execution of the specified command has failed

Begonnen von Sisqo_20, 07. Oktober 2004, 02:28:31 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Sisqo_20

Hallo, jedes mal wenn ich meinen Notbook starte kommt diese meldung,''execution of the specified command has failed''  was kann das bedeuten? Wie kann ich dieses Problem beheben????    ???

Hab noch ein problem, manchmal schaltet sich mein Notbook einfach aus, ohne irgend eine meldung, so als würde ich den Stecker raus ziehen. Kann mir jemand dabei helfen auch dieses problem zu lösen???  ???


swix_jojo@hotmail.com


TMK

Wann kommt denn genau die Fehlermeldung?

Hast vielleicht irgendwan "dubioses" im Autostart bzw. im Systemstart der Registry.

Sisqo_20

Die Felhler meldung kommt sobald der desktop erscheint beim aufstarten...

Wie bring ich das weg? Kannst du es mir erkleren und wie ich an diesen orten gelange im Autostart bzw. im Systemstart der Registry?

Kannst du mir auch dabei helfen diesen Problem zu lösen, dass es sich nicht mehr von sich selbst einfach ausschaltet...?

Danke

Sisqo_20

TMK

Hi,

kannst Du mit Regcleaner machen, siehe folgendes Thema:

http://www.hwe-forum.de/index.php/topic,6563.0.html

Poste am Besten auch einen Screenshot vom Autostart im RegCleaner, dann können wir das Ganze durchgehen.

Gruß
TMK

Sisqo_20

Was kann ich denn von dieser liste entfernen? Möchte zur sicherheit dich fragen, damit ich nichts falsches entferne...

Ame_csa, Rundll32 Amecsa.cpl,RUN_DLL, HKEY_LM\Run
CcApp, "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe", HKEY_LM\Run
CheckMedi8or, C:\Programme\Mediator 7 Pro\CheckNewUser.exe, HKEY_LM\Run
CoolDesk XP, "C:\Programme\IRsoft\CoolDesk XP\cdxp_tray.exe", HKEY_CU\Run
Ctfmon.exe, C:\WINDOWS\system32\ctfmon.exe, HKEY_CU\Run
Desktop, nicht verfügbar, Start-Menü
Desktop, nicht verfügbar, Start-Menü
EPSON Stylus COLOR 480, C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE /A "C:\WINDOWS\System32\E_S1D.tmp", HKEY_CU\Run
HotKeysCmds, C:\WINDOWS\System32\hkcmd.exe, HKEY_LM\Run
IgfxTray, C:\WINDOWS\System32\igfxtray.exe, HKEY_LM\Run
Microsofts Updates, Wuamgrd.exe, HKEY_CU\Run
Microsofts Updates, Wuamgrd.exe, HKEY_LM\Run
Microsofts Updates, Wuamgrd.exe, HKEY_LM\RunServices
NeroFilterCheck, C:\WINDOWS\system32\NeroCheck.exe, HKEY_LM\Run
Outpost Firewall, "C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice, HKEY_LM\Run
P2P Networking, C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART, HKEY_LM\Run
PC Booster, C:\Programme\inKline Global\PC Booster\pcbooster.exe, HKEY_LM\Run
PicoZip, C:\PROGRA~1\PicoZip\PicoZipTray.exe, HKEY_CU\Run
QuickTime Task, "C:\Programme\QuickTime\qttask.exe" -atboottime, HKEY_LM\Run
Rura, C:\Dokumente Und Einstellungen\Sisqo_20\Anwendungsdaten\bcwo.exe, HKEY_CU\Run
SafeGuard Popup Blocker Updater (required), Regsvr32 /s C:\WINDOWS\System32\sfg6e61.dll, HKEY_LM\Run
Shhost, C:\Programme\OutLaster\shhost.exe, HKEY_LM\Run
Skype, "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized, HKEY_CU\Run
Sm1bg, C:\windows\sm1bg.exe, HKEY_LM\Run
Spamihilator, "C:\Programme\Spamihilator\spamihilator.exe", HKEY_CU\Run
SpybotSD TeaTimer, C:\Programme\Spybot - Search & Destroy\TeaTimer.exe, HKEY_CU\Run
StarOffice 6.0, nicht verfügbar, Start-Menü
SynTPEnh, C:\Programme\Synaptics\SynTP\SynTPEnh.exe, HKEY_LM\Run
SynTPLpr, C:\Programme\Synaptics\SynTP\SynTPLpr.exe, HKEY_LM\Run
THGuard, "C:\Programme\TrojanHunter 3.9\THGuard.exe", HKEY_LM\Run
TkBellExe, "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot, HKEY_LM\Run
Vvsn, C:\Programme\VVSN\VVSN.exe, HKEY_LM\Run
Websx, C:\Programme\websx\int4423.exe -auto, HKEY_LM\Run
Win Update, Wupfyny.exe, HKEY_LM\Run
Win Update, Wupfyny.exe, HKEY_LM\RunServices
Windows Registers, Svchosters.exe, HKEY_CU\Run
Windows Registers, Svchosters.exe, HKEY_LM\Run
Windows Registers, Svchosters.exe, HKEY_LM\RunServices
Windows SA, C:\Program Files\WindowsSA\omniscient.exe, HKEY_LM\Run
WindUpdates, C:\Program Files\WindUpdates\WinUpdt.exe, HKEY_LM\Run
Www.hidro.4t.com   , Enbiei.exe , HKEY_LM\Run
WxixnSpoolx, C:\WINDOWS\System32\ews\rbuild.exe C:\WINDOWS\System32\ews\extract.exe, HKEY_LM\Run
Yahoo! Pager, C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet, HKEY_CU\Run
YAW Starten, "C:\Programme\YAW 3.5\fast.exe", HKEY_CU\Run
Zierd32, C:\WINDOWS\System32\kolder.exe C:\WINDOWS\System32\dirote.exe, HKEY_LM\Run

