admilliserv - hijackthis logfile

[Speedy]

hi

C:\-------\temp\Hijackthis.exe

HijackThis niemals aus einem temp. ordner ausführen, das programm so anlegen C:\Programme\HijackThis\HijackThis.exe dann klappt es auch mit dem backup

du verwendest eine alte version des adobe acrobat readers

download von adobe durchführen.

Uninstall 180search Assistant

deinstallieren

scanne das system mit escan
1) direktdownload von escan
2) entpacke die datei mwav.exe oder mwav.zip in den ordner c:\bases
sollte das zip-programm dies nicht in einem schritt zulassen, so muss der ordner c:\bases manuell genau so angelegt werden.
3) nun wird der windows-explorer geöffnet und mit einem doppelklick auf die datei kavupd.exe
wird das update gestartet. auf meinem system (windowsxpsp2) wird sofort ein ordner C:\Download erstellt, der nach dem update
ca. 110 datein und ca. 5 MB groß ist, ein weiterer ordner c:\Bases_X wurde ebefalls erstellt, inhalt 105 datein und ebefalls 5 MB groß
im ordner c:\bases sind 133 datein mit ca. 7,4 MB
4) wechsle in den abgesicherten modus von windows
5) öffne nun wieder den explorer, gehe zum ordner c:\bases und starte die datei mwavscan.com, schließe den explorer.
6) überprüfe die einstellungen, unter scan option-->memory, startup folders, registry, system folders und services (auswahl) und scan all files sollte aktiviert sein, dann den button *SCAN* drücken.

7) wenn der scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen modus.
8) nun öffnest du mit dem editor, die mwav.txt oder mwav.log und wählst unter bearbeiten -> suchen, hier gibst du infected ein



jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten

Wed Oct 06 03:19:24 2004 => Total Number of Files Scanned: 54651
Wed Oct 06 03:19:24 2004 => Total Number of Virus(es) Found: 0
Wed Oct 06 03:19:24 2004 => Total Number of Disinfected Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Files Renamed: 0
Wed Oct 06 03:19:24 2004 => Total Number of Deleted Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Errors: 0
Wed Oct 06 03:19:24 2004 => Time Elapsed: 01:13:32
Wed Oct 06 03:19:24 2004 => Virus Database Date: 2004/10/05
Wed Oct 06 03:19:24 2004 => Virus Database Count: 105164

Wed Oct 06 03:19:24 2004 => Scan Completed.

[heiwi]

Hallo Speedy,
Also:

Uninstall 180search Assistant

läßt sich nicht entfernen. Meldung:
Fehler des Deinstallationsprogramms
Beim Entfernen von Uninstall 180search Assistant int ein Fehler aufgetreten. Möglicherweise wurde das Programm bereits deinstalliert.
Soll das Programm Uninstall 180search Assistant aus der List "Software" entfernt werden?

darauf habe ich mit ja geantwortet.

kavupd.exe habe ich aus dem ordner c:\bases gestartet.
es hat daraufhin die updates runtergeladen.

Allerdings ist weder der Ordner C:\Download erstellt worden, noch c:\Bases_X.
Die neuen Dateien sind alle direkt in c:\bases (144 Objekte, 7,32 MB)

hmm, jetzt hab ich hoffentlich nicht zu schnell gehandelt:
also: e-scan (Vers.4.4.7) hat keinen reinen scan, sondern nur scanclean button.



hier die 'infected' Zeilen

Code:

Sat Jun 04 00:48:57 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sat Jun 04 01:26:45 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

und das Ende des Logs

Code:

Sat Jun 04 01:30:15 2005 => ***** Scanning complete. *****
 
Sat Jun 04 01:30:15 2005 => Total Number of Files Scanned: 82310
Sat Jun 04 01:30:15 2005 => Total Number of Virus(es) Found: 19
Sat Jun 04 01:30:15 2005 => Total Number of Disinfected Files: 0
Sat Jun 04 01:30:15 2005 => Total Number of Files Renamed: 0
Sat Jun 04 01:30:15 2005 => Total Number of Deleted Files: 0
Sat Jun 04 01:30:15 2005 => Total Number of Errors: 4
Sat Jun 04 01:30:15 2005 => Time Elapsed: 01:17:56
Sat Jun 04 01:30:15 2005 => Virus Database Date: 2005/06/04
Sat Jun 04 01:30:15 2005 => Virus Database Count: 133299
 
Sat Jun 04 01:30:15 2005 => Scan Completed.
 
