Bitte um Hilfe: formatieren-backup?

[matthias66]

Hallo TMK und Helfer-innen!
Wie ich schon in der anderen Rubrik schilderte, gab ich den anderen Rechner zur Reparatur, weil er dauernd die Internet-Verbindung unterbrach. Nun erhielt ich ihn mit der Aufforderung zurueck, alles neu zu installieren, von 0 an. Damit gehen aber alle Daten verloren, soweit ich das weiss?
Bitte helft mir. Teilt mir bitte Schritt fuer Schritt mit, wenn das moeglich ist, wie ich alles irgendwie -etwa auf einer CD?- spreichern kann? Rechner eins hat z.B. auch installiert, dass Rechner 2 ebenfalls mit demselber Drucker drucken kann etc. Das bekomme ich anschliessend nie hin. Schon jetzt vielen Dank im voraus mit einem Gruss Matthias

[tyco]

Welches Brennprogramm hast Du denn? Zieh Dir doch alles was wichtig erscheint auf eine CD. Ein Backup nutzt ja nichts. Dann hast Du nachher dieselben Probleme wie vorher.

Die Sache mit dem Netzwerkdrucker musst Du wohl selbst wieder hinbiegen.....aber wir versuchen zu helfen. 

[matthias66]

Hallo tyco, schoen, mal wieder von Dir zu lesen. Als ob mir ein alter Bekannter wieder begegnet. Du, erst mal danke. Ich habe Nero zum brennen? Und, was mir einfiel, ich habe wohl, wenn ich das richtig verstanden habe, einen ueblen virus, dem ich das alles verdanke? Kann ich da nicht einfach "restaurieren", d.h. zu einem frueheren Zeitpunkt wieder beginnen? Auf jeden Fall nochmals danke Matthias

[tyco]

Und, was mir einfiel, ich habe wohl, wenn ich das richtig verstanden habe, einen ueblen virus, dem ich das alles verdanke?

Hi Matthias, schon wieder ein Virus! 

Restaurieren könntest Du mit der Wiederherstellungskonsole versuchen. Aber ob dadurch der Virus verschwindet ist mehr als fraglich. Irgendwo ist der ja noch auf Deiner Platte.

Wegen des Virus könntest Du sonst hier nochmal schauen: Viren, Trojaner, Hijacker & Co – Schutz und Beseitigung (http://www.hardwareecke.de/berichte/sicherheit/viren_trojaner_hijacker_schutz_beseitigung_1.php)

[matthias66]

Ha tyco, bin ja kein KLEINER DUMMER . Also, virus denke ich mir. Denn, wenn ich den Rechner, auchjetzt noch starte, kommt immer ein Fenster: windows istaller. Der will Norton installieren. Dann erhalte ich die Meldung, dass Norton doch schon installiert ist. Wenn ich das Norton-Eikohn anklicke geht auch nur das Installationsbild auf. Seltsamseltsam. Und, weisst, Du, Seit einem Monat suche ich Lieferanten in Fernost fuer Druckertinte. Da bekam ich einmal eine Virenwarnung. Und "kein kleiner dummer" deshalb: hab das logfeil vom verseuchten rechner auf diskette gespeichert und schick das jetzt hier mit. Aukei? Schaust Du Dir das bitte auch an? Dungeschöhn´+ gruss Matthias

Logfile of HijackThis v1.99.0
Scan saved at 19:25:54, on 10/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\locator.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\AVPersonal\AVSched32.EXE
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\a2\a2guard.exe
C:\WINDOWS\System32\winmode.exe
C:\Archivos de programa\BHODemon 2\BHODemon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Documents and Settings\carlos\Configuración local\Temp\Directorio temporal 9 para hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Archivos de programa\WinSweep\ws.js
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {97387E2B-B2FA-4E4A-A607-F3B5C134F71C} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVSCHED32] C:\Archivos de programa\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Win Update Microsoft] winmode.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\ARCHIV~1\NORTON~1\Cfgwiz.exe /R
O4 - HKLM\..\Run: [ccApp] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\RunServices: [Win Update Microsoft] winmode.exe
O4 - HKCU\..\Run: [a-squared] "C:\Archivos de programa\a2\a2guard.exe"
O4 - HKCU\..\Run: [Win Update Microsoft] winmode.exe
O4 - Startup: BHODemon 2.0.lnk = C:\Archivos de programa\BHODemon 2\BHODemon.exe
O4 - Global Startup: abylon SHREDDER.lnk = C:\Archivos de programa\abylonsoft\SAWipe\SAWipe.EXE
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} (InstallShield Setup Player 2K2) - http://sib1.od2.com/common/Member/ClientInstall/10.20.0002/OCI/setup.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E8BCB90-640A-4819-A83E-B7A331739ADA}: NameServer = 80.58.61.250,80.58.61.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E8BCB90-640A-4819-A83E-B7A331739ADA}: NameServer = 80.58.61.250,80.58.61.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{0E8BCB90-640A-4819-A83E-B7A331739ADA}: NameServer = 80.58.61.250,80.58.61.254
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Archivos de programa\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Fax - Unknown - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: InCD Helper - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: Servicio del iPod - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

