Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Closed TopicStart new topic
> Antivir xp 2008 entfernen
debeemes
Beitrag 25.08.2008, 20:01
Beitrag #1



Ist neu hier


Gruppe: Mitglieder
Beiträge: 7
Mitglied seit: 25.08.2008
Mitglieds-Nr.: 7.027

Betriebssystem:
windows xp
Virenscanner:
antivir
Firewall:
zonelabs



Hallo!

Habe mir irgendwie dieses bescheuerte antivir xp 2008 eingefangen. Bei "members.linzag.net" wurde mir empfohlen, den logfile über HiJackThis zu speichern und hier im Forum zu posten. Ich hoffe, ich bin an der richtigen Stelle gelandet.
Hier ist der logfile. Ich hoffe, jemand kann mir helfen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:33:59, on 25.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\lphc7p7j0evfv.exe
C:\Programme\rhc3p7j0evfv\rhc3p7j0evfv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
C:\Programme\Pinnacle\TVCenter Pro\PMCLoader.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\USB Sharing\usbshare.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\pphc7p7j0evfv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Hijackthis\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hansenet.de
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\oembios.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: amazon - {84B94901-3645-4D80-A6B7-4D0050B19455} - E:\Downloads\Preispiraten4\IEButtonAmazonInterface.dll (file missing)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: eBay - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - E:\Downloads\Preispiraten4\IEButtonEbayInterface.dll (file missing)
O2 - BHO: Preispiraten 4 - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - E:\Downloads\Preispiraten4\IEButtonPPInterface.dll (file missing)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [lphc7p7j0evfv] C:\WINDOWS\system32\lphc7p7j0evfv.exe
O4 - HKLM\..\Run: [SMrhc3p7j0evfv] C:\Programme\rhc3p7j0evfv\rhc3p7j0evfv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [PMCRemote] C:\Programme\Pinnacle\Shared Files\\Programs\Remote\Remoterm.exe
O4 - HKCU\..\Run: [PMCLoader] C:\Programme\Pinnacle\TVCenter Pro\PMCLoader.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: USB Sharing.lnk = ?
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - E:\\Downloads\\Preispiraten4\\preispiraten.html
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/
Go to the top of the page
 
+Quote Post
Gast_rock_*
Beitrag 25.08.2008, 20:07
Beitrag #2






Gäste






systemwiederherstellung deaktivieren, alle einträge mit dem inhalt lphc7p7j0evfv .exe fixen! start in den abgesicherten modus, temporäre dateien löschen, temp ordner leeren (am besten das tool ccleaner verwenden) , pc neustart.

nochmal scannen_________funde? wo gemeldet?

ph34r.gif

Go to the top of the page
 
+Quote Post
debeemes
Beitrag 25.08.2008, 20:17
Beitrag #3


Threadersteller

Ist neu hier


Gruppe: Mitglieder
Beiträge: 7
Mitglied seit: 25.08.2008
Mitglieds-Nr.: 7.027

Betriebssystem:
windows xp
Virenscanner:
antivir
Firewall:
zonelabs



Danke für die Antwort. Leider habe ich zuwenig Computerkenntnisse, um damit wirklich etwas anfangen zu können. Systemwiederherstellung funktioniert sowieso nicht. Wie ich etwas "fixe" weiß ich nicht, es sei denn, das heißt "löschen".
Auf "members.linzag.net" steht, in einem dieser support-foren könnte sich jemand das logfile ansehen und mir sagen, welche Dateien ich löschen muss, um Antivir xp 2008 zu entfernen.

Tja, bin leider immer noch ziemlich ratlos.
Go to the top of the page
 
+Quote Post
hypnosekroete
Beitrag 25.08.2008, 20:24
Beitrag #4



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.690
Mitglied seit: 11.01.2007
Mitglieds-Nr.: 5.718

Betriebssystem:
Intrepid Ibex / Vista
Virenscanner:
NIS 2009
Firewall:
Router/NIS 2009



Naja, ein HJT-Log haste ja schonmal hinbekommen....

