Autostartprogramm-HILFE!!!

Dieses Thema im Forum "Windows" wurde erstellt von BadboX, 11. Dezember 2005 .

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  1. #1 11. Dezember 2005
    Hi,
    immer wenn ich zB. in ein online-Counter-strike-spiel reingehe, öffnen sich einige internet-explorer-fenster (meist sex-seiten) und ich muss die immer wieder erst schließen, sonst ruckelt das spiel. (bei CSS dauert das ganz schön lange!)
    Ich hab jetzt rausgefunden, woran das liegt:
    Ich hab mir "jv16 power tools" runtergeladen und da sieht man die autostartprogramme...
    Ein autostartprogramm namens: "Pokeloud" öffnet sich immerwieder und wenn ich es entferne, kommt es einfach wieder!
    WAS kann ich da machen???
    Manuell löschen (den pfad hab ich) geht nicht, da es "in benutzung" ist.
    BITTE gebt mir eine Batch-datei oder ein Programmm, das dieses autostartprogramm endgültig löschen kann!
    PS.:
    Name: Pokeloud Ausführungsdatei: cast Mp3.exe
    PLZ HELP

    MFG BadboX
     

  2. Anzeige
  3. #2 11. Dezember 2005
    abgesicherter modus ...
    da kannst es manuell löschen

    lass vllt mal antivir drüberlaufen und schau ob es was findet ...
     
  4. #3 11. Dezember 2005
    Den Windows ,,Unlocker" herunterladen, Datei finden, Datei ,,unlocken" und dann löschen..

    *peace*
     
  5. #4 12. Dezember 2005
    oder über hijackthis fixen, neustarten und gut ist...:)
    Tuneup utilitis kann auch die starteinträge ändern...
     
  6. #5 12. Dezember 2005
    Also mit dem Unlocker geht es nicht, da er immer sagt, dass es nicht zu löschen geht, aber er es beim nächsten neustart macht.
    tut er jedoch nicht...ist immernoch da!
    ich probier es nachher mal mit tune up utilities 2006.

    thx trotzdem (unlocker ist bestimmt noch mal wann-anders gut,deshalb ne 10 für dich)

    *edit: Mit TuneUp Utilities 2006 geht es auch nicht! *
     
  7. #6 13. Dezember 2005
    hallo
    habe gerade zwei tage gebraucht und mit einem aenlichen viech
    mich beschaeftigen muessen,
    vor cca eine woche gab es ein problem mit ad-w-a-r-e die mit der
    gleichnamige seite immer verbindung aufbaute.
    das jetzige problem hat eine aenlichkeit nur es verbidet sich immer
    mit anderen seiten und es ist nicht staendig aktiv sondern es wird
    zeitgesteuert per zufallgenerator gestartet.
    die ad-w-a-r-e seite hat einen namen und ist bekannt, die bietet
    selber ein tool um das programm von der festplatte zu verbannen
    aber auch z.b der spysweeper mit neuen update kennt es und kann
    es entfernen.
    dieses neue ungeziefer ist, meine mainung nah ein mutant des obigen
    nur viel schlauer und ich glaube in der naechsten zeit werden wir noch
    mehr davon bekommen.
    entdeckt worde es rein zufaellig weil der besitzer des rechners
    bemerkte das die verbindung in die knie geht und anschliessend mit
    cca 10 bis 20 fenstern bombardiert war.
    bei mir ergaben alle sweeper, adawares und auch antivir programme
    beim ueberpruefen keine ergebnise, auch HJT und consortium nicht

    der einzige der meckerte war Fprot-Antivir der sich aber verabschiedete
    mit der meldung "Could be infected with unknown virus" und "Viruses
    cannot be disinfected unless they are identified"
    darauf schloss ich den rechner ueber meine firewall ann und vorerst
    geschah nichts, also lass ich den rechner ueber nacht an und am
    naechsten morgen sehe poppte die firewall mit anfrage ob es eine
    verbindung aufbauen duerfte.
    also war in der nacht irgend etwas aktiv.
    main vorgehen :
    mit Process Explorer erhaeltlich by http://www.sysinternals.com
    unersuchte ich die vorgaenge am rechner zur zeit der aktivierung
    der pronseiten und fand heraus das auf einmal ein process "bot"
    aktiv war der auch im normalen taskmanager angezeigt war aber
    nur zur zeit seine aktivitaet, sons war es nicht vorhanden
    der process explorer zeigt im oberen fenster die processe die
    momentan aktiv sind und im unteren fenster kann man sich wahlweise
    die dazugehoerigen dll's oder anwendungen anzeigen die vom process
    verwendet werden

