Computerhilfen.de
Hilfe und Tipps => Antivirus Sicherheit => Thema gestartet von: susimauselchen am 12.05.07, 16:30:14
-
Hallo,
bei meinem Rechner gibt es derzeit drei sehr seltsame Probleme, die sich irgendwie nicht abstellen lassen:
1. Ständig wird die Verbindung zum Netzwerk (http://www.computerhilfen.de/fachbegriffe-n-Netzwerk.html) zurückgesetzt. Mal geht sie dann ganz schnell wieder, mal stundenlang nicht. LAN (http://www.computerhilfen.de/fachbegriffe-l-LAN.html) steht, aber der Datenfluss funktioniert nicht.
2. Obwohl ich mit Mozilla arbeite, öffnet sich dauernd der IE mit merkwürdigen Seiten drauf (Sie haben XXX-Dateien auf Ihrem PC / Wir scannen Ihr System mal nach Viren usw.)
3. Avast zeigt mir dauernd irgendwelche Trojaner (http://www.computerhilfen.de/fachbegriffe-t-Trojaner.html) oder sonstwas an.
Und das, obwohl ich die Firewall (http://www.computerhilfen.de/fachbegriffe-f-Firewall.html) oben habe, der IP-Cop im Hintergrund läuft usw.
Das Problem tritt seit einigen Wochen auf, häuft sich aber jedesmal mehr.
Und hier ist die Logfile von HiJackThis:
Logfile of HijackThis v1.99.1
Scan saved at 15:43:50, on 12.05.2007
Platform: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP SP2 (WinNT 5.01.2600)
MSIE: Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\HP\HP Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Update\HPWuSchd2.exe
C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe
C:\Programme\HP\HP UT\bin\hppusg.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Programme\Mindjet\MindManager 5\sys\PDF\ENU\W2K\PDFSaver.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Dokumente und Einstellungen\Mausilein\Desktop\lanstartgui\LANStart.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\DOKUME~1\MAUSIL~1\LOKALE~1\Temp\Temporäres Verzeichnis (http://www.computerhilfen.de/fachbegriffe-v-Verzeichnis.html) 1 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F3 - REG:win.ini: run=ppextens.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [zzzHPSETUP] H:\Setup.exe
O4 - HKLM\..\Run: [HP Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Update] "C:\Programme\HP\HP Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [ToolBoxFX] "C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /systrayIcon:on /fl:on /fr:on /appData:on
O4 - HKLM\..\Run: [HPUsageTracking] C:\Programme\HP\HP UT\bin\hppusg.exe "C:\Programme\HP\HP UT\"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\system32\odafyybc.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: MindManager PDF (http://www.computerhilfen.de/fachbegriffe-p-PDF.html) Writer.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\ENU\W2K\PDFSaver.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java (http://www.computerhilfen.de/fachbegriffe-j-Java.html) Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner (http://www.computerhilfen.de/fachbegriffe-s-Scanner.html) 3.0) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF54C7DD-B877-4706-8F65-30DE65774F37}: NameServer = 192.168.0.200
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner (http://www.computerhilfen.de/fachbegriffe-s-Scanner.html) - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner (http://www.computerhilfen.de/fachbegriffe-s-Scanner.html) - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Pml Driver (http://www.computerhilfen.de/fachbegriffe-d-Driver.html) HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
Bitte, helft mir. Ich bin mit meinem Latein am Ende.
Danke,
Susanne.
-
Hallo,
F3 - REG:win.ini: run=ppextens.exe
Das kommt mir aber spanisch vor, oder verwendest du Programme die im DOS-Modus laufen.
-
Hallo,
F3 - REG:win.ini: run=ppextens.exe
Das kommt mir aber spanisch vor, oder verwendest du Programme die im DOS-Modus laufen.
Hallo, mir kommt diese ganze Liste spanisch vor. Was meinst du denn genau?
Susanne
-
kopiere das Logfile mal bei www.hijackthis.de rein und lass es dort auswerten.
Überrigens würde ich diesen F3-Eintrag gleich mal fixen.
-
kopiere das Logfile mal bei www.hijackthis.de rein und lass es dort auswerten.
Überrigens würde ich diesen F3-Eintrag gleich mal fixen.
Hallo, Achim,
die Auswertung zeigt mir noch zwei andere Programme mit einem Achtung-Zeichen:
O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\system32\odafyybc.dll",realset
O4 - HKLM\..\Run: [HPUsageTracking] C:\Programme\HP\HP UT\bin\hppusg.exe "C:\Programme\HP\HP UT\"
Das scheint mein Netzwerkdrucker zu sein ???
Was soll ich mit denen machen?
Danke für deine Hilfe,
Susanne.
-
den 1. würde ich auch löschen, sehr komischer Dateiname.
-
den 1. würde ich auch löschen, sehr komischer Dateiname.
Das mache ich dann mal. Ich melde mich, wenn die Sache durch ist. Muss jetzt vom Not-PC auf meinen richtigen wecheln.
Erstmal vielen, vielen Dank.
Susanne.
-
den 1. würde ich auch löschen, sehr komischer Dateiname.
Hallo, Achim, ich bins wieder...
Also. ich habe nun gottseidank wieder Netzverbindung - der Himmel weiß, wieso, - aber der IE geht immer noch auf. Diesmal wollte er mir gerade eben einen Drivecleaner-Scan machen. Folgendes habe ich schon unternommen:
1. Den Messenger habe ich ausgeschaltet, auch unter "Dienste".
2. Mozilla Firefox (http://www.computerhilfen.de/download-8451109180319399.html) ist mein Standardbrowser.
Hast du eine Idee, wie ich diese nervtötenden Aktionen unterbinden könnte?
Danke,
Susanne.
-
ist der Nachrichtendienst deaktiviert.
http://www.computerhilfen.de/tipps-windows-nachrichtendienst-deaktivieren.php3
Ansonsten auch mal einen Viren- und Spyware-Scann im abgesicherten Modus durchführen.
-
Hallo,
suche dir das Programm "Blacklight" und lass es nach Anleitung laufen.
Poste unbedingt im Anschluß den Bericht !!