Mit "Fixen" meint rock das "Reparieren" entsprechender Einträge aus dem HJT-Log, das machst Du passenderweise mit HJT selbst.
Du musst im Fenster von HJT das Kästchen vor dem Eintag anhacken und dann unten "Fix checked" drücken, habs Dir mal gelb angemalt...

[Huch, Bilder-Upload funktioniert nicht ? ? ? - Deshalb gerade leider kein Bild, sry]

Bei Dir wären das die Einträge:
ZITAT
C:\WINDOWS\system32\pphc7p7j0evfv.exe
C:\Programme\rhc3p7j0evfv\rhc3p7j0evfv.exe
O4 - HKLM\..\Run: [lphc7p7j0evfv] C:\WINDOWS\system32\lphc7p7j0evfv.exe
O4 - HKLM\..\Run: [SMrhc3p7j0evfv] C:\Programme\rhc3p7j0evfv\rhc3p7j0evfv.exe


Danach zusätzlich nochmal über die normale Windows-Suche (hier versteckte und Systemdateien mit einbeziehen) nach erstens: *pphc7p7j0evfv* und zweitens *rhc3p7j0evfv* (mit den Sternchen!) suchen und entsprechende Dateien Löschen, ebenso das Verzeichnisb "C:\Programme\rhc3p7j0evfv\rhc3p7j0evfv.exe" und seinen gesamten Inhalt.

In C:\ befindet sich noch eine *.tmp-Datei, die eine (meist einstellige) Zahl als Dateinamen hat (hab 1.tmp, 3.tmp, 4.tmp und 5.tmp bisher gesehen): 'Auch Löschen.

Wenn an irgendeinem Punkt gemeckert wird, das eine Datei nicht gelöscht werden kann weil sie noch in Benutzung ist: Mit "Strg-Alt-Entf" den Taskmanager öffnen und die Prozesse "lphc7p7j0evfv.exe" und rhc3p7j0evfv.exe und einen evt. vorhandenen 1/2/4/5.tmp-Prozess (es sind nicht immer alle vorhanden) beenden, danach das Löschen fortsetzen, danach den Papierkorb leeren.

Falls alles bis hierher gut gelaufen sein sollte, spätestens jetzt die Prozesse wie oben beschrieben killen, neu starten, dann Avira drüberlaufen lassen und ein neues HJT-Log hier posten...

Have Fun.

Der Beitrag wurde von hypnosekroete bearbeitet: 25.08.2008, 20:42


--------------------
Kleiner EKG-Leitfaden - Keine Macht den Drogen - Meine letzte Prüfung - Mein persönlicher Traum - Mein liebstes Arbeitsgerät
-------------------------------------------------------------------------------------------------------------------------------------------------
Die Situation ist aussichtslos aber nicht kritisch.
-------------------------------------------------------------------------------------------------------------------------------------------------
Vasofix 18G - 30yg Sufenta - 180mg Propofol - 35mg cis-Atra - 8erTubus - Sevo 1,3 MAC - FiO2 0,5 - etCO2 ~30 - alles wird gut!
-------------------------------------------------------------------------------------------------------------------------------------------------
Internistisches Verbrechen oder nur ein schlechter Modetrend? Sagt NEIN zu Rosa Braunülen!
Go to the top of the page
 
+Quote Post
Rios
Beitrag 25.08.2008, 20:24
Beitrag #5



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 4.246
Mitglied seit: 12.06.2004
Mitglieds-Nr.: 984

Betriebssystem:
Windows 10



Mach es so wie ich dir schrieb smile.gif
Go to the top of the page
 
+Quote Post
Rene-gad
Beitrag 25.08.2008, 20:53
Beitrag #6



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.092
Mitglied seit: 14.08.2003
Wohnort: Asten, OÖ
Mitglieds-Nr.: 149