Sat Jun 04 01:36:04 2005 => Virus Database Date: 2005/06/04
Sat Jun 04 01:36:04 2005 => Virus Database Count: 133299
Sat Jun 04 01:36:20 2005 => AV Library Unloaded (3)...

Und es giebt noch die gleichzeitig entstandenen mxXface.log Datei, die enthält
alle 'infected' Zeilen

Code:

[0x000003d8] 04/06/2005 00:08:42:276 :[msvLclnt.dll]ModuleName = C:\bases\mwavscan.com
[0x000003d8] 04/06/2005 00:08:42:276 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0x000003d8] 04/06/2005 00:08:45:150 :[msvLclnt.dll]Options Set by External applications mwavscan.com are 9896960 (0x970400):
[0x000003d8] 04/06/2005 00:08:45:150 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0x000003d8] 04/06/2005 00:08:45:150 :[msvLclnt.dll]TimeOut : ffffffff
[0x000003d8] 04/06/2005 00:08:45:150 :[msvLclnt.dll]Priority : NORMAL
[0x000003d8] 04/06/2005 00:08:45:691 :[msvLclnt.dll]VirusCount = 133299 Latest Date = 2005/06/04
[0x00000444] 04/06/2005 00:12:11:497 :[msvLclnt.dll][00000001] File C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL infected by not-a-virus:AdWare.Relevance.c
[0x00000444] 04/06/2005 00:28:00:702 :[msvLclnt.dll][00000001] File C:\WINDOWS\Downloaded Program Files\AdmilliServX.dll infected by not-a-virus:AdWare.WinAD.j
[0x00000444] 04/06/2005 00:48:38:532 :[msvLclnt.dll][00000001] File C:\Programme\SearchRelevant\SearchRelevant.dll infected by not-a-virus:AdWare.Relevance.c
[0x00000444] 04/06/2005 00:49:47:100 :[msvLclnt.dll][00000001] File C:\Programme\vncviewer.exe infected by not-a-virus:RemoteAdmin.Win32.WinVNC.4
[0x00000444] 04/06/2005 00:50:05:277 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP47\A0011455.dll infected by not-a-virus:AdWare.Sahat.l
[0x00000444] 04/06/2005 00:50:05:417 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP47\A0011457.exe infected by not-a-virus:AdWare.Sahat.o
[0x00000444] 04/06/2005 00:50:05:467 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP47\A0011458.exe infected by not-a-virus:AdWare.Sahat.o
[0x00000444] 04/06/2005 00:50:05:527 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP47\A0011459.exe infected by not-a-virus:AdWare.Sahat.o
[0x00000444] 04/06/2005 00:51:00:506 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP52\A0012787.EXE infected by not-a-virus:AdWare.Sahat.s
[0x00000444] 04/06/2005 00:51:01:147 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP52\A0012794.DLL infected by not-a-virus:AdWare.Sahat.l
[0x00000444] 04/06/2005 01:06:01:532 :[msvLclnt.dll][00000001] File C:\WINDOWS\Downloaded Program Files\AdmilliServX.dll infected by not-a-virus:AdWare.WinAD.j
[0x00000444] 04/06/2005 01:26:26:663 :[msvLclnt.dll][00000001] File C:\Programme\SearchRelevant\SearchRelevant.dll infected by not-a-virus:AdWare.Relevance.c
[0x00000444] 04/06/2005 01:27:35:402 :[msvLclnt.dll][00000001] File C:\Programme\vncviewer.exe infected by not-a-virus:RemoteAdmin.Win32.WinVNC.4
[0x00000444] 04/06/2005 01:27:53:418 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP47\A0011455.dll infected by not-a-virus:AdWare.Sahat.l
[0x00000444] 04/06/2005 01:27:53:548 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP47\A0011457.exe infected by not-a-virus:AdWare.Sahat.o
[0x00000444] 04/06/2005 01:27:53:598 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP47\A0011458.exe infected by not-a-virus:AdWare.Sahat.o
[0x00000444] 04/06/2005 01:27:53:658 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP47\A0011459.exe infected by not-a-virus:AdWare.Sahat.o
[0x00000444] 04/06/2005 01:28:47:666 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP52\A0012787.EXE infected by not-a-virus:AdWare.Sahat.s
[0x00000444] 04/06/2005 01:28:48:267 :[msvLclnt.dll][00000001] File C:\System Volume Information\_restore{4033AB79-F80E-45FE-A1ED-BF5414E646E2}\RP52\A0012794.DLL infected by not-a-virus:AdWare.Sahat.l
[0x00000444] 04/06/2005 01:30:15:222 :[msvLclnt.dll]VirusCount = 133299 Latest Date = 2005/06/04
[0x000003d8] 04/06/2005 01:36:04:444 :[msvLclnt.dll]VirusCount = 133299 Latest Date = 2005/06/04

