#1 11. Dezember 2005 Hi, immer wenn ich zB. in ein online-Counter-strike-spiel reingehe, öffnen sich einige internet-explorer-fenster (meist sex-seiten) und ich muss die immer wieder erst schließen, sonst ruckelt das spiel. (bei CSS dauert das ganz schön lange!) Ich hab jetzt rausgefunden, woran das liegt: Ich hab mir "jv16 power tools" runtergeladen und da sieht man die autostartprogramme... Ein autostartprogramm namens: "Pokeloud" öffnet sich immerwieder und wenn ich es entferne, kommt es einfach wieder! WAS kann ich da machen??? Manuell löschen (den pfad hab ich) geht nicht, da es "in benutzung" ist. BITTE gebt mir eine Batch-datei oder ein Programmm, das dieses autostartprogramm endgültig löschen kann! PS.: Name: Pokeloud Ausführungsdatei: cast Mp3.exe PLZ HELP MFG BadboX
#2 11. Dezember 2005 abgesicherter modus ... da kannst es manuell löschen lass vllt mal antivir drüberlaufen und schau ob es was findet ...
#3 11. Dezember 2005 Den Windows ,,Unlocker" herunterladen, Datei finden, Datei ,,unlocken" und dann löschen.. *peace*
#4 12. Dezember 2005 oder über hijackthis fixen, neustarten und gut ist... Tuneup utilitis kann auch die starteinträge ändern...
#5 12. Dezember 2005 Also mit dem Unlocker geht es nicht, da er immer sagt, dass es nicht zu löschen geht, aber er es beim nächsten neustart macht. tut er jedoch nicht...ist immernoch da! ich probier es nachher mal mit tune up utilities 2006. thx trotzdem (unlocker ist bestimmt noch mal wann-anders gut,deshalb ne 10 für dich) *edit: Mit TuneUp Utilities 2006 geht es auch nicht! *
#6 13. Dezember 2005 hallo habe gerade zwei tage gebraucht und mit einem aenlichen viech mich beschaeftigen muessen, vor cca eine woche gab es ein problem mit ad-w-a-r-e die mit der gleichnamige seite immer verbindung aufbaute. das jetzige problem hat eine aenlichkeit nur es verbidet sich immer mit anderen seiten und es ist nicht staendig aktiv sondern es wird zeitgesteuert per zufallgenerator gestartet. die ad-w-a-r-e seite hat einen namen und ist bekannt, die bietet selber ein tool um das programm von der festplatte zu verbannen aber auch z.b der spysweeper mit neuen update kennt es und kann es entfernen. dieses neue ungeziefer ist, meine mainung nah ein mutant des obigen nur viel schlauer und ich glaube in der naechsten zeit werden wir noch mehr davon bekommen. entdeckt worde es rein zufaellig weil der besitzer des rechners bemerkte das die verbindung in die knie geht und anschliessend mit cca 10 bis 20 fenstern bombardiert war. bei mir ergaben alle sweeper, adawares und auch antivir programme beim ueberpruefen keine ergebnise, auch HJT und consortium nicht der einzige der meckerte war Fprot-Antivir der sich aber verabschiedete mit der meldung "Could be infected with unknown virus" und "Viruses cannot be disinfected unless they are identified" darauf schloss ich den rechner ueber meine firewall ann und vorerst geschah nichts, also lass ich den rechner ueber nacht an und am naechsten morgen sehe poppte die firewall mit anfrage ob es eine verbindung aufbauen duerfte. also war in der nacht irgend etwas aktiv. main vorgehen : mit Process Explorer erhaeltlich by http://www.sysinternals.com unersuchte ich die vorgaenge am rechner zur zeit der aktivierung der pronseiten und fand heraus das auf einmal ein process "bot" aktiv war der auch im normalen taskmanager angezeigt war aber nur zur zeit seine aktivitaet, sons war es nicht vorhanden der process explorer zeigt im oberen fenster die processe die momentan aktiv sind und im unteren fenster kann man sich wahlweise die dazugehoerigen dll's oder anwendungen anzeigen die vom process verwendet werden folgendes kamm heraus: im winnt ordner befand sich die libhide.dll die ein teil der vbstub.exe, auch im winnt ordner war und die bei booten immer mit windows galaden war, und mit system.exe den process "bot" aber nur im speicher und hidden bildete . ein loeschen oder killen der processe ist nicht moeglich so lange windows aktiv ist, und die im c:\erstellten dateien werden nach neu start immer wieder neu erstellt die vbstub.exe hohlte sich dann von der seite //kents.ru dann aus der dort gespeicherte config.txt die adressen der seiten (immer verschiedene) mit dem dann der rechner bombardiert worde. ich lies nochmal gewaeren und nach so eine attacke schrieb ich mir alle stellen wo die dateien auf der platte waren, danach installierte ich mit winnt32 /cmdcons die reparatur konsole auf dem rechner startete die reparatur konsole und eliminierte alle eintraege per hand. seit dem ist ruhe und der rechner dreht wieder seine runden normal wo kamm es her : der man lud sich ein crack als rar archiv in dem war eine keyg.exe und ein zweites archiv keyg.exe.rar gespeichert, leider versuchte er die erste keyg.exe zu starten.