    folgendes kamm heraus:
    im winnt ordner befand sich die libhide.dll die ein teil der vbstub.exe,
    auch im winnt ordner war und die bei booten immer mit windows
    galaden war, und mit system.exe den process "bot" aber nur im
    speicher und hidden bildete .
    ein loeschen oder killen der processe ist nicht moeglich so lange
    windows aktiv ist, und die im c:\erstellten dateien werden nach neu
    start immer wieder neu erstellt

    die vbstub.exe hohlte sich dann von der seite //kents.ru dann aus der
    dort gespeicherte config.txt die adressen der seiten (immer
    verschiedene) mit dem dann der rechner bombardiert worde.

    ich lies nochmal gewaeren und nach so eine attacke schrieb ich mir
    alle stellen wo die dateien auf der platte waren, danach installierte
    ich mit winnt32 /cmdcons die reparatur konsole auf dem rechner
    startete die reparatur konsole und eliminierte alle eintraege per hand.

    seit dem ist ruhe und der rechner dreht wieder seine runden normal

    wo kamm es her :
    der man lud sich ein crack als rar archiv in dem war eine keyg.exe und
    ein zweites archiv keyg.exe.rar gespeichert, leider versuchte er die
    erste keyg.exe zu starten.
     
  8. #7 14. Dezember 2005
    thx

    Ja danke für die Info und die Mühe, aber kannst du mir nochmal sagen, was ich machen muss, um das jetzt loszuwerden..BITTE !
    Schritt für schritt plz!

    plz wb.

    MfG BadboX
     
  9. #8 14. Dezember 2005
    lade dir als erstes vom sysinternals den processexplorer runter ist
    freeware, instaliere den, beende alle processe die du nicht brauchst
    das du bessere uebersicht hast, ( sachen die immer mit windows
    starten aber keiner braucht wie acrotray, office leiste, quicktime usw)
    ab da lese es dir nochmall durch es steht alles drin jedoch beachte,
    das bei dir die dateien ganz wo anderes deponiert sein koennen und
    andere namen haben, wenn du dir die laufenden processe im process
    explorer angeschat hast wird dir schon deutig was auf deinem rechner
    nichts zu suchen hat.
    z.b. geladene dll's die keine version und signaturen tragen, die dll mit
    rechte maustaste anklicken und sich anzeigen lassen von welchen
    process die geladen ist, die faulen sachen aufschreiben und von der
    reparaturkonsole loeschen
     
  10. #9 14. Dezember 2005
    Thx

    Also danke erstmal für das Programm...10 haste natürlich!
    Hab ja das gefunden, was das macht...

    der prozess heißt : iexplore.exe
    und darunter CAST MP3.exe

    doch wie kann ich das jetzt löschen?
    mit der reparaturkonsole....wo finde ich die?
    sry, aber ich stell mich grad nicht mit absicht nen bissel dämlich an =)

    PS.: soll ich den ganzen process killen (iexplore.exe) oder geht da was falsches kaputt?

    MfG BadboX
     
  11. #10 14. Dezember 2005
    Hi,

    Windows Installations CD einlegen --> Reparieren (und nicht Neu-Installieren) wählen:

    Dann kommst du in eine Console, mit der du auf deinem System rumnavigieren kannst. Du solltest vorher aber mal bisschen Batch (DOS , die Sprache ) anschaun, damit du weisst, wie du in das Verzeichnis kommst und die dateien löschst (nützliche befehle: cd , dir ( /s /B ) , rm , del )

    Alternativ, wenn gar nichts mehr geht, und du nichts machen kannst, es nicht schaffst:

    Knoppix oder eine andere LIVE-Distro holen, booten und dann die Windows-Dateien, die du brauchst, auf CD brennen ; danach Windows-Platten formatieren. Das aber nur im äussersten Notfall ;)

    EDIT:// Immer wenn ich grad "Beitrag speicher", fällt mir was neues ein :)
    Durch die vorherigen Programme siehst du ja, wo die *.dll u.s.w. liegen ; (meistens so system32 / winnt ) ; iexplore.exe ist glaub ich nur "Internet Explorer" ? Hab den bei mir soweit ich mich erinnern kann ( oehm, vor 3 Wochen das letzte mal Windows :D ),auch in den Prozessen drin. Jetzt aber >_< , 4tes mal edit :p

    Mfg,

    Kolazomai
     
  12. #11 14. Dezember 2005
    Autostart ist nur ein Eintrag in der Registry...

