Trojaner-Board - Hilfe? Desktop leer, Taskmanger wurde durch Administrator deaktiviert. Virus?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hilfe? Desktop leer, Taskmanger wurde durch Administrator deaktiviert. Virus? (https://www.trojaner-board.de/54108-hilfe-desktop-leer-taskmanger-wurde-administrator-deaktiviert-virus.html)

Hilfe? Desktop leer, Taskmanger wurde durch Administrator deaktiviert. Virus?

Hallo zusamen,

hoffe jemand kann mir helfen. Ich habe ein Programm ausgeführt und seit dem kommt bei jedem Start einfach nur der Desktop-Hintergrund ohne irgendwelche Icons. Der Taskamanger lässt sich nicht öffen : " Taskmanager wurde duch den Administrator gelöscht".

Ich bin ziemlicher Anfänger. Könnte mir jemand eine kurze Anleitung geben. Ich kann Windows im abgesicherten Modus starten und dann sind auch die Symbole wieder da. Aber das kann es ja nicht sein, oder? Was muss ich tun? Soll ich die nächsten Schritte im abgesicherten Modus tätigen? Hoffe ihr könnt mich auf den richtigen Weg bringen.

Welches Betriebsystem?
Hat dein Antivirenprogramm angeschlagen, beim Ausführen des Programms?

Erstelle doch bitte mal einen Hijackthis log, im normalen Modus.

gruß

Ich hab Windows XP. Im normalen Modus kann ich aber nichts machen. Da sind keine Symbole auf dem Desktop. Ich kann nur die Maus auf dem leeren Hintergrundbild bewegen. Wie soll ich also ins Netz gehen und die Datei installieren im normalen Modus? Oder hab ich da was falsch verstanden?

Virenprogramm hat angeschlagen und ich bin immer auf "heal" gegangen. Und ich hab auch so ein Programm, dass Registry-Einträge verhindert. Das hatte sich auch ständig gemeldet und mich immer gefragt, ob ich den Eintrag zulasse. Ich habe immer den Eintrag verboten, aber irgendwann hat mich das genervt und ich hab den Rechner ausgeschaltet mit der Hoffnung, dass beim Neustart alles wieder gut ist. Aber da hab ich wohl Pech gehabt.

Wie heißt das schädliche Programm, das dein AV gefunden hat?
mfg

Ehrlich gesagt kann ich mich nicht erinnern, was das AV da gemeldet hat. ich bin einfach nur auf "heal" gegangen. hab das also nicht wirklich ernst genommen.

Das ist nicht gut.
Schonmal an Neuaufsetzen gedacht?
mfg

Gibt es noch ne andere Möglichkeit? Irgendwo hab ich gelesen, dass man in Registry paar Werte änder oder löschen muss. Irgendwo müssen doch die Desktop-Symbole sein. Die sind doch nur versteckt, oder ?

kannst du einen Screen von deinem Desktop machen?
so wie du es beschreibst, hört es sich recht heftig an x,x
mfg

Ps. kannst du evtl. nachschauen, ob du eine scvhost.exe (NICHT svchost.exe)
findest? Das mit dem TaskManager deutet auf dessen Infektion hin.

Also ich schreibe jetzt von einem anderen Rechner. Ich wüsste aber auch nicht wie. Wo solllte ich das Bild abspeichern, wenn keine Ordner sichtbar sind. Und ins Netz komm ich ja auch nicht, da ja der Internet Explorer weg ist. Ziemlich aussichtslos. Oh das kann dauern...

In den abgesicherten Modus kommst du aber normal oder nicht?

Naja, Neuaufsetzen wäre sicherlich kein Fehler..oder hast du wichtige Daten auf der Platte?
mfg

ja, in den abgesicherten modus komme ich. auf der platte ist sozusagen eine ganze menge. fotos usw.. würde ich sehr ungern verlieren. bringt es was hijack im abgesicherten modus auszuführen?

