GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene |
|
Seiten mit Postings: 1 2 | zum Seitenende |
|
Autor | Mitteilung |
Antje Boardmeister Beiträge: 934 | Gesendet: 16:11 - 07.06.2007 Hallo ihr Lieben. Mein Bruder hat ein ganz großes Problem. Sein Festplattenspeicher variiert. Mal hat er 75 MB und dann wieder 1,8 GB FP. Er hat 2 Partitionen und bei der anderen ist alles ok. Ich vermute mal einen Virus. Aber der normale Virenscanner und ein Onlinevirenscanner finden nicht. Zusätzlich hat er ZoneAlarm und Adaware, aber da kam auch nichts. Hab ihn mal Hijackthis drüberjagen lassen, aber ich kann das nicht auswerten: Logfile of HijackThis v1.99.1 Scan saved at 16:07:59, on 07.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\ICQLite\ICQLite.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE D:\Programme\win rar\temp\Rar$EX00.172\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www3.einfachstarten.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www3.einfachstarten.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www3.einfachstarten.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www3.einfachstarten.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www3.einfachstarten.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www3.einfachstarten.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www3.einfachstarten.de O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [system32] WScript.exe c:\Programme\Startpage\startpage.vbs O4 - HKLM\..\RunOnce: [system32] WScript.exe c:\Programme\Startpage\startpage.vbs O4 - HKCU\..\Run: [system32] WScript.exe c:\Programme\Startpage\startpage.vbs O4 - HKCU\..\RunOnce: [system32] WScript.exe c:\Programme\Startpage\startpage.vbs O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
Donald
Boardkaiser Beiträge: 2682
|
Gesendet: 17:42 - 07.06.2007 Wenn ich richtig geschaut habe, dann bruchst Du Dir erstmal keine Sorgen machen. HijackThis macht keinen besonderen "Alarm". Gruß Donald |
Nubira
Moderator Beiträge: 15134
|
Gesendet: 17:43 - 07.06.2007 Aber doch! Diese Dinge sind als schädlich eingestuft: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www3.einfachstarten.de Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www3.einfachstarten.de Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www3.einfachstarten.de Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www3.einfachstarten.de Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www3.einfachstarten.de Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www3.einfachstarten.de Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden! R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Diese Programme haben ein Achtungszeichen: O4 - HKLM\..\Run: [system32] WScript.exe c:\Programme\Startpage\startpage.vbs Nicht bekanntes Programm. O4 - HKLM\..\RunOnce: [system32] WScript.exe c:\Programme\Startpage\startpage.vbs Nicht bekanntes Programm. O4 - HKCU\..\Run: [system32] WScript.exe c:\Programme\Startpage\startpage.vbs Nicht bekanntes Programm. O4 - HKCU\..\RunOnce: [system32] WScript.exe c:\Programme\Startpage\startpage.vbs Nicht bekanntes Programm |
Nubira
Moderator Beiträge: 15134
|
Gesendet: 17:46 - 07.06.2007 Hier erfährst Du, wie man die bösartigen Einträge entfernt: http://www.dirks-computerecke.de/hijackthis-anleitung-3.htm Nubira |
Donald
Boardkaiser Beiträge: 2682
|
Gesendet: 17:52 - 07.06.2007 Entschuldigung, muß die Hitze sein, wohl zulange in der Sonne gesessen. Nubira hat natürlich Recht, und der Hinweis auf Dirk' Computerecke ist sehr gut. Gruß Donald |
bomber
Boardmeister Beiträge: 721
|
Gesendet: 19:32 - 07.06.2007 Ich häng mich da mal ran, weil es zum Thema gehört. Wie und wo erfährt man ob man schädliche Einträge hat? Gruß Bomber |
Donald
Boardkaiser Beiträge: 2682
|
Gesendet: 19:43 - 07.06.2007 Hallo Bomber, schau mal unter folgendem Link nach: http://www.hijackthis.de/ Hier einfach das Logfile von Hijackthis einfügen und dann auswerten lassen. Das Programm bekommst Du übrigens oben rechts auf dieser Seite unter "Direktdownload". Gruß Donald |
Antje
Boardmeister Beiträge: 934
|
Gesendet: 19:44 - 07.06.2007 Danke Donald und Nubirchen Bin jetzt bei meinem Bruder. Werden das mal fixen. Vielleicht reicht das dann ja schon. |
bomber
Boardmeister Beiträge: 721
|
Gesendet: 20:02 - 07.06.2007 Danke Donald. Habs gleich mal getestet. Ich bin sozusagen sauber. Gruß Bomber |
Antje
Boardmeister Beiträge: 934
|
Gesendet: 22:50 - 07.06.2007 Wunderbar, es hat gereicht. Haben das gefixt und seither ist das Problem nicht mehr aufgetreten |
Nubira
Moderator Beiträge: 15134
|
Gesendet: 23:03 - 07.06.2007 So schnell kann man jemanden glücklich machen |
Seiten mit Postings: 1 2 | - FP-Speicher variiert - Virus??? - | zum Seitenanfang |
|
Version 3.1 | Load: 0.003630 | S: 1_2 |