    Natürlich kannst jetzt sagen: du spinnst ja, ich mach sicher nix in der Registry!

    Dafür hat Windows eine extra Option gemacht! Mit Ausführen kannst ein Fenster öffnen, wo du alle AutoStart's siehst (inkl. System) und du kannst alle ausschalten! Dann wird eben der Registry Eintrag gelöscht und ich bezweifle dass das prog jedes mal wieder nen Eintrag macht!

    Allerdings fällt mir imho dieser Name nicht ein, den du bei Ausführen eingeben musst, muss nochmal umschaun! Ich hoffe ich find ihn bis morgen!
     
  13. #12 14. Dezember 2005
    RE: Thx

    1. @ Kolazomai ... hast du den ganzen thread gelesen? und soetwas schon mal selber gemacht? ...

    2. @ berbaer ... kompliment. langsam wirst du mit deinen antworten sympatisch.

    3. @ lordosiris ... der Befehl für Ausführen nennt sich msconfig
    aber damit kannst du dir bei weiten nicht mal 10 % aller dinge anzeigen lassen, die von windows geladen werden.
    dafür musst du schon ein wenig weiter gehen.

    4. @ BadboX

    der prozess iexplore.exe gehört zu deinem internet explorer

    mit anderen worten, du hast ein programm auf deinem system, dass durch den IE nach hause telefoniert.

    wie du jetzt weiter vorgehst, im process explorer von sysinternals.com kannst du eine stufe tiefer gehen, indem du dir ansiehst, welche dateien in diesem prozess geladen werden.

    dafür klickst du auf "view -> Lower panel"

    im nun unten stehenden panel kannst du nach der datei suchen, oder nach den dateien suchen, die dort nicht hingehören.
    da muss ich aber sagen, das wird eine sehr langwierige arbeit werden.

    suche nach etwas das da nicht sein sollte, und lösche es (backup machen) pc neustarten, und schauen, ob das problem noch besteht.

    woher du wissen sollst, welche dateien dort geladen werden ... das kann ich so ganz allgemein nicht sagen.

    aber was ich machen würde, bevor ich mit dem process explorer arbeiten würde, wäre

    1. hier ein Hijackthislogfile posten (VGL Link in meiner Sig)

    2. mit Kaspersky oder Panda einen Onlinevirenscan machen, oder besser escan machen http://virus-protect.net/escan.html

    3. http://virus-protect.net/datfindbat.html hier die 4 logfiles posten, (nur den zeitraum, seitdem du das problem hast ... in der regel die letzten drei wochen ...

    4. die von dir bereits als böse entdeckten dateien in einem onlinescan von z.B. jotti testen lassen.
    damit du weißt und uns sagen kannst, welcher virus das ist.

    5. dir das programm killbox besorgen,
    macht das gleiche wie unlocker, nur ein wenig anders.

    mit all diesen logfiles würde ich mich hier wieder melden.

    außerdem mach nochmal mit diesen beiden programmen einen scan
    1. ewido
    2. counterspy

    (findest du beide hier )
    http://virus-protect.net/index.html

    mfg spotting
     
  14. #13 15. Dezember 2005
    @spotting: Ja und nein ; Er hat schon längst Antworten auf die Ausgangs-Frage bekommen. Ich habe ihm beantwortet , wo er die Reperatur-konsole findet , und was er machen soll. Wenn du dir vielleicht mal den Thread ganz durchgelesen hättest, hättest vielleicht gemerkt, dass das meiste schon vorgeschlagen wurde bzw. dieses besondere Programm,das er da hat, von allen(!?) AVs nicht erkannt wird.

    Mfg,

    Kolazomai
     
  15. #14 15. Dezember 2005
    Trojaner

    Also bei dem Onlinevirenscan hat sich rausgestellt:
    Der Virus ist ein Trojaner !
    Er heißt:

    Trojan-Downloader.Win32.Swizzor.co

    Aber mit Killbox geht er nicht zu löschen!
    BITTE HELFT MIR!