[matthias66]

Tyco, ich trau mich fast nicht, davon zu berichten. Hab bis zum 10.2. zurueckgesetzt. Und jetzt bin ich noch immer im Netz. Ob ich noch einmal davongekommen bin? Ich wags fast nicht zu glauben. Nun. Ich melde mich nachher wida! Bis dahin tschöhö matthias

[matthias66]

Da bin ich wieder. Leider hatte ich mich zu frueh gefreut. Derzeit installiere ich alles neu. Aber, ich habe ein weiteres Problem. Hoffentlich nerve ich nicht zu sehr? Auf diesem Rechner will ich Mozilla installieren. Ich erhalte aber die Nachricht, dass die Seite nicht angezeigt werden kann. Nun stelle ich fest, dass das bei einigen anderen Seiten auch der Fall ist. Woran liegt das? Danke erneut mit Gruss Matthias

[tyco]

Tyco, ich trau mich fast nicht, davon zu berichten. Hab bis zum 10.2. zurueckgesetzt. Und jetzt bin ich noch immer im Netz. Ob ich noch einmal davongekommen bin? Ich wags fast nicht zu glauben. Nun. Ich melde mich nachher wida! Bis dahin tschöhö matthias

Heute ist der 10.2.05 

Aber wenn es denn geht umso besser.

Aber ich habe einen aktuellen Virus bei Dir im HijackThis.log entdeckt.

WORM_SDBOT.AOD (http://www.trendmicro-middleeast.com/enterprise/security_info/ve_detail.php?id=84280&VName=WORM_SDBOT.AOD&VSect=T)

Fix mal mit HijackThis folgende Einträge:

C:\WINDOWS\System32\winmode.exe

O4 - HKLM\..\Run: [NAV CfgWiz] C:\ARCHIV~1\NORTON~1\Cfgwiz.exe /R

O4 - HKLM\..\RunServices: [Win Update Microsoft] winmode.exe

O4 - HKCU\..\Run: [Win Update Microsoft] winmode.exe

.....wenn sie denn noch da sind. Vieleicht konntest Du es ja tatsächlich über die Herstellungkonsole retten

Kontrolliere auf jedenfall, ob sich die Datei winmode.exe noch im Verzeichnis C:\WINDOWS\System32\winmode.exe befindet und lösche sie (gegebenenfalls im abgesicherten Modus). Möglicherweise ist die Datei auch versteckt. Also im Explorer unter Extras > Ordneroptionen > Ansicht  > Alle Dateien und Ordner anzeigen anklicken.

...jep, bin wohl zu spät mir meiner Antwort. 

[matthias66]

Hai tyco, da bin ich wieda!  Danke fuer Deine Muehe. Verzeih bitte, alles ist Schnee von gestern. Nachdem ich mich gefreut hatte, unterbrach der Rechner auch prompt die Verbindung. Da war ich es einfach leid. Ich habe alle Ordner usw. auf CD gebrannt, allerdings, ich Esel, die Favoriten vergessen! Ach, ich weiss garnicht, ob man die speichern kann? Nuja, jetzt ist das eben alles weg. Dann habe ich bis heute frueh fuenf Uhr neu istalliert. Ich habe dann auch so lange rumprobiert, bis ich ploetzlich eine Internet-Verbindung hatte. Nur, frag mich bitte nicht, wie. Komischerweise kam ich mit dem InternetEx nicht rein. Ploetzlich ging MNS auf, und ich war im Internet!!!  Zwischendurch kam ich dann wieder mal nicht rein. Dann musste ich irgendein Konto bei MNS? eroeffnen. Seither bin ich mit beiden Rechnern im Netz. Ich hab jetzt diesen auch mal gelogfeilt. Vielleicht bist Du ja so freundlich, Dir das anzuschauen? Darf ich so unverschaemt sein, zu fragen, ob ich Dir das Logfeil vom anderen auch noch schicken darf? Der spinnt naemlich irgendwie, aber nur leicht. Also denn. Sollten wir vorher keinen Kontakt mehr haben, wuensche Dir und ALLEN ein tolles WoE! Gruss und dungeschöhn Matthias