tyco

Dein System ist mit Viren infiziert! Bist Du noch in der Lage HijackThis zu starten und den Logfile zu posten?
Bitte keine Supportanfragen per PM stellen.

Sisqo_20

Sorry aber ich verstehe nicht soviel von diesen Sachen: HijackThis zu starten und den Logfile zu posten... HijackThis was ist das und was bedeutet posten?  ??? sorry aber ich kenne einfach noch nicht diese begriefe... :'(
mein Norton antivirus findet keine viren... wie kann ich denn diese viren entfernen? Was soll ich jetzt aus der liste Autostart entfernen?

tyco

Das Tool HijackThis spürt Browser-Hijacker auf und entfernt diese.

Das Tool kannst Du z.B. hier (http://www.zdnet.de/downloads/prg/n/m/deGNNM-wc.html) downloaden.

Mit diesem Programm scannst Du Deinen Rechner und drückst anschliessend auf Logfile erstellen. Diese Datei öffnest Du anschliessend per Doppelklick oder mit dem Editor....alles markieren und den Text ins Forum stellen.

Wir sagen Dir dann was Du fixen (entfernen) kannst.
Bitte keine Supportanfragen per PM stellen.

Sisqo_20

Ich habe den RegCleaner 4.3  aber ich weiss nicht was ich entfernen muss... möchte nichts falsches entfernen...