    Wie bekomm ich den Virus weg?
    (Programme, dass es löschen kann?)

    MfG BadboX
     
  16. #15 15. Dezember 2005
    hallo an alle,

    ich kann nicht alles im deteil mit jedem handgriff in einzelheiten fuer
    jeden aufschreiben, ein wenig muesst ihr auch mitmachen wenn ein
    programm da ist das so komplex ist muss man selbs darueber ein
    wenig lernen, sonst artet das immer wieder zu einem roman.

    wie spotting anzeigte im schow lower pane kann man sich die geladene
    DLL's oder vom programm "gehandelte" dateien anzeigen lassen.

    wenn man auf show DLL's hacken setzt zeigt es z.b. von internet
    explorer geladene DLL's.
    es wird der name, beschreibung, company, und version fuer jede
    datei angezeigt, die dateien die wir suchen haben aber sehr selten
    einen owner oder version eintrag, und auf so eine datei mit rechete
    maustaste geklickt wird auch der ort von wo die geladen wird gezeigt.
    das ist hilfreich wenn eine dll mehrmals auf dem system vorhanden ist.

    REPARATUR_KONSOLE !

    repartur konsole ist ein reliquium aus NT4 zeiten, worde aber nach
    win 2000 uebernommen und funktioniert auch unter XP sehr gut.

    ich habe auf allem meinem rechnern die reparaturkonsole immer
    fest installiert und brauche dann um es auszufuehren keine cd mehr
    einzulegen beim booten, die ist fest eingetragen in boot.ini.

    zur installation und zu den einzelnen befehlen steht alles in der
    einfachen MS hilfe, man mus nur nach dem begriff wiederherstellungs-
    konsole suchen.
    man legt unter laufenden windows die MS cd ins laufwerk und ruft die
    eingabeaufforderung auf, dann wird der befehl eingegeben :

    winnt32.exe /cmdkons

    danach einmal neu booten und die repa konsole ist im startenden
    betriebsystemen auswaehlbar

    jetzt nimmt man den zettel mit aufgeschriebenen "boesen" dateien
    die man feuer gefunden hat und mitdem befehl z.b.:

    DEL C:\WINDOWS\SYSTEM32\boese.dll und return .....

    nue starten und die sind nicht mehr vorhanden,
    hat mann eine datei geloescht die win zumm starten braucht wird beim
    start gemeckert. datei nicht vorhanden, dann mus man zum zweiten
    mal die konsole starten die cd einlegen und mit copy eine original
    MS datei vom cd ins system copieren
     
  17. #16 15. Dezember 2005
    RE: Trojaner

    der lässt sich mit nem hijackthislog entfernen
     
  18. #17 15. Dezember 2005
    frage

    sehr gut, aber hijackthislog ist doch das freeware-programm oder?
    wie muss ich das denn da machen (den virus löschen) ?

    plz help

    MfG BadboX
     
  19. #18 16. Dezember 2005
    RE: frage

    hier das logfile posten.

    das prog findest du durch den link in meiner sig
     
  20. #19 16. Dezember 2005
    Die Logfile

    DAS IST DIE LOGFILE, WIE KANN ICH DEN VIRUS JETZT LÖSCHEN?
    PLZ HELP NOCHMAL...

    Logfile of HijackThis v1.99.1
    Scan saved at 22:24:14, on 16.12.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\System32\DVDRAMSV.exe
    C:\Programme\ewido\security suite\ewidoctrl.exe
    C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
    C:\Programme\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\oodag.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
    C:\Programme\Analog Devices\SoundMAX\Smax4.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
    C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Internet Explorer\iexplore.exe
    c:\progra~1\intern~1\iexplore.exe
    C:\Games\Steam\steam.exe
    c:\games\steam\steamapps\duke1990\counter-strike source\hl2.exe
    C:\Programme\Opera\Opera.exe
    C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
    C:\Dokumente und Einstellungen\Jürgen\Desktop\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chclan.com/index
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/
    R3 - URLSearchHook: (no name) - {E134842F-7E87-4172-9530-23D620BC74AF} - (no file)
    R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {A4C2D573-B208-5C6C-86DF-B58171D5F089} - C:\DOKUME~1\JRGEN~1\ANWEND~1\MAILME~1\Media First.exe
    O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
    O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
    O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Acronis True Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [batbeeproadsite] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\poll film bat beep\mathweb.exe
    O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Steam] "c:\games\steam\steam.exe" -silent
    O4 - HKCU\..\Run: [pokeloud] C:\DOKUME~1\JRGEN~1\ANWEND~1\INTERN~1\CAST MP3.exe
    O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
    O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY
    O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
    O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
    O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
    O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
    O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
    O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
    O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
    O23 - Service: Groove Games Licensing Service - Groove Games - C:\Programme\Gemeinsame Dateien\Groove Games Shared\Service\ggameslicsvc.exe
    O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
     
