Deskopbilder blinken, nix geht :/

[Böhni]

Also erstma: ich bin n pc-Depp, also bitte langsam sprechen
Seit gestern blinken meine Desktop Icons, bzw sie verschwinden und bauen sich neu auf alle 5 sek... man kann nix machen ausser taskmanager und dann hab ich alle mir unbekannten prozesse rausgehauen, wobei mir NAIL.exe besonders aufgefallen ist und dass wenn ich eine xyzblabla datei lösche eine andere xyzblabla2 datei auftaucht ( das sind nich die namen der dateien). also hoffe jmd kann mir helfen bzw ich verstehe was ich machen soll um den fehler zu beheben

http://www.hijackthis.de/logfiles/fb...a8fdfe5c9.html

Code:

Logfile of HijackThis v1.99.1
Scan saved at 21:39:19, on 03.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\[Programme]\Musicmatch Jukebox\mmtask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\[Programme]\Java\j2re1.4.2_06\bin\jusched.exe
C:\[Programme]\ICQ\ICQ.exe
C:\[Programme]\ZoneAlarm\zlclient.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\devldr32.exe
c:\windows\system32\nvpcrw.exe
C:\[Programme]\hijackthis_199\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\Nail.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.exactsearch.net/sidesearch
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WinStat - {0BAE99AF-A9F7-4f7e-9C72-2C1CC81BE0FF} - C:\WINDOWS\System32\WinStat13.dll
O2 - BHO: AuroraHandlerObj Class - {4AA870AC-8427-42a4-B92E-ECD956197489} - C:\WINDOWS\AuroraHandler.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\[Programme]\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\[Programme]\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [mmtask] C:\[Programme]\Musicmatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\[Programme]\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\[Programme]\ICQ\ICQ.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\[Programme]\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [nwlbscv] C:\WINDOWS\System32\nwlbscv.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [fyeuzcr] c:\windows\system32\nvpcrw.exe r
O4 - HKCU\..\Run: [Fraps] C:\[PROGRAMME]\FRAPS\FRAPS.EXE
O4 - HKCU\..\Run: [qiio] C:\PROGRA~1\COMMON~1\qiio\qiiom.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Microsoft Office.lnk = C:\[Programme]\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\_PROGR~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O15 - Trusted Zone: http://www.neededware.com
O16 - DPF: NDWCab - http://www.neededware.com/ndw4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25B0FEEF-388D-4C49-A8FB-2780CBD563E1}: NameServer = 195.50.140.252 195.50.140.250
O17 - HKLM\System\CS1\Services\Tcpip\..\{25B0FEEF-388D-4C49-A8FB-2780CBD563E1}: NameServer = 195.50.140.252 195.50.140.250
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: System Startup Service  (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows 32-bit PnP Driver (winpnp32) - Unknown owner - C:\WINDOWS\System32\winpnp32.exe (file missing)

[Ruby]

@ Böhni

Kannst du alles auf deinem Rechner sehen? Überprüfe deine Einstellungen.

Im Windows-Explorer:
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Lade bitte diese Dateien hoch

c:\windows\system32\nvpcrw.exe
C:\WINDOWS\System32\nwlbscv.exe

1. -> Upload malicious software (*)

(*) Wenn du zum hochladen ein Zip-Programm benötigst, SIMPLYZIP ist kostenlos.

2. Scanne >>alle aufgeführten<< Dateien bei Virustotal und Jotti

C:\PROGRA~1\COMMON~1\qiio\qiiom.exe

Melde dich und lass uns wissen, ob der Upload funktioniert hat.
Teile uns >>alle Einzel-Scan-Ergebnisse mittels copy&paste<< mit.

[Böhni]

Danke schonma...

1.Also, die c:\windows\system32\nvpcrw.exe find ich nich, vielleicht hab ich sie gerade mittels des taskmanagers entfernt? die andere hab ich dahin geschickt... das dauert n bissel oder?

2. weiss nich genau was du da jetzt brauchst aber ich probiers ma damit:
Jotti:

AntiVir TR/Dldr.TSUpdat.K gefunden
ArcaVir Trojan.Downloader.Tsupdate.K gefunden
Avast Win32:TSUpdate-B gefunden
AVG Antivirus Downloader.Small.32.BP gefunden
BitDefender Trojan.Downloader.TSUpdate.K gefunden
ClamAV Trojan.Downloader.TSUp-10 gefunden
Dr.Web not a virus Adware.TargetServer gefunden
F-Prot Antivirus W32/Downloader.AQS gefunden
Fortinet W32/Startpage.DU-dr gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.TSUpdate.k gefunden
NOD32 Win32/TrojanDownloader.TSUpdate.K gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Trojan-Downloader.Win32.TSUpdate.k gefunden

virustotal geht leider nich...

soll ich die "Geschützte Systemdateien ausblenden (empfohlen) deaktivieren." wieder aktivieren wiel da ne warnung kam dass mein system dann evtl nich korrekt arbeiten kann...???

[Ruby]

nein, du sollst die Einstellungen bitte so lassen.
Die Warnung kommt standart.

Wir suchen nun die 2. Datei:

Neustart in den abgesicherten Modus [F8].

Start - ausführen - (schreib) cmd.exe [enter]
im neuen Fenster:
(schreib) md C:\Boese [enter]

(schreib) copy c:\windows\system32\nvpcrw.exe C:\Boese

exit

Bitte den Ordner Boese MIT der Datei hochladen: Upload malicious software

Hats geklappt?

[Böhni]

hmm also ich komme nich in den abgesicherten modus... wenn ich f8 drücke kann ich nur wählen wie ich booten will, cd diskette oder festplatte... gibts noch ne andere möglichkeit da reinzukommen? :/

[Ruby]

Anleitung: abgesicherter Modus

[Böhni]

sry, war n paar tage weg...

also im abgesicherten modus is genau dat selbe problem mit blinken usw... ausserdem kann diese datei nicht in den ordner kopiert wercen, da sie niccht existiert...

was is mit C:\WINDOWS\System32\devldr32.exe und der Nail. exe? kann des was sein und wie entferne ich den scheiss letztendlich ma
wenn ich diese beiden dateien ausm taskmanager raushaue gehts meist wieder... zwar nur für 5-15 minuten, danach geht blinken wieder los :/

edit: wenn ich im taskmanager den explorer neustarte hört dat blinken auch auf, coolerweise

[Speedy]

hi

diesen remover genau nach anleitung ausführen und danach ein aktuelles hjt-logfile sowie den zustand (blinkt noch was) hier posten

[Böhni]

hi, also den punkt 6 von der removeranleitung is mir unklar... da ich allgemein nich so viel pc ahnung habe, hijackthis nicht richtig kenne und nicht weiss was ich da prüfen/löschen soll etc...
Kannst du mir das nochma für dummys erklärn bitte

soll ich den abiremover nochma löschen bevor ich die schritte wiederhole, da er jetzt schon installt is aber noch nix entfernt wurde ...

[Ruby]

@ Böhni

eigentlich musst du nur machen, was da steht: den Remover im abgesicherten Modus installieren, auf den Finished Button klicken, wenn du gefragt wirst. Deinen Rechner neu aufstarten und mit dem angegeben Online-Scan scannen.

Vielleicht nochmal versuchen?