Desweiteren suchst du dir über Google den Dateiprüferdienst "Virustotal"
Dort läßt du diese Beiden Dateien prüfen :
C:\Programme\HP\HP UT\bin\hppusg.exe "C:\Programme\HP\HP UT\"
C:\WINDOWS\system32\odafyybc.dll",realset
ppextens.exe
Du kannst aber schon mal deine Windows-Installations CD suchen gehen,aller Wahrscheinlichkeit nach wirst du sie brauchen......
Sir Reklov
-
Hallo,
suche dir das Programm "Blacklight" und lass es nach Anleitung laufen.
Poste unbedingt im Anschluß den Bericht !!
Desweiteren suchst du dir über Google den Dateiprüferdienst "Virustotal"
Dort läßt du diese Beiden Dateien prüfen :
C:\Programme\HP\HP UT\bin\hppusg.exe "C:\Programme\HP\HP UT\"
C:\WINDOWS\system32\odafyybc.dll",realset
ppextens.exe
Du kannst aber schon mal deine Windows-Installations CD suchen gehen,aller Wahrscheinlichkeit nach wirst du sie brauchen......
Sir Reklov
Hallo, Sir Reklov,
danke für die Informationen. Also: Folgendes ist passiert beim Prüfen:
1. Blacklight zeigte keine versteckten Elemente.
2. Ich habe zwei Dateien an Virustotal geschickt. Die Datei ppextens.exe kenne ich, die gehört zu einem Programm, das auf Basis von PPT Unterrichtsumgebungen gestaltet. Es ist virenfreie Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) eines großen Schulbuchverlages.
3. Ich habe in der Systemsteuerung/Software den IE entfernt (Windows-Komponenten entfernen), aber er geht immer noch auf. Warum, weiß der Geier...
4. Ich habe meinen Rechner vom IP-Cop abgetrennt und geht nun direkt über den Router ins Netz. Das funktioniert offensichtlich, ist aber m.E. nur eine Notlösung, zumal das ganze System bis vor einigen Wochen reibungslos funktionierte.
5. Vor zwei Wochen habe ich XP in meiner Not nach Formatierung der Festplatte (http://www.computerhilfen.de/fachbegriffe-f-Festplatte.html) völlig neu aufgespielt. Alle neuen Updates sind drauf, SP2 installiert. Wenn du also sagst, ich sollte meine XP-CD zücken, meinst du dann eine völlige Neuinstallation? Die hat das Problem nämlich nicht behoben, das hatten wir schon.
6. Der Virenscan im abgesicherten Modus brachte keine Ergebnisse.
Seltsam ist, dass die Probleme nach dem Start nicht auftreten, sondern immer dann, wenn ich eine Zeitlang in Mozilla nichts mache, aber bspw. auf einer Seite lese.
Vielleicht fällt dir nochwas ein...
Könnte es sein, dass der Fehler im BIOS (http://www.computerhilfen.de/fachbegriffe-b-BIOS.html) liegt?
Grüße,
Susanne.
-
Darum : Virenscan machen ....
unbedingt immer im abgesicherten Modus scannen !
Vor dem Scan dort unter SYSTEM die Systemwiederherstellumg AUS ,
(vorsicht, alle Punkte sind dann weg)
Virenscan machen & ggf Adwarscan mit Spybot S&D oder Adware-SE
Systemwiederherst. wenn OK = wieder AN
Normalstart
-
Darum : Virenscan machen ....
unbedingt immer im abgesicherten Modus scannen !
Vor dem Scan dort unter SYSTEM die Systemwiederherstellumg AUS ,
(vorsicht, alle Punkte sind dann weg)
Virenscan machen & ggf Adwarscan mit Spybot S&D oder Adware-SE
Systemwiederherst. wenn OK = wieder AN
Normalstart
Hallo,
habe ich alles schon längst gemacht. Wenn das das Problem wäre, würde ich hier nicht fragen.
Kann das noch an etwas anderem liegen?
Susanne.
-
Hallo,
du solltest keine Dateien verschicken ,sondern einfach nur hochladen und auswerten lassen.
Wenn du Schädlingsdateien versenden möchtest mußt du diese als verpackten Anhang einer EMail verschicken und mit einem Kennwort belegen.Im Anschreiben der Mail solltest du zum aufpacken das Kennwort nicht vergessen reinzuschreiben... ;D
Andere Wege sind sinnlos ,da die Mail im "Nirwana landet.
Verständlich oder ?
Die öffnen doch keinen Anhang mit möglicherweise verseuchtem Inhalt.... 8)
Dein Anhang wird dann auf ein Testsystem rübergelegt und dort geöffnet..
Hier ist noch ein Onlinescanner den du nutzen kannst :
http://virusscan.jotti.org/de/
Lade einfach die beiden Dateien dort hoch.
Poste die Ergebnisse ,auch wenn nichts gefunden wird,mit dem MDA und HASH Werten...
Blacklight zeigte keine versteckten Elemente.
Woher die Gewissheit ? ::)
Ich habe in der Systemsteuerung/Software den IE entfernt (Windows-Komponenten entfernen), aber er geht immer noch auf
Der IE läßt sich auch soeinfach nicht löschen....
Wo holst du dann die Updates her,MS verlangt zwingend den IE zum Updaten...
Auf der Kiste haben ist kein Problem.Erst damit surfen wird eins... ;D
Die Datei ppextens.exe kenne ich, die gehört zu einem Programm, das auf Basis von PPT Unterrichtsumgebungen gestaltet. Es ist virenfreie Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) eines großen Schulbuchverlages.
Gut ,wenn du dir dessen sicher bist,lassen wir die Datei in Ruhe
Muß aber sehr alte Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) sein,dem Log nach .... 8)
Ich habe meinen Rechner vom IP-Cop abgetrennt und geht nun direkt über den Router ins Netz. Das funktioniert offensichtlich, ist aber m.E. nur eine Notlösung, zumal das ganze System bis vor einigen Wochen reibungslos funktionierte.
Einen IP Cop kenne ich nicht wirklich,melde aber schon mal Zweifel an seinem Sinn an... ;)
Dein Router braucht keinen "Polizisten",er ist selbst ein guter Aufpasser... ;D
Ich mach mich mal schlau ,was deinen Cop betrifft.Heute aber nicht mehr....
Wenn du also sagst, ich sollte meine XP-CD zücken, meinst du dann eine völlige Neuinstallation?
Vermutlich wirst du da nicht drum rumkommen...
