Also Partitionen gelöscht und Platten formatiert usw.

Dann als erstes sofort eine Firewall plus Antivirus-Programm installiert usw. und scan gemacht.

Jetzt zeigt mir Kaspersky etwas seltsames an und zwar:

not-a-virus:RiskTool.Win32.HideWindows

Meiner Meinung nach ist dies doch kein Virus oder ? :confused: Gehört das nicht zum Windows-System ? Kann ich diese Datei als "vertraut" abhacken unter Kaspersky ?

Wie gesagt das System ist ganz frisch aufgesetzt und ich hoffe ich habe auch alle Windows Updates drauff :rolleyes:

Hoffe ihr könnt mir helfen...möchte mein System nicht gleich wieder "verdreckt" haben, trau mich aber nicht einfach etwas zu löschen ohne das ich weiss, ob ich damit schlimmeres anstelle :heulen:

Saludos

Miguelito

Hallo Miguelito :)

Kannst Du bitte die ganze Meldung posten?

Bei was meckert KIS?

Gruß cad

Hi cad,

danke dir schonmal das du dir mir annimmst :daumenhoc:)

Also so im normalen PC-Betrieb meckert Kaspersky nicht, aber wenn ich einen Komplett-Scan über den PC laufen lasse, kommt als z.B. root-kit die Meldung not-a-virus:RiskTool.Win32.HideWindows.

Bin noch bei der Arbeit, aber werde heute abend mal die ganze Meldung posten was Kaspersky ausspuckt.

Bis später dann

Miguelito

Also wenn du rootkits auf deinem pc hast, würde ich auf jeden Fall neuaufsetzen.

Mit dem KAspersky kannst du ja explizit nach rootkits suchen und das hab ich angeklickt und dann erscheint halt diese Warnung:

Datei c:\windows\system32\cmdow.exe, gefunden: potentiell gefährliche Software 'not-a-virus:RiskTool.Win32.HideWindows'.

Kaspersky sagt: Not a virus ? Ja was denn jetzt ?

Aber eigentlich kann da nix sein, weil ich wie gesagt das System ganz neu aufgesetzt habe. Partitionen gelöscht und Platten formatiert, Kaspersky drauf plus Firewall usw. und dann komplett einmal nach Viren gesucht. Da erschien o.g. Meldung das erste Mal und dann hab ich nochmal extra auf root-kit Scan geklickt und dann erschien die Meldung auch :confused:

Jetzt frag ich mich, ob Kaspersky zu "vorsichtig" ist und die Datei falsch einschätzt oder ob ich wirklich noch einen Virus oder rootkit drauf habe, wo ich mich frage woher ? :headbang:

Könnte ein Hijag-Logfile helfen ? Oder wie soll ich mich verhalten ?

Wenn ich das System nochmal neu aufsetze ändert sich ja nix dran, da ich das ja schon gemacht habe :schmoll:

EDIT: Hab das jetzt noch gefunden... ist cmd.exe also harmlos und versteckt nur ein "Fenster" also doch Fehlalarm ?

Xp-iso Builder Virus Gefunden ........ - WinFuture-Forum.de und dies http://www.trojaner-board.de/47109-cmdow-exe-virus.html

Hier hat er auch noch was gefunden :mad:

gefunden: potentiell gefährliche Software not-a-virus:RiskTool.Win32.HideWindows Datei: C:\System Volume Information\_restore{34677FD6-4C76-49C8-8D14-8ABE1D851C5A}\RP14\A0001879.exe

gefunden: potentiell gefährliche Software not-a-virus:RiskTool.Win32.HideWindows Datei: C:\System Volume Information\_restore{34677FD6-4C76-49C8-8D14-8ABE1D851C5A}\RP8\A0001715.exe

Ein Rootkit ist ja eigentlich auch kein virus.
Es dient dazu, um Prozesse und Dateien zu verstecken.
Es kann z.b alle Dateien mit einem bestimmten Dateinamen vor dir verstecken.
(Dies könnten nun aber Dateien eines Trojaners sein)

Hallo :)

zu Deiner Beruhigung lädst die Datei hier oder hier hoch und läßt die auswerten.

Ich würde mich wundern, wenn die nicht o.k. wäre.
Wenn alles o.k. ist->Zur vertrauenswürdigen Zone hinzufügen oder bei jedem Scan die Meldung erhalten.



Wenn Du wirklich anhand dieser Anleitung alles befolgt hast-> dann lautet die Antwort ja.
Weder noch. ich schätze, Du hast das hier angehakt?
http://member.file-upload.net/cad/thumb/vi1gc2.jpg

Hast Du Dir durchgelesen, was das bedeutet?


C:\System Volume Information\_restore{34677FD6-4C76-49C8-8D14-8ABE1D851C5A}\RP14\A0001879.exe
und C:\System Volume Information\_restore{34677FD6-4C76-49C8-8D14-8ABE1D851C5A}\RP8\A0001715.exe

schalte kurz die Systemwiederherstellung aus und dann wieder ein -> dann ist das weg.

Das hier solltest Du durchlesen :)

Ein Warnfenster ist erschienen - was tun? - Kaspersky Lab Forum

Gruß cad

Hi cad,

wow ich danke dir :daumenhoc Hast dir ja super viel Arbeit gemacht...aber ich merke man lernt echt nie aus !

Genau nach dieser Anleitung hab ich das System wieder neu aufgestzt und Genau DAS Häkchen hab ich reingemacht bei Kaspersky :lach:..habs jetzt erstmal rausgenommen und schwups waren die Warnmeldungen mitverschwunden. Werde die Dateien aber trotzdem mal hochladen mit dem Link denn du mir hier gegeben hast, aber denke ist alles ok

Hab mich auch gleich im Kaspersky Forum angemeldet...auch danke dafür. Wusste gar nicht das es sowas auch gibt. Da werd ich in Zukunft wohl auch öfter vorbeischauen.

Ist ja doch etwas komplex die Kaspersky Software...und das Handbuch werd ich mal als Gute-Nacht-Lektüre lesen :heilig:

Ach und die beiden anderen Dateien waren Systemwiederherstellungspunkte ? Ahh...hab ich letztens wirklich noch gemacht...von meinem "sicheren " System wollte ich das auf jeden Fall machen :lach:

Zusätzlich ein Image gebrannt und die Partitionen auf eine externe Festplatte kopiert.

So...jetzt bin ich gewappnet :sword2:

Also nochmals vielen Dank...scheinst ne Menge Erfahrung und Ahnung zu haben. Hoffe das kann ich auch mal von mir behaupten, aber habe wie gesagt schon einiges hier gelernt. Echt super Forum ! :daumenhoc:huepp:

Saludos

Miguelito :juul: