Hi leutz,
ich hab ein problem: Wenn ich auf mein Internet Explorer gehe kommt eine ***Seite, aber wenn ich das wieder umändere z.b auf yahoo.de bleibt das auch einige tage und kommt wieder. Ich hab mal mit dem Anti Vir programm gescant und das hat 2 Vieren gefunden, aber man kann sie nicht löschen. Da steht " Virus gefunden. Dieser Virus kann nicht gelöscht werden, da es in einem Archiv ist." Diese beiden Viren heissen: bridge-c18[1].cab und cax[1].cab. Wie kann ich es bloß löschen?????
Würde mich über antworten freuen.
Danke im vorraus
Zunächst würde ich den Rechner mal mit Ad-Aware (http://www.lavasoftusa.com/software/adaware/) und Spybot - Search & Destroy (http://www.safer-networking.org/de/spybotsd/index.html) scannen lassen.
hab ich auch schon probiert, der findet´aber acuh nichts ausser so ein paar coockis oder so.
Hast Du das SP2 für WinXP schon installiert?
Zitat von: Fastrider am 24. September 2004, 17:37:16 Uhr
hab ich auch schon probiert, der findet´aber acuh nichts ausser so ein paar coockis oder so.
Als nächstes würde ich es mit dem CWSShredder versuchen und anschliessend mit HijackThis.
Den Logfile von HijackThis kannst Du dann mal posten.
Beide Tools bekommst Du hier:
http://www.lurkhere.com/~nicefiles/
Zu TMK: ich find diesen sicherheitspack voll für den A*****
Zu Tyco: Das ist die log file:
Logfile of HijackThis v1.98.2
Scan saved at 11:19:22, on 25.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\POP-UP~1\PSFree.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Loschitzki\Desktop\HijackThis19802.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.ruserv.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.ruserv.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.ruserv.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tetki.ru/index5.shtml
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet3_88.dll
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717177657972} - C:\WINDOWS\System32\qwe7972.dll
O3 - Toolbar: (no name) - {00000000-0008-5041-4354-0020e48020af} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\POP-UP~1\PSFree.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\wshbth.dll' missing
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://66.230.167.218/galr/files.chm::/file.exe
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD23F2AF-DA6F-4088-B819-476A9AABE880}: NameServer = 217.237.150.97 217.237.149.161
Okay, dann fixe mal mit HijackThis diese Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.ruserv.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.ruserv.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.ruserv.com
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet3
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
Wenn diese Einträge, Programme oder Webseiten Dir nichts sagen, solltest Du sie ebenfalls fixen.
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tetki.ru/index5.shtml
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://66.230.
Dieses hier: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tetki.ru/index5.shxml sagt mir was, aber das ist die seite die manchmal kommt. Aber bloß nicht draufklicken. Danke tyco, ich weis noch nicht ob das was gebracht hat, aber trotzdem danke
Aber ich ich glaub, dass dieses hier O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe auch probleme machen wird, weil ich mal mit antiVir ein Virus gefunden habe das juched hieß. Soll ich diese Datei viellciht auch Löschen?
Kannst du löschen, ist aber kein Virus oder sowas! Wird mit der "Java Virtual Machine" von Sun in die Registry geschrieben.
Aber es kann doch sein, dass ein Virus zugriff darauf hat oder?
Zitat von: Fastrider am 25. September 2004, 13:28:40 Uhr
Aber es kann doch sein, dass ein Virus zugriff darauf hat oder?
Eigentlich unbedenklich. Aber wenn Du ganz sicher gehen willst, und Du hast die anderen Probleme schon gefixt, dann fix das auch noch. Zur Not kannst Du diesen Eintrag ja per Backupfunktion von HijackThis zurückspielen.
Wenn das unbedenklich ist, dann lass ich es lieber. Danke nochmals an Tyco und TMK
neeeeeeee, das hat nicht geklappt, da kommt trotzdem diese Seite, ich weiss echt nicht mehr was man machen kann.