So, und dann ein neues hijackthis logfile

Code:

Logfile of HijackThis v1.99.1
Scan saved at 02:13:39, on 04.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\WINDOWS\shicoxp.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [shicoxp] C:\WINDOWS\shicoxp.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: phase6_Erinnerung.lnk = C:\Programme\phase6\WinStart\WinStart.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/bridge-c5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEF44C9A-DF03-4E1F-BDC5-AE28BE4B99A6}: NameServer = 62.104.191.241 62.104.196.134
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CAILI - Unknown owner - C:\WINDOWS\System32\caili.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe

der scan
[CITE]
hijackthis-> open the misc tools section -> open ads spy... -> ignore safe system info streams -> scannen, logfile speichern und hier posten
[/CITE]
geht auch beim richtigen Startort von hjt nicht (Alternate Data Streems are only possible on NTFS systems )


So, jetzt kipp ich aber ins Bett.

Schönen Gruß,
Heiwi

[Speedy]

hi, ein wenig müll ist schon noch vorhanden, auch wenn derzeit kein böser prozess aktiv ist.

diese dateien hier bei Jotti oder Virustotal ?berpr?fen lassen, ergebnis hier posten.
C:\WINDOWS\SYSTEM32\igfxsrvc.dll
----------------------------------------
start->systemsteuerung->software->programme ändern oder entfernen-> nachsehen, ob hier ein, oder mehrere programme installiert sind, die nicht absichtlich von dir installiert wurden, deinstallieren -> name der programme hier posten! kann ein programm nicht deinstalliert werden, ein m”glicher grund: es ist in verwendung, mit dem taskmanager beenden und dann deinstallieren.
---------------------------------------
meist gibt es bei antivirenprogrammen einen infectet oder quarantäne-ordner, diesen bitte leeren.
---------------------------------------
start->systemsteuerung->internetoptionen->karteikarte allgemein->cookies und dateien löschen, verlauf leeren und bei einstellungen nie aktivieren
---------------------------------------
explorer starten C:\ markieren, rechte maustaste ->eigenschaften w„hlen->bereinigen->hier folgendes aktivieren ?bertragene programmdateien, temporary internet files, offlinewebseiten, papierkorb,tempor„re dateien
(ordneransicht beachten, und alle temp. ordner suchen, sind noch dateien vorhanden manuell l”schen)
> geschützte systemdateien ausblenden < deaktivieren und
> versteckte ordner und verzeichnisse < aktivieren
---------------------------------------
download von spybot s&d sowie ad aware (deutsche beschreibung), installieren, update ziehen, beenden. aktualisiere deine antivirensoftware, freeware gibt es hier
---------------------------------------
regcleaner von chip.de oder zdnet downloaden, unter options, language, select language, deutsch ausw„hlen, beenden.
---------------------------------------
downlaod von winfix, verwende es nur, wenn nach der reinigung die internetverbindung nicht mehr klappt.
---------------------------------------
ms removal tool downloaden und den rechner damit scannen, bereinigen lassen, dadurch kann es sein, das im folgenden einige einträge im hijackthis-logfile nicht mehr aufscheinen , dies erleichtert uns aber die arbeit ungemein.
--------------------------------------
deaktiviere die systemwiederherstellung (gilt nur für win me und win xp) und
---------------------------------------
wechsle in den abgesicherten modus von windows: PC einschalten, warten bis die meldung "windows wird gestartet..." am bildschirm erscheint, nun drücke sofort die taste [F8]. es erscheint ein start-menü im textmodus. wählen hier "abgesichert" bzw. "abgesicherter modus" und bestätigen dies mit der [eingabe]-taste. winxp
und fixe mit HijackThis die nachfolgenden einträge
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: phase6_Erinnerung.lnk = C:\Programme\phase6\WinStart\WinStart.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CD.../bridge-c5.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: CAILI - Unknown owner - C:\WINDOWS\System32\caili.exe