Die beiden O4 Eintrage stinken .... ::)
Seltsam ist, dass die Probleme nach dem Start nicht auftreten, sondern immer dann, wenn ich eine Zeitlang in Mozilla nichts mache, aber bspw. auf einer Seite lese
Wie bemerkst du es ?
Gibt es dazu eine Fehlermeldung ?
Wenn ja bitte im ganzen kompletten Wortlaut posten.
Gibt die "Ereignisanzeige " in Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) etwas her ?
Bitte auch posten.
Ich werde das jetzt schlafend überdenken und mich morgen melden... ():-)
Sir Reklov
-
Nachtrag :
Was mir schon früher aufgefallen ist...
ein Log von Hijackthis kann nicht vollständig sein.
Ist es möglich das du das Log nicht ordentlich hier einkopiert hast ?
Du mußt dir wegen Datensicherheit keinen Kopf machen..
Das Log kannst du nach persönlichen Infos durchsehen...
Dein Namen ,wenn er auftaucht im Log,mit XXX ersetzen...
Hast du mit der automatischen Auswertung irgend was gefixt/gelöscht ?
Sir Reklov
-
Nachtrag :
Was mir schon früher aufgefallen ist...
ein Log von Hijackthis kann nicht vollständig sein.
Ist es möglich das du das Log nicht ordentlich hier einkopiert hast ?
Du mußt dir wegen Datensicherheit keinen Kopf machen..
Das Log kannst du nach persönlichen Infos durchsehen...
Dein Namen ,wenn er auftaucht im Log,mit XXX ersetzen...
Hast du mit der automatischen Auswertung irgend was gefixt/gelöscht ?
Sir Reklov
Hallo, Sir Reklov,
zuerst einmal vielen Dank für deine besorgte und liebe Fernbetreuung einer Ahnungslosen...
Ich habe mir jetzt ein kostenpflichtiges Tool runtergeladen, das ich schon mal draufhatte. Es heißt "PCDoc Pro" und fand sofort ca. 180 Probleme. Nachdem ich die alle "gefixt" habe, hat das Problem sich offensichtlich erledigt. Seit 4 Stunden erhalte ich keine Meldungen und keine Pop-Ups mehr.
Was das Programm genau gemacht hat, weiß ich nicht. Das Ergebnis ist in jedem Fall überwältigend.
Da gebe ich lieber 50 Dollar aus und die Kiste läuft wieder.
Nochmals vielen, vielen Dank für die Unterstützung.
Susanne.
-
Hallo,
es ist deine Kiste,du darfst damit tun und lassen was du willst.... ():-)
und fand sofort ca. 180 Probleme
Das war zu erwarten,immerhin hast du eine Menge Geld dafür bezahlt... ::)
Seit 4 Stunden erhalte ich keine Meldungen und keine Pop-Ups mehr.
Abwarten und weiter beobachten..... 8)
Was das Programm genau gemacht hat, weiß ich nicht
Da bist du nicht der Einzige... ;D
Manche "böse Zungen" behaupten,das Tool weiß es ebenfalls nicht... 8)
Möglicherweise wirst du das auch feststellen,wenn irgend ein Programm plötzlich nicht mehr so funzt wie es sollte...
as ist ein weit verbreitetes Problem mit diesen Systemoptimierern..... ():-)
Hoffentlich ist wenigstens ein erreichbarer Support mit dabei... ::)
Nochmals vielen, vielen Dank für die Unterstützung.
Kein Problem...gerne geschehen... ;)
Sir Reklov
-
Hallo,
es ist deine Kiste,du darfst damit tun und lassen was du willst.... ():-)
Abwarten und weiter beobachten..... 8)
Hallo, Sir Reklov,
jetzt komme ich der Sache sehr, sehr nahe, glaube ich. Nachdem nun erstmal alle systeminternen Abstürze und sonstigen Seltsamheiten erledigt sind, zeigt nun auch der F-Secure, den du mir empfohlen hast, Einträge, die er nicht löschen kann. Sie finden sich alle in der System32 und wurden als "Packed Win32.Klone (Virus)" identifiziert. Gestern hatte er nix angezeigt, warum auch immer.
Als da wären:
xjwlnpm.dll
xjvxjayo.dll
ujbtvuek.dll
krfurllp.dll
fwkvryes.dll
Im abgesicherten Modus löschen??? F-Secure will's nicht tun.
-
Sorry, Sir Reklov, wollte noch vielen Dank hinterherschicken... war wohl zu schnell.
Susanne.
-
@susimauselchen
Mit dem Tool “The Avenger“ können die Dateien manuell gelöscht werden.
Eine gute Anleitung zum Tool und einen Downloadlink findet man hier:
http://virus-protect.org/artikel/tools/avenger.html
Der folgende Script muss komplett nach Avenger unter “View/edit script“ kopiert werden:
###Anfang### (Diese Zeile nicht mitkopieren!)
Files to delete:
%windir%\system32\xjwlnpm.dll
%windir%\system32\xjvxjayo.dll
%windir%\system32\ujbtvuek.dll
%windir%\system32\krfurllp.dll
%windir%\system32\fwkvryes.dll
###Ende### (Diese Zeile nicht mitkopieren !)
Poste den Bericht von Avenger hier.
-
Der folgende Script muss komplett nach Avenger unter “View/edit script“ kopiert werden:
###Anfang### (Diese Zeile nicht mitkopieren!)
Files to delete:
%windir%\system32\xjwlnpm.dll
%windir%\system32\xjvxjayo.dll
%windir%\system32\ujbtvuek.dll
%windir%\system32\krfurllp.dll
%windir%\system32\fwkvryes.dll
###Ende### (Diese Zeile nicht mitkopieren !)
Poste den Bericht von Avenger hier.
Hallo, Sir Reklov,
das mache ich dann mal. Aber: DIE DATEIEN SIND WEG!!! VERSCHWUNDEN!!! Avenger zeigte also folgendes an: Logfile of The Avenger version 1, by Swandog46
Running from registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) key:
\Registry\Machine\System\CurrentControlSet\Services\bhxbbsdv
*******************
Script file located at: \??\C:\Program Files\cxayntsx.txt
Script file opened successfully.
Script file read successfully
Backups directory (http://www.computerhilfen.de/fachbegriffe-d-Directory.html) opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\system32\xjwlnpm.dll not found!
Deletion of file C:\WINDOWS\system32\xjwlnpm.dll failed!