Logfile of HijackThis v1.99.0
Scan saved at 21:19:55, on 11/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Mozilla1.7.5\Mozilla.exe
C:\Archivos de programa\Real\RealPlayer\RealPlay.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\a2 free\a2upd.exe
C:\Archivos de programa\SurfMusik 3.1\SurfMusik.exe
C:\Documents and Settings\carlos\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Archivos de programa\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Archivos de programa\Mozilla1.7.5\Mozilla.exe" -turbo
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O12 - Plugin for .UVR: C:\Archivos de programa\Internet Explorer\Plugins\NPUPano.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DA02442-DB8B-40A6-8340-71041D384EF3}: NameServer = 80.58.61.250,80.48.61.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{3DA02442-DB8B-40A6-8340-71041D384EF3}: NameServer = 80.58.61.250,80.48.61.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{3DA02442-DB8B-40A6-8340-71041D384EF3}: NameServer = 80.58.61.250,80.48.61.254
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: InCD Helper - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

[matthias66]

Haaaaaaaaaaaalt , moechte noch was fragen. Beim Formatieren kam mir ploetzlich die Erleuchtung, wenn dem so sein sollte, dass ich in "D" nur speichern darf und kann, was nichts mit dem Internet zu tun hat? Die Erleuchtung/Ueberlegung kam mir bei der Info, dass nur eine Partition mit XP versehen werden kann? Heisst das, dass ich nur Spiele, die ich ja nicht habe, dann aber auch meine Ordner, in "D" speichern kann?  Auf keinen Fall z.B. Mediaplayer, Antivirus etc.?

[matthias66]

Da bin ich nochmal mit demLogfile of HijackThis v1.99.0
Scan saved at 21:59:13, on 13/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
D:\Archivos de programa\Winamp\winampa.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
D:\WinSweep\WSMonitor.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\pib\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://D:\WinSweep\ws.js
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar.dll
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - D:\WinSweep\SurfBar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\j2re1.4.2_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WinampAgent] D:\Archivos de programa\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WINSWEEP] D:\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] D:\WinSweep\WSPopup.Exe
O4 - Global Startup: abylon SHREDDER.lnk = C:\Archivos de programa\abylonsoft\SAWipe\SAWipe.EXE
O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\googletoolbar.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Archivos de programa\Google\googletoolbar.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Archivos de programa\Google\googletoolbar.dll/cmcache.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Archivos de programa\Google\googletoolbar.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098391512544
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2090BA7-641C-40B1-A620-FCF9D962B78A}: NameServer = 80.58.61.250,80.58.61.254
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

anderen Rechner und hier das logfeil: schon jetzt danke Matthias

[tyco]

Haaaaaaaaaaaalt , moechte noch was fragen. Beim Formatieren kam mir ploetzlich die Erleuchtung, wenn dem so sein sollte, dass ich in "D" nur speichern darf und kann, was nichts mit dem Internet zu tun hat? Die Erleuchtung/Ueberlegung kam mir bei der Info, dass nur eine Partition mit XP versehen werden kann? Heisst das, dass ich nur Spiele, die ich ja nicht habe, dann aber auch meine Ordner, in "D" speichern kann? Auf keinen Fall z.B. Mediaplayer, Antivirus etc.?

Du kannst speichern wo Du willst, weil die Registry sich das merkt. Ich mache es so, dass ich auf jedem Rechner nur wichtige Systemprogramme auf C:\ speichere. Der Grund ist ein schnelle Systemwiederherstellung mit einem Image falls es zu Problemen kommen sollte.  Alles andere kommt bei mir in folgende Partionen.

D:\ (Programme)
E:\ (Images)
F:\ (Daten)
G:\ (Kopie der Betriebssystem - InstallationCD)

...übrigens sind Deine HijackThis-Logfiles sauber. 

[matthias66]

Tyco, nochmals  Ich wuensch Dir ein tolles Wochenende    Matthias