Das Problem ist mir bekannt, ad-aware und Spybot sollten hier fast machtlos sein. Eigentlich ist es ganz einfach, wie ich es bisher immer an Rechnern machen durfte:
Du gehst in deinem Programm ordner, wo alle installierten Programme sind, schaust Dir dort alle Ordner an. es sollten Verdächtige Ordner da sein, die nichts mit einem Installierten Programm zu tun haben. Kannst auch in die Ordner wo du unsicher bist, reingehen, um nachzuschauen ob da ein Programm installiert ist. Meist ist ind en, wo so ein ist drinne ist, nur eine Datei. Diese kannst Du aber normal nicht löschen. Dazu musst Du Windows im Abgesichertem Modus starten -> Dann die Ordner raussuchen und Löschen (Zur Sicherung kannst Du die auch kopieren und auf einen andere Festplatte / Partition packen, aber eventuell zur Sicherheit gezippt mit winzip oder winrar, falls es ein falscher ordner war, dass Du dann ein backup hast). Danach windows wieder Starten und mal Spybot drüber laufen lassen, bitte neuste version / neuste Updates dafür vorher herunterladen. Dann sollte das weg sein.
ich hoffe das trifft auch bei Dir zu
mfg
American
Eigentlich kam mir sehr wenig unbekannt vor, aber ich hab trotzdem ein paar ordner gelöscht. Mal sehen ob es geklappt hat
würde es mal mit dem tool 'Stinger' von Mac Afee versuchen gibt es bei www.chip.de (downloads)
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
sieht mir verdächtig aus
mfg skyline
"C:\Program Files\webHancer\Programs\whSurvey.exe"
ich sehe die datei nicht, auch nicht wenn ich alle versteckte dateien sichtbar mache.
...dann kannst es eh löschen!
Zu American: Das hat nicht geklappt, die Seite ist wieder aufgetaucht.
Man das gibts nicht, wieso geht das nicht weg ???
TMK wie soll ich es löschen wenn ich es nicht sehe
Diesen Eintrag in der Registry mein ich, nicht die Datei selbst! --> "C:\Program Files\webHancer\Programs\whSurvey.exe"
UNd wie soll ich das in der registry löschen????
Geht das mit "HijackThis" nicht?
Zitat von: Fastrider am 26. September 2004, 18:26:52 Uhr
UNd wie soll ich das in der registry löschen????
Eigentlich müsste es längst weg sein, wenn Du alle Einträge in HijackThis wie gepostet gelöscht hast.
Lass doch nochmal HijackThis scannen und poste den neuen Logfile.
Diese XXX Seite ist noch immer in der Registry.
Logfile of HijackThis v1.98.2
Scan saved at 15:50:47, on 27.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\POP-UP~1\PSFree.exe
C:\Programme\Bluetooth Software\BTTray.exe
C:\Programme\Bluetooth Software\BTStackServer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Schutz\HijackThis19802.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.ruserv.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.ruserv.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.ruserv.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.ruserv.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tetki.ru/index5.shtml
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717177657972} - C:\WINDOWS\System32\qwe7972.dll
O3 - Toolbar: (no name) - {00000000-0008-5041-4354-0020e48020af} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\POP-UP~1\PSFree.exe"
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\wshbth.dll' missing
O13 - WWW Prefix: http://sexyque.com/cgi-bin/r.cgi?
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD23F2AF-DA6F-4088-B819-476A9AABE880}: NameServer = 217.237.150.97 217.237.149.161
Bei Hijack This gibt es doch eine Option fixen oder so
wo die Einträge gelöscht werden können
der von mir gennate Eintrag steht unt
04 (die Autostarteinträge ) weiteres unter:
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html
die einträge:
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [New.net Startup] rundll3
und der
013
sehen auch verdächtig aus. (gibt sicher noch mehr)
hast du schon Stinger drüber laufen lassen.
dann bleibt noch die Möglichkeit zu formatieren und das System neu aufsetzen.
mit den aktuellen Patches usw.
Den Dumprep würde ich nicht fixen.
Denn kann man ändern über den Arbeitsplatz -> Eigenschaften -> Reiter "Erweitert" -> Button Einstellungen im Bereich "Starten und Wiederherstellen"
Bei "Debuginformationen speichern" kein oder none eingeben.
Kann den Wert nicht anschauen, weil ich nicht als Administartor angemeldet bin
Ich hab grad bemerkt, dass die seite nicht mehr kommt. WAr**heinlich kamm es daher, dass ich nach jedem neustart diese page mit hijackthis gefixt habe. Die seite kommt nicht mehr auch nicht im hijackthis.
Und ja ich hab stinger drauflaufen gelassen, hat aber nix gefunden.