Sisqo_20

Logfile of HijackThis v1.98.2
Scan saved at 19:04:02, on 11.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SM1BG.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\OutLaster\shhost.exe
C:\Programme\inKline Global\PC Booster\pcbooster.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\IRsoft\CoolDesk XP\cdxp_tray.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\StarOffice6.0\program\soffice.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\BearShare\BearShare.exe
C:\Programme\BearShare\BearShare.exe
C:\Programme\RegCleaner\RegCleanr.exe
C:\Programme\7-Zip\7zFMn.exe
C:\DOKUME~1\Sisqo_20\LOKALE~1\Temp\7zO84B.tmp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.windowws.cc/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.ch/0SEDECH/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mymobile.sunrise.ch/portal/res/member/?oblngch=de_CH?oblngch=de_CH
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://mobile.sunrise.ch/ger/home.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://minisearch.startnow.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.magix.com/new/cgi-bin/register/initiate.pl?VARPROGRAM=hiphopmaker&VARCHARGE=1.0.2.0&VARREGISTER=onlineregister&VARLAND=D
R3 - URLSearchHook: HyperSearchHook - {E1B275E4-5AC9-4557-93E4-0C0B37870FAF} - C:\Programme\Gemeinsame Dateien\Hyperbar\HyperbarSS3.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll
O2 - BHO: HyperBHO - {4B2F5308-2CB0-40E2-8030-59936ED5D22C} - C:\Programme\Gemeinsame Dateien\Hyperbar\Hyperbar.dll
O2 - BHO: (no name) - {4FA93508-B310-1F86-8656-6D550AA37D4A} - C:\WINDOWS\System32\jghgzq.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Core Library - {83B3E0C1-DEF1-4df5-A3F5-92D10B7A396A} - C:\WINDOWS\System32\sfg6e61.dll
O2 - BHO: FlashCaptureIEHlprObj Class - {8B3868B4-EBA8-48FA-A19B-E1DFB99066FA} - C:\Programme\FlashCapture\FlashCap.dll (file missing)
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: LBBHO Class - {EFD84954-6B46-42f4-81F3-94CE9A77052D} - C:\WINDOWS\lbbho.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1629.0\de-ch\msntb.dll
O4 - HKLM\..\Run: [zierd32] C:\WINDOWS\System32\kolder.exe C:\WINDOWS\System32\dirote.exe
O4 - HKLM\..\Run: [WxixnSpoolx] C:\WINDOWS\System32\ews\rbuild.exe C:\WINDOWS\System32\ews\extract.exe
O4 - HKLM\..\Run: [www.hidro.4t.com   ] enbiei.exe
O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [Windows Registers] Svchosters.exe
O4 - HKLM\..\Run: [win update] wupfyny.exe
O4 - HKLM\..\Run: [websx] C:\Programme\websx\int4423.exe -auto
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SM1BG] C:\WINDOWS\SM1BG.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsofts Updates] wuamgrd.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [shhost] C:\Programme\OutLaster\shhost.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.9\THGuard.exe"
O4 - HKLM\..\Run: [CheckMedi8or] C:\Programme\Mediator 7 Pro\CheckNewUser.exe
O4 - HKLM\..\Run: [SafeGuard Popup Blocker Updater (required)] regsvr32 /s C:\WINDOWS\System32\sfg6e61.dll
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKLM\..\RunServices: [Microsofts Updates] wuamgrd.exe
O4 - HKLM\..\RunServices: [Windows Registers] Svchosters.exe
O4 - HKLM\..\RunServices: [win update] wupfyny.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Rura] C:\Dokumente und Einstellungen\Sisqo_20\Anwendungsdaten\bcwo.exe
O4 - HKCU\..\Run: [PicoZip] C:\PROGRA~1\PicoZip\PicoZipTray.exe
O4 - HKCU\..\Run: [EPSON Stylus COLOR 480] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE /A "C:\WINDOWS\System32\E_S1D.tmp"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Registers] Svchosters.exe
O4 - HKCU\..\Run: [Microsofts Updates] wuamgrd.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [CoolDesk XP] "C:\Programme\IRsoft\CoolDesk XP\cdxp_tray.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\fast.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - Startup: StarOffice 6.0.lnk = C:\Programme\StarOffice6.0\program\quickstart.exe
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=http://mobile.sunrise.ch/ger/home.htm
O16 - DPF: ConferenceRoom Java Client - http://irc2.bluewin.ch/java/cr.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=8eed54950496bfeb5899b8ba81fbaa8f52698706bfeedff388bf3e8d58cf5f61afd31721d03773ca067a2afbc699d63f22ed05f72cb55925:0db69b72ff39cfe5e585d7b34e81015d
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.stardialer.de/StarInstall.ocx
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by2fd.bay2.hotmail.msn.com/activex/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{4549EF1B-0163-4F08-83E3-4D52F6E8E630}: NameServer = 194.230.1.136 194.230.1.232
O20 - AppInit_DLLs: FHook.dll


tyco

11. Oktober 2004, 19:08:17 Uhr #10 Letzte Bearbeitung: 11. Oktober 2004, 19:12:19 Uhr von tyco
Lösche mal folgende Einträge:

Microsofts Updates, Wuamgrd.exe, HKEY_CU\Run
Microsofts Updates, Wuamgrd.exe, HKEY_LM\Run
Microsofts Updates, Wuamgrd.exe, HKEY_LM\RunServices

Ohne HijackThis oder Spybot Search & Destroy wirst Du den Wurm auf Dauer wahrscheinlich nicht entfernen können.