Could not process line:
C:\WINDOWS\system32\xjwlnpm.dll
Status: 0xc0000034
File C:\WINDOWS\system32\xjvxjayo.dll not found!
Deletion of file C:\WINDOWS\system32\xjvxjayo.dll failed!
Could not process line:
C:\WINDOWS\system32\xjvxjayo.dll
Status: 0xc0000034
File C:\WINDOWS\system32\ujbtvuek.dll not found!
Deletion of file C:\WINDOWS\system32\ujbtvuek.dll failed!
Could not process line:
C:\WINDOWS\system32\ujbtvuek.dll
Status: 0xc0000034
File C:\WINDOWS\system32\krfurllp.dll not found!
Deletion of file C:\WINDOWS\system32\krfurllp.dll failed!
Could not process line:
C:\WINDOWS\system32\krfurllp.dll
Status: 0xc0000034
File C:\WINDOWS\system32\fwkvryes.dll not found!
Deletion of file C:\WINDOWS\system32\fwkvryes.dll failed!
Could not process line:
C:\WINDOWS\system32\fwkvryes.dll
Status: 0xc0000034
Completed script processing.
*******************
Sollte ich vielleicht dann doch XP reparieren? Die Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) habe ich ja da...
Noch etwas Merkwürdiges: Direkt nach dem Start versucht der IE mich mit dem Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) zu verbinden und fragt, ob ich offline arbeiten will. Da muss doch ein Prozess laufen, oder?
Vielleicht schmeiße ich das blöde Ding auch einfach aus dem Fenster. Das sollte mein Problem wohl am ehesten lösen.
Schnief...
Susanne.
-
@susimauselchen
Avenger konnte die nicht mehr finden!
Fakt ist, das diese Datei Malware ist:
C:\WINDOWS\system32\odafyybc.dll
Wurde dieser Eintrag aus dem Logfile of HijackThis gefixt? Ich tippe hier auf eine Variante von SmitFraud oder noch eher auf Vmonde, das passt mit den bereits 5 entdeckten Dateien im Verzeichnis (http://www.computerhilfen.de/fachbegriffe-v-Verzeichnis.html) Windows/system32 zusammen.
Lösche bitte deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.
Verwende das Removaltool gegen Vmonde:
http://www.atribune.org/content/view/24/2/
Weiter benütze das Removaltool gegen Smitfraud und Co., in englischer Sprache.
Eine kurze Anleitung in Deutsch ist auf der Homepage vorhanden und sollte unbedingt genau befolgt werden.
http://siri.urz.free.fr/Fix/SmitfraudFix_De.php
Erstelle nun ein neues Logfile of HijackThis und poste die drei Reports!
-
Hallo,
nutze diese Anleitung zur Entfernung deines Problems...
http://www.trojaner-board.de/21709-automatische-entfernung-des-trojaners-smitfraud-c-aka-troj-fakeale-c.html
Sie beschreibt sehr viel genauer die Vorgehnsweise....
Bemerkung am Rande....
Ich habs ja gewußt... ;D
und
Verwechsel mich bitte nicht mit dem User "Help"
Ich würde sonst beleidigt sein.... :-*
Sir Reklov
-
Bemerkung:
Sofern es sich wirklich um die Malware Smitfraud handelt,
könnte das Tool smitrem nutzlos ein, da es seit November 2006 nicht mehr aktualisiert wird und somit neue Varianten nicht kennt.
@susimauselchen
Um deine Nerven die nächste Zeit zu schonen, verwende einen vollwertigen Virenscanner der zu dir passt.
Sehr empfehlenswert ist hier die Kaufversion von Avira,
AntiVir PersonalEdition Premium.
Eine kostenlose 90 Tage Version zum Testen findest du hier:
http://www.chip.de/downloads/c1_downloads_18182423.html
und eine Anleitung gibt es unter
http://www.chip.de/artikel/c1_artikel_18275549.html
Deinstalliere zuvor unbedingt Avast!
-
Sofern es sich wirklich um die Malware Smitfraud handelt,
Wann hatte ich denn jemals Unrecht ? ;D
könnte das Tool smitrem nutzlos ein, da es seit November 2006 nicht mehr aktualisiert wird und somit neue Varianten nicht kennt.
Wann hat jemals ein Tool das ich empfohlen habe ,nicht funktioniert ? ;D
Ich beantworte meine Frage mal selbst... 8)
Weil ich weiß was ich tue und sage.... 8)
Mir wäre der "Avenger-Murgs" nie über die Lippen bzw.aus der Tastatur (http://www.computerhilfen.de/fachbegriffe-t-Tastatur.html) gekommen...
Genausowenig wie ich einen zweiten Scanner (http://www.computerhilfen.de/fachbegriffe-s-Scanner.html) mit Hintergrundwächter empfehlen würde... ::)
Die Einen schmeißen mit möglichst vielen Tools um sich und Andere analysieren vorher was möglich ist..... ::)
Sir Reklov
-
Hallo, Sir Reklov,
es hat ein paar Tage gedauert, bis ich mich wieder melden konnte, aber ich habe alles genau so gemacht, wie du gesagt hattest.
Die Programme haben wohl einiges gefunden und entfernt.
Aber: Spybot zeigt immer noch an, dass er Einträge von Smitfraud-C Toolbar 888 hat. Das zeigt der Spybot auch im abgesicherten Modus an. Vermutlich muss ich mir deswegen Sorgen machen??