  21. #20 17. Dezember 2005
    RE: Die Logfile

    bitte geht doch

    'c:\programme\newdotnet

    da steckt dein virus.

    aber wenn du jetzt hinrennst, und den löschst, wirst du nicht sehr weit kommen.

    erst mal ein paar anmerkungen zu deinem system

    norton
    ewido
    avpersonal
    ... das sind 2 av programme zuviel im autostart.
    deinstalleire zwei davon.
    meiner meinung nach ewido und norton sollten weg.
    bleibe bei av personal.
    oder gehe zu kaspersky

    sunbelt counterspy

    ist nur ein zusätzliches programm, dass man ab und zu zusätzlich nutzen sollte.
    es ist bei weitem nicht so zuverlässig wie pest patrol. oder spybot

    o&odefrag
    tuneup2006 winstyler
    acronis true image
    teamspeak

    bis auf tuneup winstyler, vlt, wenn du meinst das nutzen zu müssen, haben die nichts im autostart zu suchen.
    defrag programme die im hintergrund arbeiten brauchen mehr ressourcen als sie freigeben können.
    acronis true image ist nett, aber nicht im autostart.
    und teamspeak soll immer dann starten, wenn man es braucht, aber nicht im autostart.

    du musst eines verstehen, umso mehr programme laufen, umso mehr angriffspunkte bietest du einem hacker, oder einem virus.

    steam
    conuterstrike source und halflife 2

    hust.
    steam ist ein grund halflife und co zu boykottieren... naja, das ist meine subjektive meinung. da du schlie0ßlich ne clanseite als homepage eingetragen hast bist du dort ein verlorenes schaf...

    icq toolbar
    opera

    wenn du opera nutzt, wozu hast du dann ne internet explorere icq tolbar installiert ??? ...


    ok, diese einträge gehören alle zu deinem virus

    O4 - HKCU\..\Run: [pokeloud] C:\DOKUME~1\JRGEN~1\ANWEND~1\INTERN~1\CAST MP3.exe
    O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY
    O2 - BHO: (no name) - {A4C2D573-B208-5C6C-86DF-B58171D5F089} - C:\DOKUME~1\JRGEN~1\ANWEND~1\MAILME~1\Media First.exe
    R3 - URLSearchHook: (no name) - {E134842F-7E87-4172-9530-23D620BC74AF} - (no file)
    O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing


    diese einträge kenn ich nicht

    O4 - HKLM\..\Run: [batbeeproadsite] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\poll film bat beep\mathweb.exe
    O23 - Service: Groove Games Licensing Service - Groove Games - C:\Programme\Gemeinsame Dateien\Groove Games Shared\Service\ggameslicsvc.exe


    und diese einträge sollten mit hijackthis gefixxed werden.

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab

    so, wie gehst du jetzt weiter vor.

    1. da du windows xp mit service pack 2 nutzt, muss ich sagen, wirst du für alle weiteren scans, in den abgesicherten modus gehen müssen.
    diesen erreichst du wenn du während des starten deines pc die taste F8 drückst, und dort den abgesicherten modus mit den pfeiltasten auswählst. (kurz vor dem windows boot screen)

    2. besorge dir diese programme

    - ccleaner
    http://www.ccleaner.com/ccdownload.asp
    - cwshredder
    http://www.intermute.com/spysubtract/cwshredder_download.html
    - spybot
    http://www.safer-networking.org/en/download/index.html
    installiere sie falls nötig (spybot und ccleaner)
    update sie falls nötig (spybot)

    3. starte jetzt deinen pc im abgesicherten modus

    starte den ccleaner
    lösche damit die temp dateien.

    starte den cwshredder
    scanne mit ihm einmal deinen pc

    und zuguterletzt nochmal mit spybot scannen.

