Hallo,
Habe Gestern ne Datei geschickt bekommen wo ich nachher hausgefunden habe das es ein Trojaner war.
Nun hab ich fast keine Rechte mehr sprich
- Systemwiederherstellung wurde Deaktivert
- CMD Funktioniert nicht
- Regedit funktioniert nicht
- Regedit32 Funktioniert nicht
- TaskManager funktioniert nicht
- Wenn ich PC neustarte kommt "SVCHOST.exe" kann nicht gefunden werden.
...
Was kann ich machen ?
Habe keine Lust mein System zu Formatieren weil ich echt an dem Hänge weil alles sehr gut läuft bis Trojaner kam.
MFG DOME
Weißt Du um welchen Trojaner es sich handelt?
Hast Du schon irgendwelche Rettungsversuche unternommen?
Hi,
Also angeblich sollte es ein Trojaner von so nem CIA 1.3 bums da sein. Keine Ahung wie der genau heißt ich denk aber ihr kennt das sicherlich.
Ich habe versucht mit nem dazuinstallierten Regedit Programm die Registry vom PC zu aktivieren der sucht dann aber nach der Datei "LDMConf.exe" die er nicht findet.
Habe auch schon nen externen TaksManager runtergeladen auch ohne erFolg.
Habe einem Kollegen gesagt der soll versuchen mit nem Programm auf meinem PC zu kommen und denn Trojaner zu löschen geht auch nicht.
MFG
Zunächst würde ich es mit den klassischen Rettungstools wie AdAware und Spybot Search & Destroy versuchen und einem Virenscanner. Du solltest alles im abgesicherten Modus ausführen. Du kannst auch ein HijackThis.log ins Forum posten.
Schau auch hier: Viren, Trojaner, Hijacker & Co – Schutz und Beseitigung (http://www.hardwareecke.de/berichte/sicherheit/viren_trojaner_hijacker_schutz_beseitigung_1.php)
Falls Du eine Koppix-CD oder sowas ähnliches besitzt, wäre das auch ideal um den Trojaner zu entfernen.
AdAware und Spybot Search & Destroy hab ich benutzt nichts geholfen.
Desweiteren habe ich rausgefunden das der Trojaner als Beschreiung "Generic Host Process for WIN 32 Services" hat habe mit dem dazu installierten TaskManager die Beschreibung bei ALLEN SVCHOST.exe gesehen.
MFG DOME
Diese CD hab ich leider nicht.
Logfile of HijackThis v1.99.1
Scan saved at 18:50:24, on 08.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFwSvc.exe
C:\Programme\AntiVirenKit InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFirewallTray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Dominik\Desktop\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\AvkWebIE.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\AvkWebIE.dll
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\AntiVirenKit InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [GLSetIT32] c:\windows\system32\msiexec16.exe
O4 - HKLM\..\Run: [00saskda] "C:\Programme\Security Administrator\newadmin.exe" saskda
O4 - HKLM\..\RunServices: [GLSetIT32] c:\windows\system32\msiexec16.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Save Flash - res://C:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} -
O16 - DPF: {A672558F-A878-4D5A-A921-627C091CEB60} (Flatcast Producer 4.15) - http://www.flatcast.com/de/download/NpFp415.dll
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.com/de/download/NpFv415.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WB - C:\Programme\AlienGUIse\fastload.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
Nette Sammlung ...
Unbedingt im abgesicherten Modus fixen.
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
so bekommst Du ihn weg -> http://virus-protect.org/artikel/dienste/wsock32sys.html
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O4 - HKLM\..\Run: [GLSetIT32] c:\windows\system32\msiexec16.exe
O4 - HKLM\..\RunServices: [GLSetIT32] c:\windows\system32\msiexec16.exe
Info's: http://www.sophos.de/virusinfo/analyses/w32agobotfm.html
Wenn ich so nen Prob hab
mach ich immer Format C
dann ist alles wieder gut :-) (und der rechner ist auch wieder was flotter xD)
mfg Vegeta
Zitat von: Vegeta am 08. Mai 2006, 19:09:57 Uhr
Wenn ich so nen Prob hab
mach ich immer Format C
Ist nicht unbedingt das Schlechteste ...
Dann hat man Gewissheit.
Der Virenscanner hat jedenfalls total versagt, der Virus ist ja schon uralt
Hi,
So ich gehe jetzt in den abgesicherten Modus und Fixe die 5 Sachen.
Sollte dann der PC Clean sein ?
Noch eine Frage, wenn ich die sachen gefixt habe ist dann auch der Fehler weg das die Daten fehlen "svchost.exe" ?