Danke an alle
Scheint ja schon einiges in der Logfile aufgelistet zu sein, was nicht unbedingt reingehört bzw. gelöscht werden sollte. Also falls Du dir nicht sicher bist, dass auch wirklich alles weg ist, poste die aktuelle "HijackThis"-Logfile lieber nochmals.
Gruß
TMK
Das Problem ist doch nicht behoben worden. Egal dann muss ich halt formatieren. hier nochmal die logfile.
Logfile of HijackThis v1.98.2
Scan saved at 17:04:15, on 30.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\POP-UP~1\PSFree.exe
C:\Programme\Bluetooth Software\BTTray.exe
C:\Programme\Bluetooth Software\BTStackServer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Schutz\HijackThis19802.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.ruserv.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.ruserv.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tetki.ru/index5.shtml
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.ruserv.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.ruserv.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tetki.ru/index5.shtml
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717177657972} - C:\WINDOWS\System32\qwe7972.dll
O3 - Toolbar: (no name) - {00000000-0008-5041-4354-0020e48020af} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\POP-UP~1\PSFree.exe"
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\wshbth.dll' missing
O13 - WWW Prefix: http://turboinet.com/r.cgi?
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {72D78A82-8953-67B4-4792-9C034B139753} - ms-its:mhtml:file://c:\nosuch.mht!http://www.foxik.com/chm/files.chm::/file.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD23F2AF-DA6F-4088-B819-476A9AABE880}: NameServer = 217.237.150.97 217.237.149.161
Bei Dir tummelt sich ja auch noch einiges, was unbedingt gefixt werden muss:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://search.ruserv.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://search.ruserv.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.tetki.ru/index5.shtml
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://search.ruserv.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://search.ruserv.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.tetki.ru/index5.shtml
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717177657972} -
C:\WINDOWS\System32\qwe7972.dll
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O13 - WWW Prefix: http://turboinet.com/r.cgi?
O16 - DPF: {72D78A82-8953-67B4-4792-9C034B139753} -
ms-its:mhtml:file://c:\nosuch.mht!http://www.foxik.com/chm/files.chm::/file
.exe
Ausserdem solltest Du Deinen Internet Explorer updaten. Die Version ist veraltet!
Ich hab jetzt diese ganzen Sachen gefixt und den Internet explorer geuodatet. Mal gucken ob diese Seite noch erscheint. Ich sags euch noch bescheid.
Ich hab das system formatiert, aber nicht wegen dem problem. Das Problem war auch nicht nochmal wiedergekommen.
mein computer schemist mich raus nach zwei minuten und baelt sich wieder ein was kann ich machen
Könntest du das Problem etwas präzisieren? Infos zu Betriebssystem, Anti-Viren Software, Firewall, verwendete Internet-Verbindung (Modem, ISDN, DSL; Anbieter) etc. wären nicht schlecht. ;)
Schätze mal, daß Du einen Dialer drauf hast. Gab da glaube ich doch irgend eine Regelung, daß die Verbindung nach 2 Minuten wieder getrennt werden muß, kann ich aber nicht 100%ig sagen.
Spybot oder AdAware wären die Programme, mit denen Du das prüfen kannst. Und dann fehlt ein Programm zum Schutz vor Dialern. 0190-Warner, ... Der beste Weg ist aber, die Nummern direkt beim Telefonanbieter sperren zu lassen.
Eventuell siehst Du es aber auch schon in den Eigenschaften Deiner DFÜ-Verbinung an der Nummer.
Wenn das Teil auf Deiner Telefonrechnung auftaucht, mußt Du recherchieren, in wie weit Du bezahlen mußt.
Meist hat man gute Chancen, nicht zu zahlen. Der Rest der Telefonrechnung ist aber trotzdem sofort fällig. Unter www.Reg-tp.de (http://www.Reg-tp.de) findest Du weitere Informationen.
Den Inhalt Deiner Festplatte solltest Du dann aber zum Beweis sichern.
Wenn der Dialer nicht bei Reg-tp registriert ist, einfach nicht bezahlen und die Sache ist erledigt.
Das war jetzt einfach mal geraten, weil in Deiner Frage ja zu viele Info's fehlen.
Es gibt auch Dialer, die sich zur Umgehung von Schutzprogrammen oder Sperren über Nummern wie 0192, 0193, 0137, 01805, Auslands- oder Satellitennummern einwählen.