---------------------------------------
HijackThis-> config -> misc tools --> delete a file on reboot, wähle die zu löschende datei, die frage zum neustart mit nein beantworten, wieder delete a file on reboot wählen, nächste datei auswählen usw., bis du die letzte dateie ausgewählt hast, nun antwortest du auf die frage zum neustart mit JA
C:\WINDOWS\System32\caili.exe
C:\WINDOWS\SYSTEM32\igfxsrvc.dll
C:\Programme\phase6\WinStart\WinStart.exe
PowerReg SchedulerV2.exe
Alaunch
C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL
--------------------------------------
neustart wieder in den abgesicherten modus von windows, lösche folgende ordner
C:\PROGRA~1\SEARCH~2
C:\Programme\phase6\
scanne und bereinige zuerst mit deiner antivirensoftware, dann mit adaware (alle optionen auf grün stellen) und zum schluss mit spybot s&d dein system (fehler beheben lassen).
-------------------------------------
wähle nun bei spybot s&d modus ->erweiterter modus -> resident wählen und hier sd helper und tea timer aktivieren, nun wählst du hosts dateien -> hinzufügen, dann wechselst du noch zu ie spielereien und hier hosts liste zum schutz gegen hijacker schreibgeschützt sperren
-------------------------------------
regcleaner starten und unter tools, registry säubern, alles durchführen -> nun in der registry nachsehen, ob die einträge, die im sophos-lexikon stehen, entfernt sind, ode ob du sie erst erntfernen musst --> rückmeldung erwünscht !

Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.

Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:

HHKLM\Software\Microsoft\Windows\CurrentVersion\Run\
winstart=winstart.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
winstart=winstart.exe.

Löschen Sie die Einträge, sofern sie existieren.

Schließen Sie den Registrierungsedit

------------------------------------
einen onlinescan mit panda-aktivscan explorer oder housecall auch mit alternativen browsern möglich, durchführen, ergebnis posten
------------------------------------
ein aktuelles Hijackthis-Logfile erstellen und so wie hier, in der ankündigung posten
-----------------------------------

[heiwi]

Hallo,

hier die Erebnisse von Jotti:

Code:

 Datei:  	 igfxsrvc.dll
Status: 	
OK
Entdeckte Packprogramme: 	
-
 
AntiVir 	
Keine Viren gefunden
Avast 	
Keine Viren gefunden
AVG Antivirus 	
Keine Viren gefunden
BitDefender 	
Keine Viren gefunden
ClamAV 	
Keine Viren gefunden
Dr.Web 	
Keine Viren gefunden
F-Prot Antivirus 	
Keine Viren gefunden
Fortinet 	
Keine Viren gefunden
Kaspersky Anti-Virus 	
Keine Viren gefunden
mks_vir 	
Keine Viren gefunden
NOD32 	
Keine Viren gefunden
Norman Virus Control 	
Keine Viren gefunden
VBA32 	
Keine Viren gefunden

Beim Löschen des nicht von mir installierten Programme, tu ich mich schon schwerer,
Es sind ziemlich viele, die nicht ich installiert habe, die aber so aussehen, als ob das System sie braucht.
Hier, die Programme, die ich nicht ohne weiteres löschen möchte.
Kann/Muss ich sie drauf lassen?

Code:

Agere Systems AC'97 Modem
ALPS Touch Pad Driver
Indeo Software
Launch Manager
Online Doc
Realtek AC'97 Audio
TravelMate 290
Windows Support Tools
WSEM Update

Zwischendurch sind folgende Meldungen aufgetreten:
Beim Löschen von 'Internet Optimizer' : Beim Entfernen vin I. O. ist ein Fehler aufgetreten. Möglicherweise wurde das Programm bereits deinstalliert. Soll das Programm I. O. aus der Liste der 'Software' entfernt werden?
Habe mit Ja geantwortet.

Ups, und jetzt ist mir durch die Lappen gegangen, dass ich auch die deinstallierten Programm posten sollte.
aus dem Kopf:
- ein 'active Player' - der hatte sich mal bei einer DVD draufgemogelt, aber ich bracuh ihn nicht.
- Real-Player - hatte trotz früherer update Versuche, oft Fehlermedlungen gebracht.
- 'search relevant'
so, da war noch das eine oder andere - aber ich habs vergessen. Tut mir leid.