#7 14. Dezember 2005 thx Ja danke für die Info und die Mühe, aber kannst du mir nochmal sagen, was ich machen muss, um das jetzt loszuwerden..BITTE ! Schritt für schritt plz! plz wb. MfG BadboX
#8 14. Dezember 2005 lade dir als erstes vom sysinternals den processexplorer runter ist freeware, instaliere den, beende alle processe die du nicht brauchst das du bessere uebersicht hast, ( sachen die immer mit windows starten aber keiner braucht wie acrotray, office leiste, quicktime usw) ab da lese es dir nochmall durch es steht alles drin jedoch beachte, das bei dir die dateien ganz wo anderes deponiert sein koennen und andere namen haben, wenn du dir die laufenden processe im process explorer angeschat hast wird dir schon deutig was auf deinem rechner nichts zu suchen hat. z.b. geladene dll's die keine version und signaturen tragen, die dll mit rechte maustaste anklicken und sich anzeigen lassen von welchen process die geladen ist, die faulen sachen aufschreiben und von der reparaturkonsole loeschen
#9 14. Dezember 2005 Thx Also danke erstmal für das Programm...10 haste natürlich! Hab ja das gefunden, was das macht... der prozess heißt : iexplore.exe und darunter CAST MP3.exe doch wie kann ich das jetzt löschen? mit der reparaturkonsole....wo finde ich die? sry, aber ich stell mich grad nicht mit absicht nen bissel dämlich an =) PS.: soll ich den ganzen process killen (iexplore.exe) oder geht da was falsches kaputt? MfG BadboX
#10 14. Dezember 2005 Hi, Windows Installations CD einlegen --> Reparieren (und nicht Neu-Installieren) wählen: Dann kommst du in eine Console, mit der du auf deinem System rumnavigieren kannst. Du solltest vorher aber mal bisschen Batch (DOS , die Sprache ) anschaun, damit du weisst, wie du in das Verzeichnis kommst und die dateien löschst (nützliche befehle: cd , dir ( /s /B ) , rm , del ) Alternativ, wenn gar nichts mehr geht, und du nichts machen kannst, es nicht schaffst: Knoppix oder eine andere LIVE-Distro holen, booten und dann die Windows-Dateien, die du brauchst, auf CD brennen ; danach Windows-Platten formatieren. Das aber nur im äussersten Notfall EDIT:// Immer wenn ich grad "Beitrag speicher", fällt mir was neues ein Durch die vorherigen Programme siehst du ja, wo die *.dll u.s.w. liegen ; (meistens so system32 / winnt ) ; iexplore.exe ist glaub ich nur "Internet Explorer" ? Hab den bei mir soweit ich mich erinnern kann ( oehm, vor 3 Wochen das letzte mal Windows ),auch in den Prozessen drin. Jetzt aber >_< , 4tes mal edit Mfg, Kolazomai
#11 14. Dezember 2005 Autostart ist nur ein Eintrag in der Registry... Natürlich kannst jetzt sagen: du spinnst ja, ich mach sicher nix in der Registry! Dafür hat Windows eine extra Option gemacht! Mit Ausführen kannst ein Fenster öffnen, wo du alle AutoStart's siehst (inkl. System) und du kannst alle ausschalten! Dann wird eben der Registry Eintrag gelöscht und ich bezweifle dass das prog jedes mal wieder nen Eintrag macht! Allerdings fällt mir imho dieser Name nicht ein, den du bei Ausführen eingeben musst, muss nochmal umschaun! Ich hoffe ich find ihn bis morgen!
