*.exe hat ein Problem festgestellt und muss beendet werden...

Begonnen von screenboy, 18. Februar 2007, 20:34:45 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

old_juergen

habe auch dieses problem, beiträge haben mir aber nicht geholfen. erhalte nachfolgende meldungen:

(http://img149.imageshack.us/my.php?image=screenhunter1zv8.png)

(http://img84.imageshack.us/my.php?image=screenhunter2ye9.png)

(http://img220.imageshack.us/my.php?image=screenhunter3eo4.png)

(http://img98.imageshack.us/my.php?image=screenhunter4ol5.png)

und hier ein logfile von hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 12:03:00, on 28.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0\bin\jusched.exe
D:\Kalenderchen\Kalenderchen.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
D:\unlocker\UnlockerAssistant.exe
D:\daemon\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
D:\kaspersky anti-hacker 1.9.37.0\Kaspersky Anti-Hacker\KAVPF.exe
D:\flatrate steckdose\iOpus Flatrate Steckdose\flatrate.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
F:\emule sivka 0.47a v17b1 alpha\emule.exe
D:\firefox\Mozilla Firefox\firefox.exe
C:\Programme\Video Access ActiveX Object\isamntr.exe
C:\Programme\Video Access ActiveX Object\pmsnrr.exe
C:\Programme\Video Access ActiveX Object\isamini.exe
C:\Programme\Video Access ActiveX Object\pmmnt.exe
C:\WINDOWS\explorer.exe
D:\flatrate steckdose\iOpus Flatrate Steckdose\flatrate.exe
D:\screenhunter\ScreenHunter.exe
D:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Programme\Video Access ActiveX Object\isadd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DMS-Kalenderchen] D:\Kalenderchen\Kalenderchen.exe /autorun
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [ICQ Lite] "D:\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [UnlockerAssistant] "D:\unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "D:\daemon\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: FlatrateSteckdose.lnk = D:\flatrate steckdose\iOpus Flatrate Steckdose\flatrate.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = D:\kaspersky anti-hacker 1.9.37.0\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE26EE6C-DE14-4B7E-802B-D27B116B2CDE}: NameServer = 62.220.18.8 62.72.64.241
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: eitheror - {2016a466-91a2-43c6-97d8-2fd380f065ef} - (no file)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: lxbu_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbucoms.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe


tyco

28. Februar 2007, 12:40:49 Uhr #21 Letzte Bearbeitung: 28. Februar 2007, 12:42:25 Uhr von tyco
@old_juergen:

Du hast Dir den Trojaner Zlob eingefangen.

Lade Dir SmitFraudFix (http://siri.urz.free.fr/Fix/SmitfraudFix_De.php) runter und starte den Rechner im abgesicherten Modus (F8).

Starte zunächst Hijackthis im abgesicherten Modus und fixe folgende Einträge:

C:\Programme\Video Access ActiveX Object\isamntr.exe

C:\Programme\Video Access ActiveX Object\pmsnrr.exe

C:\Programme\Video Access ActiveX Object\isamini.exe

C:\Programme\Video Access ActiveX Object\pmmnt.exe

O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Programme\Video Access ActiveX Object\isadd.dll

O21 - SSODL: eitheror - {2016a466-91a2-43c6-97d8-2fd380f065ef} - (no file)

Lösche vor einem Neustart im abgesicherten Modus den Papierkorb und starte dann SmitfrauFix im abgesicherten Modus.

Wähle die 1 und drücke auf Enter um einen Bericht der infizierten Dateien zu bekommen. Dieser Bericht wird üblicherweise auf der Festplatte gefunden, als C:\rapport.txt

Wähle die 2 und drücke auf Enter um die infizierten Dateien zu löschen.

Du wirst dann gefragt: Do you want to clean the registry ? antworte mit Y (ja) und drücke auf Enter um das Desktop Bild zu entfernen und die Registry Schlüssel der Infektion zu bereinigen.

Das Programm wird nun überprüfen, ob die wininet.dll infiziert ist. Du wirst möglicherweise gefragt, die infizierte Datei entfernen zu lassen (wenn sie gefunden wird): Replace infected file ? antworte Y (ja) und drücke auf Enter um eine saubere Datei zu bekommen.