Nein, da bekommt man zu wenig Informationen.
Wenn du eine Externe Festplatte hast, oder USB-Stick kannst du ja backup'en.
Hast du schon im abges. Modus nach eine scvhost.exe gesucht?
mfg

Kannst du die Programme Hijackthis und Smitfraudfix auf deinen Rechner laden, auf einen USB-Key kopieren und dann bitte von beiden Logs aus dem abgesicherten Modus machen?

Wenn du den USB-Schlüssel erneut an deinen jetzigen Rechner anschließt, diesen bitte nicht per Doppelklick öffnen, sondern per Rechtsklick und dann Öffnen.

Wie hieß das Programm das du ausgeführt hast und woher stammt es?
(Wenn du einen Link zu dem Tool hast, schicke ihn mir bitte als Private Nachricht zu)

lg myrtille

nein hab ich nicht. ich weiss nicht wieso ich danach suchen sollte kenne mich wirklich nicht so aus. ich hab jetzt meinen rechner hochgefahren und jetzt öffnet sich auf dem leeren hintergrund ein fenster. Windows security center system warning. Alert details:
File: helpcvs.exe
Threat: CoolWebSearch
Possible spyware infection has been detected on your computer by Windows Security Center.
To remove detected threat you need to update Windows antispyware protection.
Click here to visit Windows security Center web site...

Unten gibt es noch ein Feld im Fenster mit: Update Windows antispyware protection and remove detected Threats.

Sagt dir das was? Soll ich das anklicken mit dem Update???

Nein bitte nicht, das macht alles nur noch schlimmer.

Versuch bitte die Schritte durchzuführen, die ich unten genannt habe.

Da der Virus aber offenbar nicht "richtig" mit deinem Rechner zurande kommt, kann ich nicht garantieren, dass alles klappt mit der Bereinigung.
Wenn du die Möglichkeit hast, würde ich dich bitten außerdem noch deine Daten zu sichern.

lg myrtile

Die Datensicherung mache ich aus dem abgesicherten Modus?

In Ordnung. Ich werde Deine Schritte befolgen. Aber einen USB-Stick hab ich nicht zur Hand. Ich würde morgen dann versuchen es so hinzubekommen. Ich hoffe Ihr könnt mich morgen wieder unterstützen. Vielen Dank und eine angenehme Nacht noch.

Bin wahrschein erst ab dem Abend wieder im Forum. Super das es hier so einen Support gibt:)

Neuaufsetzen ist wahrscheinlich die schnellste Variante:
Wenn du das morgen abend machst, hast du übermorgen wieder einen funktionierenden Rechner.

Das Daten sichern musst du aus dem abgesicherten Modus machen, oder kannst du im normalen Modus noch den Explorer öffnen? :confused:

lg myrtille

hallo,

hat zeitmäßig leider mit der datensicherung nicht geklappt. ich wage es jetzt mal ohne. ich möchte jetzt gerne hijack ausführen. melde ich mich da im abgesicherten modus als administrator oder mit meinem benutzernamen an?

Wie kann ich den hier screenshots hochladen?

anbei mein hijack-report. Im abgesicherten Modus als Administrator erstellt; Könnt ihr damit was anfangen?

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:18:12, on 23.06.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Safe mode
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\iftuyszv.exe

C:\WINDOWS\Explorer.EXE

H:\virus\HiJackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.medion.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.aldi.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aldi.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://free.grisoft.com/

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\iftuyszv.exe,

O2 - BHO: (no name) - {00110011-4b0b-44d5-9718-90c88817369b} - (no file)

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {086ae192-23a6-48d6-96ec-715f53797e85} - (no file)

O2 - BHO: (no name) - {150fa160-130d-451f-b863-b655061432ba} - (no file)

O2 - BHO: (no name) - {17da0c9e-4a27-4ac5-bb75-5d24b8cdb972} - (no file)

O2 - BHO: (no name) - {1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb1} - (no file)

O2 - BHO: (no name) - {1f48aa48-c53a-4e21-85e7-ac7cc6b5ffb2} - (no file)

O2 - BHO: (no name) - {28C1EEFB-DD85-4227-BC29-C17D7366B27D} - C:\WINDOWS\system32\ddcYpnMG.dll