#12 14. Dezember 2005 RE: Thx 1. @ Kolazomai ... hast du den ganzen thread gelesen? und soetwas schon mal selber gemacht? ... 2. @ berbaer ... kompliment. langsam wirst du mit deinen antworten sympatisch. 3. @ lordosiris ... der Befehl für Ausführen nennt sich msconfig aber damit kannst du dir bei weiten nicht mal 10 % aller dinge anzeigen lassen, die von windows geladen werden. dafür musst du schon ein wenig weiter gehen. 4. @ BadboX der prozess iexplore.exe gehört zu deinem internet explorer mit anderen worten, du hast ein programm auf deinem system, dass durch den IE nach hause telefoniert. wie du jetzt weiter vorgehst, im process explorer von sysinternals.com kannst du eine stufe tiefer gehen, indem du dir ansiehst, welche dateien in diesem prozess geladen werden. dafür klickst du auf "view -> Lower panel" im nun unten stehenden panel kannst du nach der datei suchen, oder nach den dateien suchen, die dort nicht hingehören. da muss ich aber sagen, das wird eine sehr langwierige arbeit werden. suche nach etwas das da nicht sein sollte, und lösche es (backup machen) pc neustarten, und schauen, ob das problem noch besteht. woher du wissen sollst, welche dateien dort geladen werden ... das kann ich so ganz allgemein nicht sagen. aber was ich machen würde, bevor ich mit dem process explorer arbeiten würde, wäre 1. hier ein Hijackthislogfile posten (VGL Link in meiner Sig) 2. mit Kaspersky oder Panda einen Onlinevirenscan machen, oder besser escan machen http://virus-protect.net/escan.html 3. http://virus-protect.net/datfindbat.html hier die 4 logfiles posten, (nur den zeitraum, seitdem du das problem hast ... in der regel die letzten drei wochen ... 4. die von dir bereits als böse entdeckten dateien in einem onlinescan von z.B. jotti testen lassen. damit du weißt und uns sagen kannst, welcher virus das ist. 5. dir das programm killbox besorgen, macht das gleiche wie unlocker, nur ein wenig anders. mit all diesen logfiles würde ich mich hier wieder melden. außerdem mach nochmal mit diesen beiden programmen einen scan 1. ewido 2. counterspy (findest du beide hier ) http://virus-protect.net/index.html mfg spotting
#13 15. Dezember 2005 @spotting: Ja und nein ; Er hat schon längst Antworten auf die Ausgangs-Frage bekommen. Ich habe ihm beantwortet , wo er die Reperatur-konsole findet , und was er machen soll. Wenn du dir vielleicht mal den Thread ganz durchgelesen hättest, hättest vielleicht gemerkt, dass das meiste schon vorgeschlagen wurde bzw. dieses besondere Programm,das er da hat, von allen(!?) AVs nicht erkannt wird. Mfg, Kolazomai
#14 15. Dezember 2005 Trojaner Also bei dem Onlinevirenscan hat sich rausgestellt: Der Virus ist ein Trojaner ! Er heißt: Trojan-Downloader.Win32.Swizzor.co Aber mit Killbox geht er nicht zu löschen! BITTE HELFT MIR! Wie bekomm ich den Virus weg? (Programme, dass es löschen kann?) MfG BadboX
#15 15. Dezember 2005 hallo an alle, ich kann nicht alles im deteil mit jedem handgriff in einzelheiten fuer jeden aufschreiben, ein wenig muesst ihr auch mitmachen wenn ein programm da ist das so komplex ist muss man selbs darueber ein wenig lernen, sonst artet das immer wieder zu einem roman. wie spotting anzeigte im schow lower pane kann man sich die geladene DLL's oder vom programm "gehandelte" dateien anzeigen lassen. wenn man auf show DLL's hacken setzt zeigt es z.b. von internet explorer geladene DLL's. es wird der name, beschreibung, company, und version fuer jede datei angezeigt, die dateien die wir suchen haben aber sehr selten einen owner oder version eintrag, und auf so eine datei mit rechete maustaste geklickt wird auch der ort von wo die geladen wird gezeigt. das ist hilfreich wenn eine dll mehrmals auf dem system vorhanden ist. REPARATUR_KONSOLE ! repartur konsole ist ein reliquium aus NT4 zeiten, worde aber nach win 2000 uebernommen und funktioniert auch unter XP sehr gut. ich habe auf allem meinem rechnern die reparaturkonsole immer fest installiert und brauche dann um es auszufuehren keine cd mehr einzulegen beim booten, die ist fest eingetragen in boot.ini. zur installation und zu den einzelnen befehlen steht alles in der einfachen MS hilfe, man mus nur nach dem begriff wiederherstellungs- konsole suchen. man legt unter laufenden windows die MS cd ins laufwerk und ruft die eingabeaufforderung auf, dann wird der befehl eingegeben : winnt32.exe /cmdkons danach einmal neu booten und die repa konsole ist im startenden betriebsystemen auswaehlbar jetzt nimmt man den zettel mit aufgeschriebenen "boesen" dateien die man feuer gefunden hat und mitdem befehl z.b.: DEL C:\WINDOWS\SYSTEM32\boese.dll und return ..... nue starten und die sind nicht mehr vorhanden, hat mann eine datei geloescht die win zumm starten braucht wird beim start gemeckert. datei nicht vorhanden, dann mus man zum zweiten mal die konsole starten die cd einlegen und mit copy eine original MS datei vom cd ins system copieren