Du solltest deinen Rechner nun neu starten, um den Reinigungsprozess zu beenden. Das Logfile findest du auf deiner Festplatte, normalerweise als C:\rapport.txt

Poste zum Abschluss Dein HijackThis.log und den rapport.txt, falls weiterhin Probleme bestehen.
Bitte keine Supportanfragen per PM stellen.

old_juergen

28. Februar 2007, 13:30:18 Uhr #22 Letzte Bearbeitung: 28. Februar 2007, 13:34:20 Uhr von old_juergen
sorry, hatte schon alles bereinigt, nachdem ich gepostet hatte. alles auber, aber die fehlermeldung kommt wieder.
scheint ein anderes problem zu sein.

dieses teil ist für die meldungen verantwortlich.

(http://img144.imageshack.us/my.php?image=screenhunter5kc7.png)

tyco

Bitte keine Supportanfragen per PM stellen.

old_juergen

rapport.txt

SmitFraudFix v2.144

Scan done at 13:21:35,81, 28.02.2007
Run from D:\downloads\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning


logfile

Logfile of HijackThis v1.99.1
Scan saved at 13:58:32, on 28.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0\bin\jusched.exe
D:\Kalenderchen\Kalenderchen.exe
D:\unlocker\UnlockerAssistant.exe
D:\daemon\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
D:\kaspersky anti-hacker 1.9.37.0\Kaspersky Anti-Hacker\KAVPF.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
F:\emule sivka 0.47a v17b1 alpha\emule.exe
D:\firefox\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
D:\flatrate steckdose\iOpus Flatrate Steckdose\flatrate.exe
D:\screenhunter\ScreenHunter.exe
D:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DMS-Kalenderchen] D:\Kalenderchen\Kalenderchen.exe /autorun
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [ICQ Lite] "D:\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [UnlockerAssistant] "D:\unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "D:\daemon\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: FlatrateSteckdose.lnk = D:\flatrate steckdose\iOpus Flatrate Steckdose\flatrate.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = D:\kaspersky anti-hacker 1.9.37.0\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE26EE6C-DE14-4B7E-802B-D27B116B2CDE}: NameServer = 62.220.18.8 62.72.64.241
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: lxbu_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbucoms.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe


tyco

28. Februar 2007, 14:30:55 Uhr #25 Letzte Bearbeitung: 28. Februar 2007, 14:37:04 Uhr von tyco
Dein Rechner ist jetzt sauber.

Das Problem kommt von der Datenausführungsverhinderung die SP2 mitbringt. Dort kannst Du die explorer.exe für die Datenausführungsverhinderung deaktivieren.

Systemsteuerung -> System -> Erweitert -> Systemleistung "Einstellung" -> Datenausführungsverhinderung -> Datenausführungsverhinderung

Bitte keine Supportanfragen per PM stellen.

old_juergen

28. Februar 2007, 15:24:42 Uhr #26 Letzte Bearbeitung: 28. Februar 2007, 15:32:59 Uhr von old_juergen
danke, habe ich doch richtig gelegen. mal schaun.

problem tritt weiterhin auf. sobald ich z.b. einen film verschieben will, kommt die meldung und der explorer zeigt z.b. keine icons mehr von anwendungen in der taskleiste an (screenserver, iopus-flatrate). schon seltsam

tyco

Dein Problem liegt dennoch an der Datenausführungsverhinderung. Nur ist es nicht der Explorer sondern ein anderes Programm das diesen Fehler verursacht. Oder es befindet sich immer noch ein Virus auf Deinem Rechner bei dem die DAF anspringt.

Hast Du die neuesten Updates von MS installiert?

Hast Du den Rechner mit einem Virenscanner und Spybot S&D sowie Ad-Aware SE gescannt?

Hier ist ein Artikel zur Datenausführungsverhinderung (http://www.wintotal.de/Tipps/Eintrag.php?TID=1042).
Bitte keine Supportanfragen per PM stellen.

old_juergen

28. Februar 2007, 18:24:32 Uhr #28 Letzte Bearbeitung: 28. Februar 2007, 18:32:40 Uhr von old_juergen
neuen updates drauf, adaware gescannt.
habe es wie in der anleitung gemacht.  in der boot.ini noexecute durch execute ersetzt. scheint zu funktionieren.

noch einmal danke für die mühe.