O2 - BHO: (no name) - {2d38a51a-23c9-48a1-a33c-48675aa2b494} - (no file)

O2 - BHO: (no name) - {2e9caff6-30c7-4208-8807-e79d4ec6f806} - (no file)

O2 - BHO: (no name) - {467faeb2-5f5b-4c81-bae0-2a4752ca7f4e} - (no file)

O2 - BHO: (no name) - {5321e378-ffad-4999-8c62-03ca8155f0b3} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {587dbf2d-9145-4c9e-92c2-1f953da73773} - (no file)

O2 - BHO: (no name) - {5E351591-569E-41A9-BF10-8FB0D07F3612} - C:\WINDOWS\system32\ssqRJyVL.dll

O2 - BHO: (no name) - {6cc1c91a-ae8b-4373-a5b4-28ba1851e39a} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {79369d5c-2903-4b7a-ade2-d5e0dee14d24} - (no file)

O2 - BHO: (no name) - {799a370d-5993-4887-9df7-0a4756a77d00} - (no file)

O2 - BHO: (no name) - {98dbbf16-ca43-4c33-be80-99e6694468a4} - (no file)

O2 - BHO: (no name) - {a55581dc-2cdb-4089-8878-71a080b22342} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: (no name) - {b847676d-72ac-4393-bfff-43a1eb979352} - (no file)

O2 - BHO: (no name) - {bc97b254-b2b9-4d40-971d-78e0978f5f26} - (no file)

O2 - BHO: (no name) - {cf021f40-3e14-23a5-cba2-717765721306} - (no file)

O2 - BHO: (no name) - {e2ddf680-9905-4dee-8c64-0a5de7fe133c} - (no file)

O2 - BHO: (no name) - {e3eebbe8-9cab-4c76-b26a-747e25ebb4c6} - (no file)

O2 - BHO: (no name) - {e7afff2a-1b57-49c7-bf6b-e5123394c970} - (no file)

O2 - BHO: (no name) - {fcaddc14-bd46-408a-9842-cdbe1c6d37eb} - (no file)

O2 - BHO: (no name) - {fd9bc004-8331-4457-b830-4759ff704c22} - (no file)

O2 - BHO: (no name) - {ff1bf4c7-4e08-4a28-a43f-9d60a9f7a880} - (no file)

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe

O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe

O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe

O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"

O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe

O4 - HKLM\..\Run: [AVManager] "C:\Programme\Wistron\AVManager\AVManager.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe

O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MMReminderService.exe

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [NapsterShell] D:\Napster\napster.exe /systray

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: LRZ VPN Client.lnk = C:\Programme\LRZ VPN Client\vpngui.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE

O4 - Global Startup: WISO Urteilsmonitor.lnk = C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe

O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll

O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra button: MedionShop - {E18B757F-2F92-410D-8CBC-405F07B0606A} - http://www.medionshop.de/ (file missing) (HKCU)

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104261081168

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1145234864790

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - h**p://javadl.sun.com/webapps/download/AutoDL?BundleId=19588

O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - h**p://asp04.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab

O20 - Winlogon Notify: ddcYpnMG - C:\WINDOWS\SYSTEM32\ddcYpnMG.dll

O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe

O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe

O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
 

--

End of file - 15259 bytes

hallo zusammen,

habe mir jetzt eine externe festplatte gekauft um eine datensicherung im abgesicherten modus durchführen zu können. Kann ich jetzt eigentlich eine komplette Datensicherung durchführen? Besteht hier nicht die Gefahr, dass die Viren auch mitkopiert werden? Oder darf ich nur bestimmteSachen sichern? Ich habe private Daten sowohl auf C: wie auch auf D: ;

Hi,
lies dir doch die anleitung zum neuaufsetzen durch :)

Da wird alles nochmal ausführlich erklärt.

In Kürze:
Du kannst problemlos alle Dateien sichern, die nicht ausführbar sind: Also keine Dateien speichern die auf *.exe,*.scr, *.com etc... enden.