#17 15. Dezember 2005 frage sehr gut, aber hijackthislog ist doch das freeware-programm oder? wie muss ich das denn da machen (den virus löschen) ? plz help MfG BadboX
#18 16. Dezember 2005 RE: frage hier das logfile posten. das prog findest du durch den link in meiner sig
#19 16. Dezember 2005 Die Logfile DAS IST DIE LOGFILE, WIE KANN ICH DEN VIRUS JETZT LÖSCHEN? PLZ HELP NOCHMAL... Logfile of HijackThis v1.99.1 Scan saved at 22:24:14, on 16.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\DVDRAMSV.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe c:\progra~1\intern~1\iexplore.exe C:\Games\Steam\steam.exe c:\games\steam\steamapps\duke1990\counter-strike source\hl2.exe C:\Programme\Opera\Opera.exe C:\Programme\Teamspeak2_RC2\TeamSpeak.exe C:\Dokumente und Einstellungen\Jürgen\Desktop\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chclan.com/index R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/ R3 - URLSearchHook: (no name) - {E134842F-7E87-4172-9530-23D620BC74AF} - (no file) R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {A4C2D573-B208-5C6C-86DF-B58171D5F089} - C:\DOKUME~1\JRGEN~1\ANWEND~1\MAILME~1\Media First.exe O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Acronis True Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [batbeeproadsite] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\poll film bat beep\mathweb.exe O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Steam] "c:\games\steam\steam.exe" -silent O4 - HKCU\..\Run: [pokeloud] C:\DOKUME~1\JRGEN~1\ANWEND~1\INTERN~1\CAST MP3.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: Groove Games Licensing Service - Groove Games - C:\Programme\Gemeinsame Dateien\Groove Games Shared\Service\ggameslicsvc.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
#20 17. Dezember 2005 RE: Die Logfile bitte geht doch 'c:\programme\newdotnet da steckt dein virus. aber wenn du jetzt hinrennst, und den löschst, wirst du nicht sehr weit kommen. erst mal ein paar anmerkungen zu deinem system norton ewido avpersonal ... das sind 2 av programme zuviel im autostart. deinstalleire zwei davon. meiner meinung nach ewido und norton sollten weg. bleibe bei av personal. oder gehe zu kaspersky sunbelt counterspy ist nur ein zusätzliches programm, dass man ab und zu zusätzlich nutzen sollte. es ist bei weitem nicht so zuverlässig wie pest patrol. oder spybot o&odefrag tuneup2006 winstyler acronis true image teamspeak bis auf tuneup winstyler, vlt, wenn du meinst das nutzen zu müssen, haben die nichts im autostart zu suchen. defrag programme die im hintergrund arbeiten brauchen mehr ressourcen als sie freigeben können. acronis true image ist nett, aber nicht im autostart. und teamspeak soll immer dann starten, wenn man es braucht, aber nicht im autostart. du musst eines verstehen, umso mehr programme laufen, umso mehr angriffspunkte bietest du einem hacker, oder einem virus. steam conuterstrike source und halflife 2 hust. steam ist ein grund halflife und co zu boykottieren... naja, das ist meine subjektive meinung. da du schlie0ßlich ne clanseite als homepage eingetragen hast bist du dort ein verlorenes schaf... icq toolbar opera wenn du opera nutzt, wozu hast du dann ne internet explorere icq tolbar installiert ??? ... ok, diese einträge gehören alle zu deinem virus O4 - HKCU\..\Run: [pokeloud] C:\DOKUME~1\JRGEN~1\ANWEND~1\INTERN~1\CAST MP3.exe O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY O2 - BHO: (no name) - {A4C2D573-B208-5C6C-86DF-B58171D5F089} - C:\DOKUME~1\JRGEN~1\ANWEND~1\MAILME~1\Media First.exe R3 - URLSearchHook: (no name) - {E134842F-7E87-4172-9530-23D620BC74AF} - (no file) O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing diese einträge kenn ich nicht O4 - HKLM\..