Wuamgrd.exe (http://www.sophos.de/virusinfo/analyses/w32rbota.html) ist der Wurm W32/RBot-A.

Edit: Hehe, ist ja voll verseucht, da brauche ich ein Weilchen.
Bitte keine Supportanfragen per PM stellen.

tyco

Diese Einträge unbedingt fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =
http://www.windowws.cc/sp.htm?id=9

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://mymobile.sunrise.ch/portal/res/member/?oblngch=de_CH?oblngch=de_CH

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
http://minisearch.startnow.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
http://minisearch.startnow.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL =
http://minisearch.startnow.com/

O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program
Files\Submit\submithook.dll

O2 - BHO: HyperBHO - {4B2F5308-2CB0-40E2-8030-59936ED5D22C} -
C:\Programme\Gemeinsame Dateien\Hyperbar\Hyperbar.dll

O2 - BHO: Core Library - {83B3E0C1-DEF1-4df5-A3F5-92D10B7A396A} -
C:\WINDOWS\System32\sfg6e61.dll

O2 - BHO: LBBHO Class - {EFD84954-6B46-42f4-81F3-94CE9A77052D} -
C:\WINDOWS\lbbho.dll

O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe

O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe

O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe

O4 - HKLM\..\Run: [websx] C:\Programme\websx\int4423.exe -auto

O4 - HKLM\..\Run: [Microsofts Updates] wuamgrd.exe

O4 - HKLM\..\Run: [SafeGuard Popup Blocker Updater (required)] regsvr32 /s
C:\WINDOWS\System32\sfg6e61.dll

O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe

O4 - HKLM\..\RunServices: [Microsofts Updates] wuamgrd.exe

O4 - HKCU\..\Run: [Microsofts Updates] wuamgrd.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
http://public.windupdates.com/get_file.php?bt=ie&p=8eed54950496bfeb5899b8ba81fbaa8f52698706bfeedff388bf3e8d58cf5f61afd31721d03773ca067a2afbc699d63f22ed05f72cb55925:0db69b72ff39cfe5e585d7b34e81015d    
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} -
http://www.mt-download.com/MediaTicketsInstaller.cab

O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} -
http://install.stardialer.de/StarInstall.ocx

Wenn Dir diese IPs nichts sagen auch fixen:

O17 - HKLM\System\CCS\Services\Tcpip\..\{4549EF1B-0163-4F08-83E3-4D52F6E8E630}:
NameServer = 194.230.1.136 194.230.1.232

Folgende Einträge entfernst Du besser mit Spybot Search & Destroy:

O10 - Hijacked Internet access by New.Net
Bitte keine Supportanfragen per PM stellen.

Sisqo_20

Hallo TMK, kannst du mir bitte bei diesem problem helfen, das mein rechner nicht mehr von selbst runterfährt?
Denn wenn ich versuche mit Spybot Search & Destroy oder Norton Antivirus meinen rechner zu überprüfen schaltet er sich wieder aus.

TMK

Hast du die Sachen alle gelöscht, die tyco gepostet hat?!

tyco

Hört sich verdammt nach einem Virus an. Wenn Du alles gefixt hast, was ich Dir empfohlen habe, dann poste bitte den aktuellen Logfile von HijackThis. Es waren noch ein paar Einträge drin, die eventuell auch noch böse sein könnten.
Bitte keine Supportanfragen per PM stellen.

Sisqo_20

Ja bis auf: Folgende Einträge entfernst Du besser mit Spybot Search & Destroy:

O10 - Hijacked Internet access by New.Net

da komm ich nicht weitter, weil der rechner eifach runterfährt...

noch eine frage muss ich hier Erlauben oder Verweigern?