Dokumente, Bilder, Musik, Filme etc können problemlos gespeichert werden.

Beim Neuausetzen bitte auch beachten, dass du erst nach einspielen des SP2 online gehen solltest.

lg myrtille

hai myrtille,

danke für deine schnelle antwort.

also darf ich die ganzen programme auch nicht installieren. Wäre es aber nicht möglich eine Komplettsicherung durchzuführen? Wahrscheinlich hab ich dann den Virus auch auf der externen Festplatte, aber ich würde die eine besagte Datei nicht ausführen. Hintergrund ist, dass ich ziemlich viele Programme auf dem Rechner hab und jetzt auch nicht sicher bin welche ich brauche und welche nicht. Ich würde mich sicherer fühlen, wenn ich eine Komplettsicherung hätte. Ich würde dann nach dem Neuaufsetzen nur die Dateien aufspielen die ich wirklich brauche. Dann würde ich die Daten auf der externen Festplatte löschen und eine neue Sicherung anlegen.

Datensicherung würde dann so erfolgen:
Starten Sie das Backup-Programm über START - ALLE PROGRAMME - ZUBEHÖR - SYSTEMPROGRAMME und SICHERUNG. Hier würde ich dann auswählen "alle Informationen auf diesem Computer"

Mein Ziel ist es ja, eine Komplettsicherung durchzuführen, aber trotzdem dann versuchen eine Bereiningung durchzuführen. Ich würde dann das Ergebnis hier posten und dann könnten wir ja nochmals entscheiden ob ein Neuaufsetzen notwenig ist.

Du sieht ich kenne mich nicht so gut aus. Was hälst du von diesem Vorhaben?
Problem ist auch, dass ich beim Abspeichern meiner Dateien auch nicht wirklich systematisch vorgegangen bin. Ich müsste also alle ordner durchgehen, ob doch nicht eine .exe datei enthalten ist :-(

Kannt Du im abgesicheren Modus cmd starten?

cmd starten kann man wie folgt:

Start > Ausfühen > cmd
Windowstaste + R > cmd
Taskmanager (Strg + Alt + Entf) > Datei > Neuer Task > cmd
Start > Programme > Zubehör > Eingabeaufforerung

%ComSpec%

Hallo,

ja cmd kann ich ausführen:daumenhoc

und nun?

bin für jeden tipp dankbar

zur Info: Taskmanager lässt sich nicht öffnen. Hab es über Start>Ausführen gemacht.

Und noch ein kleiner Nachtrag: Windows security Fenster öffnet sich ab und zu und gibt die Meldung "Possible Spyware infection detected" Threat Name: TrojanDownloader.XS

bei windows gibt es ja auch die möglichkeit, den computer zu einem früheren Zeitpunkt wiederherzustellen" . Könnte ich den jetzt nicht einfach einen Zeitraum auswählen, wo ich den virus noch nicht hatte?
z.B. vor einem Monat. Dann sollten doch die Änderungen, die der Virus verursacht hat, wieder rückgängig gemacht werden können?

Oder ist das sehr leichtgläubig?

Zitat:

Zitat von pseudonym (Beitrag 350154)

ja cmd kann ich ausführen:daumenhoc

OK, mal schauen was möglich ist.

Option 1:
Speicher die angehängte restrictions.txt unter dem Namen "restrictions.bat" ab und starte sie per Doppelklick. Poste den Inhalt des sich öffnenden Editor- Fensters.

Sollte das nicht gehen:

Option 2:
Starte cmd
Gebe dort nach und nach folgende Zeilen ein (jeweils mit Enter bestätigen):

Code:

Hinweis: in cmd kannst Du mit Pfeil nach oben/Pfeil nach unten bereits 

getippte Befehle nochmal herholen und dann auch ändern. So wird aus 

diesem Berg eine sehr überschaubare Sache. Am besten druckst Du Dir 

diese Zeilen aus oder schreibst sie sorgfältigst ab!
 

reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /va /f

reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system /v DisableRegedit /f

reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system /v DisableTaskMgr /f

reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system /v DisableRegistryTools /f

reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /va /f

reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\policies\system /v DisableRegedit /f

reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\policies\system /v DisableTaskMgr /f

reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\policies\system /v DisableRegistryTools /f

Sieht nach viel zu tippen aus, ist aber in 2 Minuten erledigt.