Betriebssystem:
Windows 11 Home x64
Virenscanner:
Windows Defender
Firewall:
Router+Windows Firewall



@debeemes
Der HJT Log ist unvollständig. Bitte den kompletten Log posten, evtl. auf 2 od. mehreren Beiträge aufgeteilt.
@ll
Fixen nutzt nichts - es werden nur die Registry-Einträge entfernt. Es müssen die Dateien
ZITAT
C:\WINDOWS\system32\pphc7p7j0evfv.exe
C:\Programme\rhc3p7j0evfv\rhc3p7j0evfv.exe
C:\WINDOWS\system32\lphc7p7j0evfv.exe

gelöscht werden.
Und davon gibt es noch ein paar Screensaver, die im HJT-Log gar nicht auftauchen.

Der Beitrag wurde von Rene-gad bearbeitet: 25.08.2008, 20:56


--------------------
Gruß
Rene-gad

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.
Roesen's Law
Go to the top of the page
 
+Quote Post
raman
Beitrag 25.08.2008, 21:25
Beitrag #7



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Wie bei fast allem: Nutz mal Combofix:

Downloade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinen Thread einfuegen.
http://www.bleepingcomputer.com/combofix/d...ix-benutzt-wird


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
debeemes
Beitrag 25.08.2008, 21:42
Beitrag #8


Threadersteller

Ist neu hier


Gruppe: Mitglieder
Beiträge: 7
Mitglied seit: 25.08.2008
Mitglieds-Nr.: 7.027

Betriebssystem:
windows xp
Virenscanner:
antivir
Firewall:
zonelabs



Hallo!

Ich habe jetzt die verschiedenen angegebenen Dateien gelöscht, einen Neustart gemacht und lasse jetzt Avira laufen. Es ist jetzt bei knapp 50% und hat bis jetzt nichts Auffälliges gefunden. Das ist schon mal viel besser, als vorher. Das Ende des Scans kann ich leider nicht abwarten, weil ich morgen arbeiten und dafür ausgeschlafen sein muss.
Daher kann ich alle weiteren Schritte erst morgen machen. Dann poste ich aber nochmal ein neues (und hoffentlich bereinigtes) Logfile.

Vielen Dank erstmal bis hierhin für alle Tipps!
Und Gute Nacht.
Go to the top of the page
 
+Quote Post
debeemes
Beitrag 25.08.2008, 22:02
Beitrag #9


Threadersteller

Ist neu hier


Gruppe: Mitglieder
Beiträge: 7
Mitglied seit: 25.08.2008
Mitglieds-Nr.: 7.027

Betriebssystem:
windows xp
Virenscanner:
antivir
Firewall:
zonelabs



Nun bin ich doch noch da. Und Avira ist fertig. Hat nichts gefunden. Ob ich hoffen darf???

Hier nochmal der neue Logfile. Jetzt hoffentlich auch vollständig.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:57:49, on 25.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
C:\Programme\Pinnacle\TVCenter Pro\PMCLoader.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\USB Sharing\usbshare.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hijackthis\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hansenet.de
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\oembios.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: amazon - {84B94901-3645-4D80-A6B7-4D0050B19455} - E:\Downloads\Preispiraten4\IEButtonAmazonInterface.dll (file missing)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: eBay - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - E:\Downloads\Preispiraten4\IEButtonEbayInterface.dll (file missing)
O2 - BHO: Preispiraten 4 - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - E:\Downloads\Preispiraten4\IEButtonPPInterface.dll (file missing)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [PMCRemote] C:\Programme\Pinnacle\Shared Files\\Programs\Remote\Remoterm.exe
O4 - HKCU\..\Run: [PMCLoader] C:\Programme\Pinnacle\TVCenter Pro\PMCLoader.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O4 - Global Startup: USB Sharing.lnk = ?
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - E:\\Downloads\\Preispiraten4\\preispiraten.html
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuit
Go to the top of the page
 
+Quote Post
debeemes
Beitrag 25.08.2008, 22:05
Beitrag #10


Threadersteller

Ist neu hier


Gruppe: Mitglieder
Beiträge: 7
Mitglied seit: 25.08.2008
Mitglieds-Nr.: 7.027

Betriebssystem:
windows xp
Virenscanner:
antivir
Firewall:
zonelabs



Doppelter Eintrag. Habe ich gelöscht.