Format C: Nee nie im Leben, nur wegen dem Trojaner also nee lieber dann alles ausprobieren als direckt aufzugeben.
MFG DOME
PS: Ich habe AntiVirenKit Internet Security habe 70€ bezahlt mache jeden Tag nen Update und der Hat nichts erkannt. Erst nachdem ich den PC neugestartet habe.
Hast Du Dir die Links durchgelesen ?
Der eine Virus ist aus 2004 ... Jeden Tag ein Update ?
Macht Dich das nicht stutzig, nur wegen einem Trojaner ...
Du solltest auf jeden Fall die verschiedenen Online-Scanner durchlaufen lassen.
Am Besten wäre es natürlich, nicht von dem verseuchten System booten zu müssen und die Platte von einem virenfreien System zu prüfen ...
Vergiß nicht Deine Kennwörter zu ändern.
Zitat von: Domee am 08. Mai 2006, 18:37:41 Uhr
Habe einem Kollegen gesagt der soll versuchen mit nem Programm auf meinem PC zu kommen und denn Trojaner zu löschen geht auch nicht.
Sag deinen Kollegen er soll deine Festplatte als Slave Platte bei ihn einbauen (Nicht mit dem Explorer auf der Festplatte drauf gehen, dann werden eventuell Viren, Trojaner oder so aktiv) und dann mit seinen Anti Viren Programm deine Festplatte absuchen.
Hi,
Geht leider nicht mit dem Ausbauen, mein PC ist noch neu und ich habe Garantie, wenn ich den aufschraube erlöscht sie. Darum geht das nicht.
MFG
Zitat von: Domee am 08. Mai 2006, 19:43:05 Uhr
Format C: Nee nie im Leben, nur wegen dem Trojaner also nee lieber dann alles ausprobieren als direckt aufzugeben.
Find ich das es das beste ist.
Dann kannst du nähmlich neue Virenscanner draufhauen usw und bist dir auch 100% sicher das kein Trojaner irgend nen shit macht
da ja alles clean ist
Hi,
JUHU es geht wieder alles.
Habe die Anleitung von euch genutzt.
Nur eine Frage habe ich noch und zwar Wenn ich den anderen TaskManager starte (der von Windows geht auch) steht bei der Beschreibung immer noch "Generic Host Process for WIN32 Service"
habe das gemacht:
Gehe in die Registry
Start-->Ausführen--> regedit
bearbeiten --> suchen
* Generic Host Process
* scvhost
* FmS137q14n.ini (kann auch andere Zahlen/Nummernfolge haben)
loesche alles , was noch vorhanden ist.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Generic Host Process"
[HKEY_USERS\S-1-5-21-329068152-1659004503-839522115-1003\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run]
"Generic Host Process"
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\set\set\set --> loeschen
FmS137q14n.ini (kann auch andere Zahlen/Nummernfolge haben)
PC neustarten
MFG
Poste nochmal ein aktuelles HijackThis.log.
Hier:
Logfile of HijackThis v1.99.1
Scan saved at 13:57:37, on 09.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVirenKit InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.5.0_04\bin\jucheck.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Security Administrator\newadmin.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\GDFirewallTray.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Dominik\Desktop\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\AntiVirenKit
InternetSecurity\Webfilter\AvkWebIE.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat
7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\AntiVirenKit
InternetSecurity\Webfilter\AvkWebIE.dll
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\AntiVirenKit InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works
Shared\WkUFind.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [00saskda] "C:\Programme\Security Administrator\newadmin.exe" saskda
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop
Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -
res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Save Flash - res://C:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Programme\UnH Solutions\Flash Saving
Plugin\FlashSButton.dll (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -
http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) -
http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) -
http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -
http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} -
O16 - DPF: {A672558F-A878-4D5A-A921-627C091CEB60} (Flatcast Producer 4.15) -
http://www.flatcast.com/de/download/NpFp415.dll
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -
http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) -
http://www.flatcast.com/de/download/NpFv415.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file
missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems
Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Belkin\Bluetooth
Software\bin\btwdins.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\AntiVirenKit
InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame
Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia
Shared\Service\Macromedia Licensing.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
Dein Logfile sieht gut aus.
Was ist mit:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
Kommt mir Komisch vor
Und warum bleibt dan die Beschreiung generic.....
MFG DOME
Zitat von: Domee am 09. Mai 2006, 21:44:19 Uhr
Was ist mit:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
Wenn Dir diese Einträge nichts sagen - sprich: bewusst von Dir herbeigeführt wurden - dann fixe sie.