Und weil ich unsicher bin, was ich mit den Programmen s.o. machen soll - bitte ich Euch um Entscheidungshilfe, bevor z.B. nachher mein touch pad nicht mehr geht.

Danke

Heiwi

[heiwi]

Hallo,

also, ich hab die obige List durchgearbeitet.

die Datei
C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL
habe ich ebensowenig finden können wie den Ordner
C:\PROGRA~1\SEARCH~2

Die regestrieeinträge

HHKLM\Software\Microsoft\Windows\CurrentVersion\Ru n\
winstart=winstart.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
winstart=winstart.exe.

waren nicht da - mussten also nicht von Hand gelöscht werden.

so, allerdings hatte ich folgende Probleme:
panda-activscan: der download ist zuerst wiederholt deswegen unterbrochen, weil pop-ups nicht zugelassen waren. Nachdemich sie zuließ, Kam Antivir auf den Plan, und erzähte etwas von einem Wurm, - und damit war der download dann auch abgebrochen.

bei housecall hatte ich das Problem, dass mein Java nicht kompatibel war. Der Versuch, eine neue Version runterzuladen, bin ich gescheitert. (es ist jedesmal beim Drücken auf den download knopf, die Seite, von der ich vorher zu dem downlod kam wiedergekommen)
werde die nächsten Tage, versuchen das Probelm mit Java zu beheben.
Meine Tel-leitung braucht eh mal Pause...)
aber ansonsten ist hier schonmal ein neuer hij.log
Schönen Gruß,

Heiwi

Code:

Logfile of HijackThis v1.99.1
Scan saved at 19:38:44, on 04.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\WINDOWS\shicoxp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [shicoxp] C:\WINDOWS\shicoxp.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEF44C9A-DF03-4E1F-BDC5-AE28BE4B99A6}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe

[Ruby]

Hallo Heiwi

lade Silent Runner runter.
Wende es, entsprechend der bebilderten Anleitung, an.
Erstelle damit ein Logfile und poste es.

[heiwi]

Hallo,

hier das logfile von silent runner

Code:

"Silent Runners.vbs", revision 37, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"IgfxTray" = "C:\WINDOWS\System32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\System32\hkcmd.exe" ["Intel Corporation"]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"Apoint" = "C:\Programme\Apoint2K\Apoint.exe" ["Alps Electric Co., Ltd."]
"LManager" = "C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE" ["Dritek System Inc."]
"shicoxp" = "C:\WINDOWS\shicoxp.exe" [null data]
"iTunesHelper" = "C:\Programme\iTunes\iTunesHelper.exe" ["Apple Computer, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"AVSCHED32" = "C:\Programme\AVPersonal\AVSched32.EXE /min" ["H+BEDV Datentechnik GmbH"]
"AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup\ {++}
EXECUTION UNLIKELY: "Registrando Panda ActiveX" = "C:\WINDOWS\system32\regsvr32.exe /s C:\WINDOWS\system32\ActiveScan\as.dll" [MS]
EXECUTION UNLIKELY: "Registrando Panda Almacen" = "C:\WINDOWS\system32\regsvr32.exe /s C:\WINDOWS\system32\ActiveScan\pavpz.dll" [MS]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}\(Default) = "Windows Media Player"
                                        \StubPath   = "C:\WINDOWS\inf\unregmp2.exe /ShowWMP" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
  -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
  -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
  -> {CLSID}\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]


Enabled Active Desktop and Wallpaper:
-------------------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "bin" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 20
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
  -> {CLSID}\(Default) = "&Google"
  -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
  -> {CLSID}\(Default) = "&Google"
  -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
  -> {CLSID}\(Default) = "&Google"
  -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, "C:\Programme\AVPersonal\AVGUARD.EXE" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
iPod Service, iPodService, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Computer, Inc."]
Kerio Personal Firewall 4, KPF4, ""C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe"" ["Kerio Technologies"]


----------
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
----------

[Speedy]

hi

das logfile ist sauber, bitte überprüfe wöchentlich mit einem anderen onlinscanner den rechner ( kaspersky, panda, housecall usw.)
genauso solltest du dir wöchentlich die uninstall-liste ansehen, ob sich etwas ohne dein wissen installiert hat, und HijackThis Automatische Logfileauswertung nicht vergessen, bei problemen wieder melden