Der Beitrag wurde von debeemes bearbeitet: 25.08.2008, 22:07
Go to the top of the page
 
+Quote Post
debeemes
Beitrag 25.08.2008, 22:06
Beitrag #11


Threadersteller

Ist neu hier


Gruppe: Mitglieder
Beiträge: 7
Mitglied seit: 25.08.2008
Mitglieds-Nr.: 7.027

Betriebssystem:
windows xp
Virenscanner:
antivir
Firewall:
zonelabs



Ich sehe gerade, dass der Logfile nicht vollständig ist. Hier folgt noch der Rest:


O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hansenet.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1145640153796
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secur...loadManager.ocx
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7047 bytes
Go to the top of the page
 
+Quote Post
hypnosekroete
Beitrag 26.08.2008, 06:45
Beitrag #12



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.690
Mitglied seit: 11.01.2007
Mitglieds-Nr.: 5.718

Betriebssystem:
Intrepid Ibex / Vista
Virenscanner:
NIS 2009
Firewall:
Router/NIS 2009



Zumindest das Logfile ist wieder "sauber"....

Was sagt Avira?


--------------------
Kleiner EKG-Leitfaden - Keine Macht den Drogen - Meine letzte Prüfung - Mein persönlicher Traum - Mein liebstes Arbeitsgerät
-------------------------------------------------------------------------------------------------------------------------------------------------
Die Situation ist aussichtslos aber nicht kritisch.
-------------------------------------------------------------------------------------------------------------------------------------------------
Vasofix 18G - 30yg Sufenta - 180mg Propofol - 35mg cis-Atra - 8erTubus - Sevo 1,3 MAC - FiO2 0,5 - etCO2 ~30 - alles wird gut!
-------------------------------------------------------------------------------------------------------------------------------------------------
Internistisches Verbrechen oder nur ein schlechter Modetrend? Sagt NEIN zu Rosa Braunülen!
Go to the top of the page
 
+Quote Post
Rene-gad
Beitrag 26.08.2008, 10:31
Beitrag #13



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.092
Mitglied seit: 14.08.2003
Wohnort: Asten, OÖ
Mitglieds-Nr.: 149

Betriebssystem:
Windows 11 Home x64
Virenscanner:
Windows Defender
Firewall:
Router+Windows Firewall



ZITAT(hypnosekroete @ 26.08.2008, 07:44) *
Zumindest das Logfile ist wieder "sauber"....
Das nicht:
ZITAT
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\oembios.exe,

@debeemes
Folge bitte dem Link: http://freenet-homepage.de/rene-gad/AVZ/AVZAnleitung.html


--------------------
Gruß
Rene-gad

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.
Roesen's Law
Go to the top of the page
 
+Quote Post
citro
Beitrag 26.08.2008, 12:14
Beitrag #14



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.829
Mitglied seit: 06.10.2005
Mitglieds-Nr.: 3.709

Betriebssystem:
Win 10 Home (1909)
Virenscanner:
Avira free
Firewall:
Comodo



@Rene-gad

HI,

Zwischenfrage: welche Engine benützt AVZ ?

An wen werden die Malwaredateien gesendet ?

http://virusinfo.info/upload_virus_eng.php

Go to the top of the page
 
+Quote Post
Rene-gad
Beitrag 26.08.2008, 12:46
Beitrag #15



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.092
Mitglied seit: 14.08.2003
Wohnort: Asten, OÖ
Mitglieds-Nr.: 149

Betriebssystem:
Windows 11 Home x64
Virenscanner:
Windows Defender
Firewall:
Router+Windows Firewall



ZITAT(citro @ 26.08.2008, 13:13) *
Zwischenfrage: welche Engine benützt AVZ ?
Den eigenen - von Oleg Saitsew © wink.gif
ZITAT
An wen werden die Malwaredateien gesendet ?