Hier schicke ich nun wie gewünscht die Logs von Hijack This und anschließend vom Smit-Tool:
Logfile of HijackThis v1.99.1
Scan saved at 18:59:20, on 17.05.2007
Platform: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP SP2 (WinNT 5.01.2600)
MSIE: Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\Common\FSMB32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\Anti-Virus\fsqh.exe
C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\Anti-Virus\fsrw.exe
C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\backweb\4476822\Program\fspex.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\Anti-Virus\fsav32.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\FWES\Program\fsdfwd.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\HP\HP Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Update\HPWuSchd2.exe
C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe
C:\Programme\HP\HP UT\bin\hppusg.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\Common\FSM32.EXE
C:\PROGRA~1\F-SECU~1\ANTI-S~1\fsaw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\FSGUI\fsguidll.exe
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Programme\Mindjet\MindManager 5\sys\PDF\ENU\W2K\PDFSaver.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\ScreeNotes 2.0\ScreeNotes 2.0.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Mausilein\Desktop\Installationssoftware\Sicherheit und Netzwerk\hijackthis\HijackThis.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [HP Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Update] "C:\Programme\HP\HP Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [ToolBoxFX] "C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /systrayIcon:on /fl:on /fr:on /appData:on
O4 - HKLM\..\Run: [HPUsageTracking] C:\Programme\HP\HP UT\bin\hppusg.exe "C:\Programme\HP\HP UT\"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\system32\moxvwrhb.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Startup: ScreeNotes 2.0.lnk = C:\Programme\ScreeNotes 2.0\ScreeNotes 2.0.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: F-Secure Anti-Virus 2006.lnk = C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\backweb\4476822\Program\fspex.exe
O4 - Global Startup: MindManager PDF (http://www.computerhilfen.de/fachbegriffe-p-PDF.html) Writer.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\ENU\W2K\PDFSaver.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Dieses Popup &blockieren - C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\Anti-Spyware\blockpopups.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java (http://www.computerhilfen.de/fachbegriffe-j-Java.html) Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\Anti-Spyware\ieshield.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner (http://www.computerhilfen.de/fachbegriffe-s-Scanner.html) 3.0) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF54C7DD-B877-4706-8F65-30DE65774F37}: NameServer = 192.168.2.1
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: F-Secure Anti-Virus 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security 2005 - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall (http://www.computerhilfen.de/fachbegriffe-f-Firewall.html) Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\Common\FSMA32.EXE
O23 - Service: Pml Driver (http://www.computerhilfen.de/fachbegriffe-d-Driver.html) HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
So, das war's. Die Smitlog-Datei schicke ich noch nach, sonst wird der Beitrag zu lang.
Im IE habe ich dann noch ein Add-on gefunden, das ich nie installiert hatte. Spybot zufolge war es eine bösartige Datei, die ich dann über die Einstellungen deaktiviert habe. Löschen lässt sie sich nicht.
Meine Internetverbindung ist stabiler geworden, dennoch poppt, allerdings viel seltener, ein Fenster des Explorers noch auf.
Und das sagt der Spybot genau:
Er findet eine Datei mlljk.dll Die hatte sich im IE als Add-on eingenistet (fand ich raus, als er gerade mal wieder aufpoppte) Hab ich deaktiviert.
Dann findet er aber auch noch eine elend lange Registrierungsdatenbank-Schlüssel-Datei, die so viele Nummern hat, dass mir ganz schwindlig wird.
Ich habe versucht, beides zu löschen, aber das will der PC nicht. Spybot kann die Dateien auch im abgesicherten Modus nicht entfernen, will dann beim nächsten Start mit hochfahren, untersucht dann und kommt wieder zum gleichen Ergebnis.
Soll ich diese Dateien einfach im abgesicherten Modus mal löschen?
Und ein Letztes: Bitte, streitet euch nicht über mich und meinen PC. Ich habe sowieso keine Ahnung, das Ding ist uralt, und ich bin für jeden Tipp froh.
Das bisherige Ergebnis - ich kann zumindest eingeschränkt wieder arbeiten - übertrifft all meine Erwartungen.
Nochmals, danke, danke, danke,
Susanne.
-
Zum guten Schluss kommt hier noch das Smit-Log:
smitRem © log file
version 3.2
by noahdfear
Microsoft Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) XP [Version 5.1.2600]
"IE"="6.0000"
Running from
C:\Dokumente und Einstellungen\Mausilein\Desktop\smitRem\smitRem
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Pre-run SharedTask Export
(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com
Registry Pseudo-Format Mode (Not a valid reg file):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache (http://www.computerhilfen.de/fachbegriffe-c-Cache.html) daemon"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Appinitdll check ........ Thank you Grinler!
dumphive.exe (C)2000-2004 Markus Stephany
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
XP Firewall (http://www.computerhilfen.de/fachbegriffe-f-Firewall.html) allowed access
Windows Registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Palm\\HOTSYNC.EXE"="C:\\Programme\\Palm\\HOTSYNC.EXE:*:Enabled:HotSync© Manager Application"
"C:\\Programme\\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\\backweb\\4476822\\Program\\fspex.exe"="C:\\Programme\\F-Secure Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Security\\backweb\\4476822\\Program\\fspex.exe:*:Enabled:F-Secure Anti-Virus 2006"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
checking for ShudderLTD key
ShudderLTD key not present!
checking for PSGuard.com key
PSGuard.com key not present!
checking for WinHound.com key
WinHound.com key not present!
checking for drsmartload2 key
drsmartload2 key not present!
spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present
AlfaCleaner uninstaller NOT present
SpyFalcon uninstaller NOT present
SpywareQuake uninstaller NOT present
SpywareSheriff uninstaller NOT present
Trust Cleaner uninstaller NOT present
SpyHeal uninstaller NOT present
VirusBurst uninstaller NOT present
BraveSentry uninstaller NOT present
AntiVermins uninstaller NOT present
VirusBursters uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Existing Pre-run Files
~~~ Program Files ~~~
~~~ Shortcuts ~~~
~~~ Favorites ~~~
~~~ system32 folder ~~~
~~~ Icons in System32 ~~~
~~~ Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) directory (http://www.computerhilfen.de/fachbegriffe-d-Directory.html) ~~~
~~~ Drive root ~~~
~~~ Miscellaneous Files/folders ~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Starting registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) repairs
Registry repairs complete
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
SharedTask Export after registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) fix
(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com
Registry Pseudo-Format Mode (Not a valid reg file):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache (http://www.computerhilfen.de/fachbegriffe-c-Cache.html) daemon"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Deleting files
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Remaining Post-run Files
~~~ Program Files ~~~
~~~ Shortcuts ~~~
~~~ Favorites ~~~
~~~ system32 folder ~~~
~~~ Icons in System32 ~~~
~~~ Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) directory (http://www.computerhilfen.de/fachbegriffe-d-Directory.html) ~~~
~~~ Drive root ~~~
~~~ Miscellaneous Files/folders ~~~
~~~ Wininet.dll ~~~
CLEAN! :)
-
Hallo Susanne,
du hast noch nicht das Removaltool gegen Vmonde eingesetzt, oder?
http://www.atribune.org/content/view/24/2/
Das hier
O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\system32\moxvwrhb.dll",realset
und die von dir erkannte Datei mlljk.dll
sind beides jeweils ein Indiz für eine Infektion mit der Malware Vmonde!