Sisqo_20

Logfile of HijackThis v1.98.2
Scan saved at 23:19:20, on 11.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SM1BG.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\OutLaster\shhost.exe
C:\Programme\inKline Global\PC Booster\pcbooster.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\IRsoft\CoolDesk XP\cdxp_tray.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\StarOffice6.0\program\soffice.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\7-Zip\7zFMn.exe
C:\DOKUME~1\Sisqo_20\LOKALE~1\Temp\7zO9.tmp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.ch/0SEDECH/SAOS01
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://mobile.sunrise.ch/ger/home.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.magix.com/new/cgi-bin/register/initiate.pl?VARPROGRAM=hiphopmaker&VARCHARGE=1.0.2.0&VARREGISTER=onlineregister&VARLAND=D
R3 - URLSearchHook: HyperSearchHook - {E1B275E4-5AC9-4557-93E4-0C0B37870FAF} - C:\Programme\Gemeinsame Dateien\Hyperbar\HyperbarSS3.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - (no file)
O2 - BHO: (no name) - {4FA93508-B310-1F86-8656-6D550AA37D4A} - C:\WINDOWS\System32\jghgzq.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {83B3E0C1-DEF1-4df5-A3F5-92D10B7A396A} - (no file)
O2 - BHO: FlashCaptureIEHlprObj Class - {8B3868B4-EBA8-48FA-A19B-E1DFB99066FA} - C:\Programme\FlashCapture\FlashCap.dll (file missing)
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {EFD84954-6B46-42f4-81F3-94CE9A77052D} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1629.0\de-ch\msntb.dll
O4 - HKLM\..\Run: [zierd32] C:\WINDOWS\System32\kolder.exe C:\WINDOWS\System32\dirote.exe
O4 - HKLM\..\Run: [WxixnSpoolx] C:\WINDOWS\System32\ews\rbuild.exe C:\WINDOWS\System32\ews\extract.exe
O4 - HKLM\..\Run: [Windows Registers] Svchosters.exe
O4 - HKLM\..\Run: [win update] wupfyny.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SM1BG] C:\WINDOWS\SM1BG.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [shhost] C:\Programme\OutLaster\shhost.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.9\THGuard.exe"
O4 - HKLM\..\Run: [CheckMedi8or] C:\Programme\Mediator 7 Pro\CheckNewUser.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice
O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
O4 - HKLM\..\Run: [Microsofts Updates] wuamgrd.exe
O4 - HKLM\..\RunServices: [Windows Registers] Svchosters.exe
O4 - HKLM\..\RunServices: [win update] wupfyny.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Rura] C:\Dokumente und Einstellungen\Sisqo_20\Anwendungsdaten\bcwo.exe
O4 - HKCU\..\Run: [PicoZip] C:\PROGRA~1\PicoZip\PicoZipTray.exe
O4 - HKCU\..\Run: [EPSON Stylus COLOR 480] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_SICN03.EXE /A "C:\WINDOWS\System32\E_S1D.tmp"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Registers] Svchosters.exe
O4 - HKCU\..\Run: [Microsofts Updates] wuamgrd.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [CoolDesk XP] "C:\Programme\IRsoft\CoolDesk XP\cdxp_tray.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\fast.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - Startup: StarOffice 6.0.lnk = C:\Programme\StarOffice6.0\program\quickstart.exe
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=http://mobile.sunrise.ch/ger/home.htm
O16 - DPF: ConferenceRoom Java Client - http://irc2.bluewin.ch/java/cr.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} -
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} -
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by2fd.bay2.hotmail.msn.com/activex/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{4549EF1B-0163-4F08-83E3-4D52F6E8E630}: NameServer = 194.230.1.136 194.230.1.232
O20 - AppInit_DLLs: FHook.dll


tyco

Zitat von: Sisqo_20 am 11. Oktober 2004, 23:18:03 Uhr

noch eine frage muss ich hier Erlauben oder Verweigern?



Merken und Änderung erlauben! Das ist der Virus W32/Lovsan.F
Bitte keine Supportanfragen per PM stellen.

Sisqo_20

Ich versuche jetzt nochmals mit Spybot Search & Destroy... wenn er wieder runterfähr, meld ich es euch...

tyco

Wenn SIS Treiber installiert sind normal. Es könnte auch der Virus W32/Gaobot.CR sein.Also fixen wenn kein SIS Treiber installiert ist:

C:\WINDOWS\system32\slserv.exe

Unbedingt fixen:

O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - (no file)

O2 - BHO: (no name) - {83B3E0C1-DEF1-4df5-A3F5-92D10B7A396A} - (no file)

O2 - BHO: (no name) - {EFD84954-6B46-42f4-81F3-94CE9A77052D} - (no file)

O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe

O4 - HKLM\..\Run: [Microsofts Updates] wuamgrd.exe

O4 - HKCU\..\Run: [Microsofts Updates] wuamgrd.exe

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net
Bitte keine Supportanfragen per PM stellen.