Hi,
Bis auf "O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present"
Kann ich alle Fixen nur wenn ich neustarte sind sie alle wieder da.
MFG DOME
Deaktiviere einmal die Systemwiederherstellung und fixe dann im abgesicherten Modus.
Auch schon gemacht, hat auch nichts gebracht
Zitat von: Domee am 10. Mai 2006, 19:30:31 Uhr
"O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present"
Dieser Eintrag kommt von Spybot Search & Destroy und verhindert das verändern der Startseite! Das kannst Du also lassen.
mhh ok..
Noch ein problem
Seid dem Trojaner hängt der sich wegen kleinigkeiten auf also wenn ich z.B knuddels oder sonst wo gehe was mit Java zu tun hat.
Dann kann ich den PC nicht mehr steuern sprich der hängt reagiert auf keine anweisungen und das dauert so 1min dann nimmt der alle Befhle aufeinmal an und führt die ganz schnell aus.
DAS nervt echt und ist seid dem trojaner
Hast Du auch ein paar Onlinescans gemacht ?
http://www.hwe-forum.de/index.php/topic,14842.0.html
Welche Prozesse sind aktive wenn er hängt und mit welcher Auslastung ?
Ja habe ich auch gemacht,
Ich habe denn TaksManager immer im Vordegrund wqenn er hängt kann ich schlecht sehen was der für Prozesse am laufen aht was ich sehe ist aber das 100% auslastung ist. Also läuft im moment echt kacke der PC
Die stehen doch im Taskmanager drin. Und dann mußt Du nachschauen, welcher Prozess sich 100% krallt.
Sobald der PC sich aufgehangen hat reagiert der auf nichts mehr agrnichts. Wie soll ich dann den TaskManager dann aufkriegen ?
Also ich kriegs nicht hin.
Hi,
habs doch nocht hinbekommen.
Also ich habe TaskManager im Vordergrund aufgelassen dann meinen Explorer bisschen verkleinert. Und auf ne JAVA seite gegangen (knuddels.de) die meißten Prozesse die sehr hoch waren sind: Firefox.exe, svchost.exe,svchost.exe,svchost.exe,svchost.exe
Sind 5 svchost.exe Prozesse
HALLO ??????? ;D
Du solltest besser den Process Explorer (http://www.sysinternals.com/Utilities/ProcessExplorer.html) verwenden.
Mit einem Klick können detaillierte Informationen zum ausgewählten Prozess, wie zum Beispiel deren aktueller Zugriff auf Verzeichnisse, angezeigt werden. Im DLL-View-Mode werden die benutzten Libarys und deren ursprüngliche Herkunft angegeben.
Die Datei SVCHOST.EXE ist ein generischer Prozessname für Dienstgruppierungen, unter der unterschiedliche DLLs laufen
siehe -> http://www.winfaq.de/faq_html/tip0505.htm
Hi,
Also was soll ich den nun machen, habe zwar alle rechte wieder aber er hängt sich bei kleinsten Aktivitäten oder wnen ich auf ein Board gehe mit Java oder KNuddels wo Java gestartet wird hängt der erstmal 2MIn, seid dem Trojaner.
Formatieren will ich nicht. Mein Log File ist immer noch gleich sieht das den gut aus ß
Das Problem ist, wenn ein Virus/Trojaner eine Systemdatei überschreibt. Das sieht man so erst mal nicht am Log.
Ich sagte doch Format C so hättest du das Problem schon längst beseitigt :-) ;D
mfg Vegeta
Zitat von: Vegeta am 15. Mai 2006, 23:24:55 Uhr
Ich sagte doch Format C so hättest du das Problem schon längst beseitigt :-) ;D
mfg Vegeta
Wie gesagt, ich mache kein Format C: Dazu häng ich zu sehr an meinem System. Format C ist für mich erst Sinnvoll wenn wirklich garnichts mehr geht und es auch KEINE Lösung gibt.
Nur im Moment haben wir überhaupt keinen Ansatzpunkt wo das Problem liegen könnte.
Wie sieht es denn hiermit aus?
ZitierenO6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
Bist Du das dauerhaft losgeworden?
Nein, habe grade ein Scann gemacht. Ist alles noch da :'(
Diese Einträge sollen den IE wohl nur vor Änderungen schützen:
ZitierenO6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
Was ist jetzt genau Dein Problem?
Mein PC laggt voll und hängt sich bei kleinen sachen auf. <- MEIN PROBLEM O0
Zieh Dir die vollwertige 30 Tage-Testversion von TuneUp Utilities (http://www.tuneup.de/) runter und reinige Deine Registry und optimiere den Rechner für Deine Belange.