Bitte führe unbedingt das Removaltool noch aus und poste den Report.
-
Hallo, Help,
hab ich gemacht. Hier ist der Report:
VundoFix V6.3.23
Checking Java (http://www.computerhilfen.de/fachbegriffe-j-Java.html) version...
Sun Java (http://www.computerhilfen.de/fachbegriffe-j-Java.html) not detected
Scan started at 20:33:16 17.05.2007
Listing files found while scanning....
C:\WINDOWS\system32\bhrwvxom.ini
C:\WINDOWS\system32\cbyyfado.ini
C:\WINDOWS\system32\crlwcdmi.dll
C:\WINDOWS\system32\imdcwlrc.ini
C:\WINDOWS\system32\kjllm.bak1
C:\WINDOWS\system32\kjllm.bak2
C:\WINDOWS\system32\kjllm.ini
C:\WINDOWS\system32\kjllm.ini2
C:\WINDOWS\system32\kjllm.tmp
C:\WINDOWS\system32\mlljk.dll
C:\WINDOWS\system32\moxvwrhb.dll
C:\WINDOWS\system32\odafyybc.dll
Beginning removal...
Attempting to delete C:\WINDOWS\system32\bhrwvxom.ini
C:\WINDOWS\system32\bhrwvxom.ini Has been deleted!
Attempting to delete C:\WINDOWS\system32\cbyyfado.ini
C:\WINDOWS\system32\cbyyfado.ini Has been deleted!
Attempting to delete C:\WINDOWS\system32\crlwcdmi.dll
C:\WINDOWS\system32\crlwcdmi.dll Has been deleted!
Attempting to delete C:\WINDOWS\system32\imdcwlrc.ini
C:\WINDOWS\system32\imdcwlrc.ini Has been deleted!
Attempting to delete C:\WINDOWS\system32\kjllm.bak1
C:\WINDOWS\system32\kjllm.bak1 Has been deleted!
Attempting to delete C:\WINDOWS\system32\kjllm.bak2
C:\WINDOWS\system32\kjllm.bak2 Has been deleted!
Attempting to delete C:\WINDOWS\system32\kjllm.ini
C:\WINDOWS\system32\kjllm.ini Has been deleted!
Attempting to delete C:\WINDOWS\system32\kjllm.ini2
C:\WINDOWS\system32\kjllm.ini2 Has been deleted!
Attempting to delete C:\WINDOWS\system32\kjllm.tmp
C:\WINDOWS\system32\kjllm.tmp Has been deleted!
Attempting to delete C:\WINDOWS\system32\mlljk.dll
C:\WINDOWS\system32\mlljk.dll Has been deleted!
Attempting to delete C:\WINDOWS\system32\moxvwrhb.dll
C:\WINDOWS\system32\moxvwrhb.dll Has been deleted!
Attempting to delete C:\WINDOWS\system32\odafyybc.dll
C:\WINDOWS\system32\odafyybc.dll Has been deleted!
Performing Repairs to the registry.
Done!
Ich finde es schon seltsam, dass ich bislang 7(!) verschiedene Programme drüber laufen ließ, und jedes findet etwas anderes ???
Wie kann ich mir das überhaupt eingefangen haben? Ich hatte XP nach format c komplett neu installiert, die Firewall (http://www.computerhilfen.de/fachbegriffe-f-Firewall.html) hoch, Avast installiert, den Spybot und Ad-Aware gleich laufen, und trotzdem kommt so was drauf... In meinen Mails war das nicht - mir haben nur Leute von der Schule etwas geschickt, und das waren WORD-Dokumente...
Ist mein PC jetzt sauber oder soll ich noch was probieren?
Danke,
Susanne.
-
LIEBE GÜTE, ES HAT AUFGEHÖRT!!!
Ich kann es gar nicht glauben! Danke, danke, danke!!!
Wohin soll ich den Kuchen schicken?
Susanne.
-
Hallo,
alte Kiste sagst du ? Aber ein Laserdrucker (http://www.computerhilfen.de/fachbegriffe-l-Laserdrucker.html) dran..... ;)
Ich hatte XP nach format c komplett neu installiert, die Firewall (http://www.computerhilfen.de/fachbegriffe-f-Firewall.html) hoch, Avast installiert, den Spybot und Ad-Aware gleich laufen, und trotzdem kommt so was drauf.
Wichtiger wäre gewesen ,dein System richtig einzustellen....
Wenn jetzt der Virtumonde REmover durch ist,sollte eigentlich Ruhe sein....
Sir Reklov
-
Hallo, Sir Reklov,
was sollte ich denn noch einstellen?
Übrigens: der Laserdrucker (http://www.computerhilfen.de/fachbegriffe-l-Laserdrucker.html) gehört nicht mir, ich hänge nur mit dran ;D
Susanne.
-
Aha... auf der Seite vorher Jubelschreie... ;D
Dein Java (http://www.computerhilfen.de/fachbegriffe-j-Java.html) kann ein Update (http://www.computerhilfen.de/fachbegriffe-u-Update.html) vertragen...
Start > Arbeitsplatz > Lokaler Datenträger C >Programme >Java
hast du den Ordner geöffnet,wirst du verschiedene Versionsnummern sehen.Klicke die höchste Nummer.
Du wirst daran einen weiteren Ordner finden der "bin" heißt.Klicke ihn.
Es werden weitere Unterordner folgen,suche diesen und klicke ihn : jucheck.exe
Er wird nach Updates suchen und diese installieren.Folge nur den Anweisungen.
Du mußt natürlich eine Verbindung ins Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) haben...
Ansonsten würde ich sagen...viel Spaß im Netz...
Sir Reklov
-
Susanne,
schön das wir dein Problem lösen konnten.
Zum Thema Einstellung wäre ein Sache sehr Wichtig:
Lege dir ein zweites Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) Benutzerkonten an und zwar als Computeradministrator. Anschliesend ändere deinen Account, (http://www.computerhilfen.de/fachbegriffe-a-Account.html) mit dem du in der Regel arbeitest, auf Eingeschränkt.
Somit kann sich Malware kaum noch auf deinen PC breit machen.
Siehe auch
http://support.microsoft.com/kb/905056/DE/
Virenscanner haben grundsätzlich ein Problem und zwar das keiner alles erkennen kann.