    das alles im abgesicherten modus !!!

    bevor du jetzt wieder in den normalen modus wechselst, mache noch ein hijackthislogfile.

    suche in den scanergebnissen nach den von mir oben aufgeführten einträgen. wenn sie dort erscheinen, setze einen haken kurz davor.

    unten steht dann fix checked.
    klicke dann darauf (alle auf einmal)

    dann starte deinen pc neu. wieder in den abgesicherten modus.
    sieh jetzt manuell nach, ob die dateien, die ich oben angegeben habe (und die teilweise ein wenig mit pfad versteckt sind) noch vorhanden sind.
    wenn dem so ist brauchst du das programm "killbox".
    markiere mit diesem programm alle dateien, die noch vorhanden sind, und lösche sie mit der option delete on next reboot (lösche beim nächsten neustart)

    starte dann den pc nochmal neu, diesemal normal
    und schau nach, ob der fehler noch vorhanden ist.
    wenn ja, mach noch einen escan
    wie das geht steht hier
    http://virus-protect.net/escan.html

    normalerweise sollte dein pc dann sauber sein.

    wenn nicht, melde dich nochmal wieder, indem du diese protokolle wie hier beschreiben ausführst, und als txt an deinen post anhängst.
    http://virus-protect.net/datfindbat.html

    mfg spotting
     
  22. #21 17. Dezember 2005
    @spotting
    bravo !
    warum will es keiner begreifen ?
    dabei wird bei jedem antivirus programm gewarnt alle anderen paralell
    laufenden programme zu deaktivieren und deinsatllieren, man mus
    nur die par zeilen zu dem programm lesen, warscheinlich zu schwer ?

    aenlich ist es mit dem partitionier programmen, da versucht man eins
    zu installieren, der sagt das er mit partition nicht klar kommt und
    schon wird ein zweiter installiert in der hoffnung mit dem geht es
    statt sich mit dem ersten programm ein wenig zu bescheftigen und
    herauszufinden warum es nicht funktioniert, fehler vorm komputer !
    zum glueck kommt dann noch der dritte im bunde dazu, der windows
    und wenn der auf so eine platte craescht ist nichts mehr zu retten.

    hinzu kommen noch die angeblichen hilfen, toolbars und sonstiges
    die nur ein ziel verfolgen-dem benutzer irgendwo hin zu locken wo ihm
    eine werbung zugeschantzt wird.

    auf so enem system etwas finden ? man sieht den wald vor lauter
    baume nicht, abgesehen davon das fuer so ein gestresstes system
    die resourcen auch die besten nicht ausreichen.
     
  23. #22 17. Dezember 2005
    1. Abgesicherter Modus starten (vorm booten F8 )
    2.Start --> Ausführen ---> "msconfig" eingeben ---> Autostart
    3.rebooten
    4.Fertig
     
  24. #23 17. Dezember 2005
    Jjjjuuuhhhhuuuu

    BOA VIELEN DANK AN ALLE !!!
    ABER BESONDERS AN spotting !
    Denn mit seiner Methode hat es geklappt...
    Natürlich werden jetzt nochmal 10en verteilt!
    Sagt bescheid, wenn ihr was braucht....bin euch was schuldig!

    THX
    THX
    THX

    MfG BadboX

    EDIT:// Hab grad beim escan gemerkt, dass alle dateien in meinem Internet Junk-Ordner Trojaner sind...Kann das sein?
    Habt ihr was in eurem Internet Junk - Ordner?
    (PFAD:
    C:\Dokumente und Einstellungen\benutzername\Anwendungsdaten\Internet Junk)
    *benutzername muss natürlich mit eurem ersetzt werden*
     
  25. #24 17. Dezember 2005
    RE: Jjjjuuuhhhhuuuu

    Isch habe gar keinen Internet Junk ordner
     

  26. Videos zum Thema
Die Seite wird geladen...
Similar Threads - Autostartprogramm
  1. [XP] Autostartprogramme verstecken

    hubsn , 14. März 2011 , im Forum: Windows
    Antworten:
    7
    Aufrufe:
    583
  2. Autostartprogramme blockieren

    Seepirat , 27. März 2007 , im Forum: Windows
    Antworten:
    8
    Aufrufe:
    406
  3. Antworten:
    3
    Aufrufe:
    215