\Run: [batbeeproadsite] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\poll film bat beep\mathweb.exe O23 - Service: Groove Games Licensing Service - Groove Games - C:\Programme\Gemeinsame Dateien\Groove Games Shared\Service\ggameslicsvc.exe und diese einträge sollten mit hijackthis gefixxed werden. O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab so, wie gehst du jetzt weiter vor. 1. da du windows xp mit service pack 2 nutzt, muss ich sagen, wirst du für alle weiteren scans, in den abgesicherten modus gehen müssen. diesen erreichst du wenn du während des starten deines pc die taste F8 drückst, und dort den abgesicherten modus mit den pfeiltasten auswählst. (kurz vor dem windows boot screen) 2. besorge dir diese programme - ccleaner http://www.ccleaner.com/ccdownload.asp - cwshredder http://www.intermute.com/spysubtract/cwshredder_download.html - spybot http://www.safer-networking.org/en/download/index.html installiere sie falls nötig (spybot und ccleaner) update sie falls nötig (spybot) 3. starte jetzt deinen pc im abgesicherten modus starte den ccleaner lösche damit die temp dateien. starte den cwshredder scanne mit ihm einmal deinen pc und zuguterletzt nochmal mit spybot scannen. das alles im abgesicherten modus !!! bevor du jetzt wieder in den normalen modus wechselst, mache noch ein hijackthislogfile. suche in den scanergebnissen nach den von mir oben aufgeführten einträgen. wenn sie dort erscheinen, setze einen haken kurz davor. unten steht dann fix checked. klicke dann darauf (alle auf einmal) dann starte deinen pc neu. wieder in den abgesicherten modus. sieh jetzt manuell nach, ob die dateien, die ich oben angegeben habe (und die teilweise ein wenig mit pfad versteckt sind) noch vorhanden sind. wenn dem so ist brauchst du das programm "killbox". markiere mit diesem programm alle dateien, die noch vorhanden sind, und lösche sie mit der option delete on next reboot (lösche beim nächsten neustart) starte dann den pc nochmal neu, diesemal normal und schau nach, ob der fehler noch vorhanden ist. wenn ja, mach noch einen escan wie das geht steht hier http://virus-protect.net/escan.html normalerweise sollte dein pc dann sauber sein. wenn nicht, melde dich nochmal wieder, indem du diese protokolle wie hier beschreiben ausführst, und als txt an deinen post anhängst. http://virus-protect.net/datfindbat.html mfg spotting
#21 17. Dezember 2005 @spotting bravo ! warum will es keiner begreifen ? dabei wird bei jedem antivirus programm gewarnt alle anderen paralell laufenden programme zu deaktivieren und deinsatllieren, man mus nur die par zeilen zu dem programm lesen, warscheinlich zu schwer ? aenlich ist es mit dem partitionier programmen, da versucht man eins zu installieren, der sagt das er mit partition nicht klar kommt und schon wird ein zweiter installiert in der hoffnung mit dem geht es statt sich mit dem ersten programm ein wenig zu bescheftigen und herauszufinden warum es nicht funktioniert, fehler vorm komputer ! zum glueck kommt dann noch der dritte im bunde dazu, der windows und wenn der auf so eine platte craescht ist nichts mehr zu retten. hinzu kommen noch die angeblichen hilfen, toolbars und sonstiges die nur ein ziel verfolgen-dem benutzer irgendwo hin zu locken wo ihm eine werbung zugeschantzt wird. auf so enem system etwas finden ? man sieht den wald vor lauter baume nicht, abgesehen davon das fuer so ein gestresstes system die resourcen auch die besten nicht ausreichen.
#22 17. Dezember 2005 1. Abgesicherter Modus starten (vorm booten F8 ) 2.Start --> Ausführen ---> "msconfig" eingeben ---> Autostart 3.rebooten 4.Fertig
#23 17. Dezember 2005 Jjjjuuuhhhhuuuu BOA VIELEN DANK AN ALLE !!! ABER BESONDERS AN spotting ! Denn mit seiner Methode hat es geklappt... Natürlich werden jetzt nochmal 10en verteilt! Sagt bescheid, wenn ihr was braucht....bin euch was schuldig! THX THX THX MfG BadboX EDIT:// Hab grad beim escan gemerkt, dass alle dateien in meinem Internet Junk-Ordner Trojaner sind...Kann das sein? Habt ihr was in eurem Internet Junk - Ordner? (PFAD: C:\Dokumente und Einstellungen\benutzername\Anwendungsdaten\Internet Junk) *benutzername muss natürlich mit eurem ersetzt werden*