Avast hat nur Durchschnittliche Erkennungsrate,
Ad-Aware und Spybot sind nur Spezis.
Ist F-Secure, den du jetzt einsetzt eine Vollversion?
Wenn nein, wiederhole ich hier gerne noch mal den Tipp mit dem Scanner (http://www.computerhilfen.de/fachbegriffe-s-Scanner.html) von AntiVir - PersonalEdition Premium.
Sehr empfehlenswert! Für 20 Euro im Jahr bekommst du hier viel mehr als alle Freewareprogramme zusammen bieten können.
Hier noch ein paar empfehlenswerte kostenlose Programme:
Firefox 2.0.0.3 - Browser
http://www.mozilla-europe.org/de/products/firefox/
Thunderbird 2.0.0.0 - Mailprogramm
http://www.mozilla-europe.org/de/products/thunderbird/
Und diese sollten als Update (http://www.computerhilfen.de/fachbegriffe-u-Update.html) eingespielt werden:
Macromedia Flash Player 9,0,45,0
http://www.adobe.com/go/getflashplayer
Java Runtime Environment (JRE) 6.0 Update (http://www.computerhilfen.de/fachbegriffe-u-Update.html) 1
http://java.sun.com/javase/downloads/index.jsp
(Die alte Version muss erst deinstalliert werden !)
Bemerkung:
Für die Installation der Programme musst dein Benutzerkonto vorübergehend wieder mit Adminrechten versehen, sofern den ersten Tipp bereits umgesetzt hast.
-
Hallo,
man könnte den Autostart noch ein wenig aufräumen...
Virenscanner haben grundsätzlich ein Problem und zwar das keiner alles erkennen kann.
..und das sie grundsätzlich auf dem zu schützenden System laufen...was eigentlich schon ein Widerspruch in sich ist....
Avast hat nur Durchschnittliche Erkennungsrate,
Je nach dem ,wer testet und wann,kommt mal dies raus und mal das... ::)
Das ist eher ohne Aussagekraft.
Ist F-Secure, den du jetzt einsetzt eine Vollversion?
Würde ich auch noch wissen wollen... :D
Wenn es eine Testversion oder Trialversion ist,wird mit Ablauf der Testfrist der Wächter deaktiviert.Das ist das Ding unten in der Leiste ,das dir anzeigt das F-Secure auf dich aufpasst... ;D
Das wäre dann nicht so dolle..... :-\
Für 20 Euro im Jahr bekommst du hier viel mehr als alle Freewareprogramme zusammen bieten können.
Wer keine Kohle ausgeben will,nimmt die freie Version...
Ist das Gleiche nur die Updates kommen erst abends um 5 Uhr... ;)
Wer kein wilder "Ich klicke-auf-alles-was-nicht-bei-drei-auf-dem-Baum-ist" , ist,kann mit der kostenlosen Version sehr gut leben..... ;D
Firefox und Thunderbird sind klasse und uneingeschränkt zu empfehlen... [love] [love]
Java (http://www.computerhilfen.de/fachbegriffe-j-Java.html) Runtime Environment (JRE) 6.0 Update (http://www.computerhilfen.de/fachbegriffe-u-Update.html) 1
http://java.sun.com/javase/downloads/index.jsp
(Die alte Version muss erst deinstalliert werden !)
Das macht sie gerade,hoffe ich... ;)
Muß aber nicht deinstalliert werden !!
Warum willst du ihr den Flashplayer aufnötigen ?
Im Log hat sie keinen....
Nur empfehlenswert ,wenn du ein großer "Youtube"-Fan bist...
Die Software (http://www.computerhilfen.de/fachbegriffe-s-Software.html) ist so najaaaaa...
Wichtig ist,zu wissen was man tut....
Deshalb hier mal die Regeln lesen und verinnerlichen,ist besser als jede Software.... (http://www.computerhilfen.de/fachbegriffe-s-Software.html) ;)
http://www.sides.de/checkliste.php
Sir Reklov
-
Immer will er das letzte Wort haben.
Ich liebe dich, Sir Reklov.
[love]
Zitat
Avast hat nur Durchschnittliche Erkennungsrate,
"Je nach dem ,wer testet und wann,kommt mal dies raus und mal das...
Das ist eher ohne Aussagekraft."
- Das ist nur deine Meinung!
Zitat
Für 20 Euro im Jahr bekommst du hier viel mehr als alle Freewareprogramme zusammen bieten können.
"Wer keine Kohle ausgeben will,nimmt die freie Version...
Ist das Gleiche nur die Updates kommen erst abends um 5 Uhr...
Wer kein wilder "Ich klicke-auf-alles-was-nicht-bei-drei-auf-dem-Baum-ist" , ist,kann mit der kostenlosen Version sehr gut leben..."
- Das ist nicht richtig, die Freie Version erkennt z.B. so gut wie keine Spyware (http://www.computerhilfen.de/fachbegriffe-s-Spyware.html) oder Adware!
Zitat
Java Runtime Environment (JRE) 6.0 Update (http://www.computerhilfen.de/fachbegriffe-u-Update.html) 1
http://java.sun.com/javase/downloads/index.jsp
(Die alte Version muss erst deinstalliert werden !)
"Das macht sie gerade,hoffe ich...
Muß aber nicht deinstalliert werden !!"
- 1. Mit deinen Tipp bleibt sie bei der Version 5.0, die Zukunft gehört der Version 6.0
- 2. Die Deinstallation der alten Version ist sehr zu empfehlen, damit nicht alte Lücken ausgenützt werden können.
-
Hallo,
man könnte den Autostart noch ein wenig aufräumen...
Was soll ich denn da aufräumen? Ich weiß ja gar nicht, was da für Einträge drinstehen, da ich mit den Kürzeln nix anfangen kann. Wenn ich da nun einen Fehler mache?
Ich weiß, ich bin wohl die Ahnungsloseste, die du jemals getroffen hast, aber eigentlich muss ich nur meine Schulsoftware anwenden (Tafelbilder basteln und so, ab und an mal ein Filmchen für mein Fach schneiden, eine Karikatur bearbeiten usw.), und ich habe echt Schiss, was falsch zu machen.
Also: Was soll aus dem Autostart raus?
Übrigens: die Softwareupdates habe ich schon gemacht - ich höre ja auf meine Spezialisten! Firefox (http://www.computerhilfen.de/download-8451109180319399.html) und Thunderbird hatte ich vorher schon installiert.