%ComSpec%

Wäre es nicht möglich daraus eine Batch Datei zu schreiben?

Zitat:

Zitat von Lucky (Beitrag 350247)

Wäre es nicht möglich daraus eine Batch Datei zu schreiben?

Doch, wenn der Autor nicht sowieso vergessen hätte, die ein oder andere Datei anzuhängen, wäre da einiges möglich. Der Autor hat seinen Beitrag aber vor dem zweiten Kaffee geschrieben, was bei ihm 47,2% der geistigen Kapazität brachliegen lässt.

@TO
Wenn Du Batchdateien ausführen kannst (speichern, umbenennen in .bat und per Doppelklick starten - zur Not auch per cmd) dann sind hier zwei Dateien für Dich.

Zuerst bitte mit der antirestrictions.txt (bzw antirestrictions.bat !) mögliche Einschränkungen in Explorer etc entfernen und mit restricons.txt (bzw restrictions.bat !) anzeigen lassen was in den entsprechenden Zweigen steht.

%ComSpec%

P.S.: es wäre geradezu grandios, wenn man hier bestimmten Leuten auch das Hochladen von z.B. Batchdateien und anderem ermöglichen würde.

hallo zusammen,

als ich antirestriction.bat ausgeführt habe ist das dos-fenster kurz aufgegangen und gleich wieder geschlossen worden.
dann hab ich restriction.bat ausgeführt. dos.fenster wieder aufgegangen und paar einträge sind dort zu finden und dann ist restriction.log aufgegangen.
die erstellte restrictions.log lässt sich nicht abspeichern. ich hab sie jetzt mal abgeschrieben:

Code:

! REG.EXE VERSION 3.0
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
 

dontdisplaylastusername     REG_DWORD     0x0

legalnoticecaption  REG_SZ

legalnoticetext      REG_SZ

shutdownwithoutlogon                 REG_DWORD    0x1

undockwithoutlogon  REG_DWORD     0x1

DisableTaskMgr        REG_DWORD     0x1
 

! REG.EXE VERSION 3.0
 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

NoDriveTypeAutoRun    REG_DWORD           0x91
 

! REG.EXE VERSION 3.0
 

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System

DisableTaskMgr    REG_DWORD    0x1

Gefällt mir gar nicht. DisableTaskMgr hätte eigentlich weg sein sollen. Vllt war es ein Fehler in der Batch. Ich möchte da jetzt nicht lange rummachen. Wir versuchen es grad mal andersrum:
In abgesicherten Modus > cmd folgende Zeilen eintippen (jeweils mit ENTER bestätigen):

Code:

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

Danach neustarten und nochmal die Restrictionsbat laufen lassen. Taucht dann bei DisableTaskMgr wieder 0x1 und nicht 0x0 auf, fällt mir leider auch nichts praktikables mehr ein.

%ComSpec%

immer noch der Wert 0x1; schade;

hat möglicherweise damit zu tun, dass im dos-fenster auch die meldung kommt "fehler: Der angegebene Registrierungsschlüssel oder Wert konnte nicht gefunden werden.

also ist es aussichtlos...

Die Meldung mir leider nicht viel. U.U. ist ein Fehler in den Zeilen. Ich kan es hier grad nicht testen.

Du könntest aber per Start > Ausführen > regedit
selbst dorthin navigieren und schauen, ob der Wert existiert oder nicht und bei Bedarf den Wert löschen.

%ComSpec%

P.S.: Grundsätzlich muss man sich an dieser Stelle natürlich fragen, ob man nicht ein totes Pferd reitet und wieviel Sinn es macht Zeit und Energie in die Analyse und mögliche Bereinigung zu stecken. Sicher auf jeden Fall schon mal Deine Daten, falls Du es nicht bereits getan hast.