An KL

Der Beitrag wurde von Rene-gad bearbeitet: 26.08.2008, 12:47


--------------------
Gruß
Rene-gad

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.
Roesen's Law
Go to the top of the page
 
+Quote Post
citro
Beitrag 26.08.2008, 12:55
Beitrag #16



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.829
Mitglied seit: 06.10.2005
Mitglieds-Nr.: 3.709

Betriebssystem:
Win 10 Home (1909)
Virenscanner:
Avira free
Firewall:
Comodo



Danke smile.gif
Go to the top of the page
 
+Quote Post
Rene-gad
Beitrag 26.08.2008, 13:14
Beitrag #17



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.092
Mitglied seit: 14.08.2003
Wohnort: Asten, OÖ
Mitglieds-Nr.: 149

Betriebssystem:
Windows 11 Home x64
Virenscanner:
Windows Defender
Firewall:
Router+Windows Firewall



ZITAT(citro @ 26.08.2008, 13:54) *
Danke smile.gif

Gern geschehen smile.gif


--------------------
Gruß
Rene-gad

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.
Roesen's Law
Go to the top of the page
 
+Quote Post
debeemes
Beitrag 26.08.2008, 19:16
Beitrag #18


Threadersteller

Ist neu hier


Gruppe: Mitglieder
Beiträge: 7
Mitglied seit: 25.08.2008
Mitglieds-Nr.: 7.027

Betriebssystem:
windows xp
Virenscanner:
antivir
Firewall:
zonelabs



Hallo mal wieder!

Rene-gad: Habe die Zeile, die du angegeben hast auch gelöscht. Danke.

Avira kann im Moment nichts Schlimmes finden, ich gehe also erstmal davon aus, dass erstmal alles sauber ist. Hoffentlich bleibt es so. Ich weiß nämlich gar nicht, wie ich mir den Trojaner überhaupt geholt habe. Im Allgemeinen klicke ich nicht einfach mal schnell irgendwelche Installationsanfragen oder ähnliches an. Naja.

Vielen Dank an alle jedenfalls!
Go to the top of the page
 
+Quote Post
Rene-gad
Beitrag 27.08.2008, 09:32
Beitrag #19



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.092
Mitglied seit: 14.08.2003
Wohnort: Asten, OÖ
Mitglieds-Nr.: 149

Betriebssystem:
Windows 11 Home x64
Virenscanner:
Windows Defender
Firewall:
Router+Windows Firewall



ZITAT(debeemes @ 26.08.2008, 20:15) *
Rene-gad: Habe die Zeile, die du angegeben hast auch gelöscht.

Es ging gar nicht um die Zeile, sondern um die Datei C:\WINDOWS\system32\oembios.exe - die muss nämlich entfernt werden.
Außerdem. Es ist nicht ausgeschlossen, dass die Datei C:\WINDOWS\system32\userinit.exe verändert wurde.


--------------------
Gruß
Rene-gad

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.
Roesen's Law
Go to the top of the page
 
+Quote Post
klaus_ue
Beitrag 27.08.2008, 09:37
Beitrag #20



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 1.778
Mitglied seit: 02.02.2006
Wohnort: Uelzen
Mitglieds-Nr.: 4.352

Betriebssystem:
Windows 10 Pro 64 Bit
Virenscanner:
Emsisoft Anti-Malware
Firewall:
Windows 10



@debeemes: Befolge doch den Tipp vor raman klick smile.gif


--------------------
klaus_ue



Go to the top of the page
 
+Quote Post

Closed TopicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 28.03.2024, 09:52
Impressum