Ich hatte auch schon ein Administratorkonto angelegt, wusste aber nicht, was damit tun. Also habe ich mir nun die Rechte eingeschränkt. Auf dem Desktop (http://www.computerhilfen.de/fachbegriffe-d-Desktop.html) vom Adminkonto ist aber nun irgendwie gar nix drauf. Muss ich jetzt irgendwelche Einstellungen überspielen?
Liebe Grüße,
Susanne
P.S. HELP und SIR REKLOV haben noch nicht gesagt, wohin ich das Dankeschön schicken soll...
-
Vorsicht , auch in Word können (Makro) Viren stecken oder eingebettete EXE !!
-
Hallo, Help und Sir Reklov,
ich habe mittlerweile mit etwas Hilfe von einem Bekannten die Einstellungen rüberkopiert.
Fragt sich nur noch, was ich aus dem Autostart rauswerfen soll.
Das eilt aber nicht, mein System läuft ja jetzt wieder - dank euch!
Trotz all dem Ärger darf ich dann doch sagen: ich habe mehr über meinen PC gelernt, als ich jemals lernen wollte ():-)
Übrigens: ihr beiden seid die Besten (auch, wenn ihr das vermutlich voneinander niemals sagen würdet...)
Grüße,
Susanne.
Hallo, Hick,
da ich nicht mit WORD arbeite, tritt das Problem wohl nicht auf. Mein Rechner - so scheint es mir zumindest - ist wieder sauber. Alle beschriebenen Probleme haben sich in Luft aufgelöst, gottseidank.
Susanne.
-
Übrigens: ihr beiden seid die Besten (auch, wenn ihr das vermutlich voneinander niemals sagen würdet...)
Wer weiß. Aufgrund der Anonymität hier, kann es vielleicht sein, daß sie irgendwann mal zusammen einen trinkten, ohne es zu wissen. ;D
Das ist doch alles nur "freundlich gemeinte Kritik". ;)
-
Hallo,
daß sie irgendwann mal zusammen einen trinkten, ohne es zu wissen
Ich würde es aber merken ,wenn ich "Help" meinen Trinknachbarn ,fragen würde "wie hältst du`s mit den Backdoors" ? ;D ;D ;D
auch, wenn ihr das vermutlich voneinander niemals sagen würdet...)
Würde ich auch nicht... 8)
Bei mir gilt der Satz aus irgend einem alten Testament
"Du sollst keine anderen Götter neben mir haben"... ;D ;D ;D ;D ;D ;D
SUSIMAUSELCHEN
Die Frage nach F-Secure...kannst du dazu noch was sagen ?
Je nach Version könntest du dann demnächst "nackt auf dem Marktplatz stehen"..... 8)
Gut...wer`s mag... ;D
Sir Reklov
-
Hallo, Sir Reklov,
die Sache mit F-Secure ist klar: Ich habe eine 6-Monate-Version, die Microsoft den "echten" XP-Besitzern schenkt (und da ich einer wurde - das war auch der Grund für die Neuinstallation- , habe ich mir das Tool dann auch gegönnt). Die Lizenz läuft am 12.11.2007 ab. Danach muss ich mich nach etwas anderem umsehen - vielleicht AntiVir?
Kannst du mir bitte noch etwas zum Autostart sagen? Da habe ich echt Angst, dass ich etwas Wichtiges anhalte oder lösche...
Grüße,
Susanne.
-
Hallo,
sagen wir mal so.....
Soviel was da raus könnte ist es eigentlich gar nicht...
Ich habe mir das nochmals angesehen....
Wenn du im großen ganzen mit deiner Kiste zufrieden bist,was Geschwindigkeit und Seitenaufbau angeht...
Dann könnte man das durchaus so lassen....
Der Autostart ist sowas wie die Geschmackssache eines jeden Benutzers selbst.
Die ganz Eiligen oder ganz Coolen ,haben lediglich den Virenscanner und die Firewall (http://www.computerhilfen.de/fachbegriffe-f-Firewall.html) drin und fertig...
Das sind die Internetsurfer auf Teufel komm raus...
Die wollen keine mitstartenden Programme,weil sie die eh nicht brauchen/benutzen..... 8)
Die Lizenz läuft am 12.11.2007 ab. Danach muss ich mich nach etwas anderem umsehen -
Vergiss diesen Termin nicht !! ::)
Vermutlich wirst du das aber von F-Secure sowieso eingeblendet bekommen.Einen Monat vorher ,werden Popups auf deinem BIldschirm tanzen.... ;D
vielleicht AntiVir?
zum Beispiel......
Eigentlich soll so ein Scanner (http://www.computerhilfen.de/fachbegriffe-s-Scanner.html) die letzmögliche Bremse sein.Schon wenn der losmeckert ,hast du was falsch gemacht.....
Daraus folgt...auf die Dinger ist kein Verlaß.Deshalb ist einer so gut wie der andere...
Auf deinen Kopf solltest du dich verlassen,das ist der beste Schutz überhaupt......
* Windows (http://www.computerhilfen.de/fachbegriffe-w-Windows.html) automatisch mit Updates versorgen lassen
* Aus einem eingeschränkten Benutzerkonto surfen
* Einen sicheren Browser (http://www.computerhilfen.de/fachbegriffe-b-Browser.html) und Mailprogramm verwenden (Internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) Explorer und Outlook sind damit keinesfalls gemeint)
* E Mail Anhänge nicht mal mit der Kneifzange anfassen,sondern sofort löschen.
*nicht auf alles klicken was bunt ist und blinkt
Mit dieser Verhaltensweise wirst du 90% aller Probleme ausschließen und deinen Scanner (http://www.computerhilfen.de/fachbegriffe-s-Scanner.html) nie meckern hören....
Bei den restlichen 10% kommst du halt mal fragen... ;D
...und lass dich nicht verückt machen,wenn jetzt die Schulbuben hier ,um die Ecke schneien und erzählen wollen welcher der "Subba-Dubba-Scanner ist den du unbedingt haben müsstest...... ::)
Sir Reklov
-
Alles klar, Sir Reklov.
Lektion gelernt. Wie schon gesagt: ich habe mehr gelernt, als ich jemals über meinen PC lernen wollte.
Nochmals vielen Dank!
Susanne.