XP prof, systenwiederherstellung / Spy Sheriff

Dieses Thema XP prof, systenwiederherstellung / Spy Sheriff im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Jan789, 6. Dez. 2005.

Thema: XP prof, systenwiederherstellung / Spy Sheriff Hallo, ich brauche Hilfe....ich selbst komme nicht mehr weiter... mein Rechner wurde vom Spy Sheriff befallen, den...

  1. Hallo,

    ich brauche Hilfe....ich selbst komme nicht mehr weiter...

    mein Rechner wurde vom Spy Sheriff befallen, den habe ich wegbekommen - glaube ich.
    Mein Rechner is aber  aufallend langsam die CPU Auslastung beträgt laut Taskmanager 100 % - und das gleich nach dem booten, also ohne irgendwas zu machen. Ich habe mich hier im Forum gründlich schlau gemacht und alle gängigen Antivirensofts laufen lassen. Die zeigen nun auch nichts mehr an. Ich habe dann noch Hijack angewendet und alle als faul bezeichneten Einträge gefixt. Im Logefile sind nun aber noch eine Menge Fragezeichen übrig geblieben zu denen es keine Sternchen / Kommentare gibt. Kann mir da jemand helfen ? Ich möchte nichts wichtiges löschen. ( siehe Logfile unten)

    Mein Problem Nr. 2 ist die Systemwiederherstellung. Die habe ich natürlich versucht um die Registery wieder in Ordnung zu bringen - aber das funzt nicht. Es gibt zwar die Systemwiederherstellungspunkte aber C./ wird dabei nicht geändert. Da kommt dann die Meldung das C aus der Wiederherstellung ausgenommen ist aber das entsprechende Häkchen ist nicht gesetzt gewesen ! XP führt zwar eine
    Wiederherstellung durch aber C ist ausgeschlossen - also ist das ganze Zwecklos..!

    Frage: gibt es eine alternative Möglichkeit das Systemwiederherzustellen ????? (ohne vorher zu formatiern)

    Ich bin für jede Hilfe DANKBAR !

    Ciao Jan

     Logfile of HijackThis v1.99.1
    Gut Zeigt die Version von HijackThis an. Neuste Version: v1.99.1!
    Ihre Version sollte aktuell sein. (v1.99.1)
    Platform: Windows XP SP1 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Eventuell veraltet Zeigt die Version des InternetExplorers an. Neuste Version: 6.00.2900.2180!
    Ihre Version (6.00.2800.1106) ist veraltet. Besuchen Sie Windowsupdate um Ihren Browser zu aktualisieren!
    C:\WINDOWS\System32\smss.exe
    Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
    Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
    C:\WINDOWS\system32\winlogon.exe
    Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
    Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
    C:\WINDOWS\system32\services.exe
    Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
    Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
    C:\WINDOWS\system32\lsass.exe
    Gut Laufender Prozess. (lsass.exe)
    Systemprozess


    C:\WINDOWS\system32\svchost.exe
    Gut Laufender Prozess. (svchost.exe)
    Systemprozess - Allgemeiner Hostprozessname für Dienste.


    C:\WINDOWS\System32\svchost.exe
    Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
    Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
    C:\Programme\Sygate\SPF\smc.exe
    Gut Laufender Prozess. (smc.exe)
    - Sygate Personal Firewall (Runs in: C:\%\Sygate\SPF\)
    - Configuration Utility for Networkcards from SMC Networks (Runs in: C:\SMC\)


    C:\WINDOWS\system32\spoolsv.exe
    Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
    Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    Gut Laufender Prozess. (AVWUPSRV.EXE)
    Part of AntiVir


    c:\windows\system32\ceisvc.exe
    Unbekannt Laufender Prozess. (ceisvc.exe)

    Dies ist ein unbekannter Prozess.

    C:\WINDOWS\System32\svchost.exe
    Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
    Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
    C:\WINDOWS\system32\ssoftsrv.exe
    Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
    Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
    C:\WINDOWS\System32\svchost.exe
    Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
    Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
    C:\WINDOWS\SOUNDMAN.EXE
    Gut Laufender Prozess. (SOUNDMAN.EXE)



    C:\WINDOWS\System32\sistray.EXE
    Gut Laufender Prozess. (sistray.EXE)
    SIS Vga Card Driver


    C:\WINDOWS\System32\keyhook.exe
    Gut Laufender Prozess. (keyhook.exe)



    C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    Gut Laufender Prozess. (HPWuSchd2.exe)
    Part of Hewlett-Packard

    Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\hewlett-packard\hp software update\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.
    C:\Programme\CE-Infosys\CompuSec\floppy.exe
    Unbekannt Laufender Prozess. (floppy.exe)

    Dies ist ein unbekannter Prozess.

    C:\Programme\CE-Infosys\CompuSec\policy_service.exe
    Unbekannt Laufender Prozess. (policy_service.exe)

    Dies ist ein unbekannter Prozess.

    C:\WINDOWS\System32\ctfmon.exe
    Gut Laufender Prozess. (ctfmon.exe)



    C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    Gut Laufender Prozess. (hpqtra08.exe)
    HP Digital Imaging

    Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\program files\hp\digital imaging\bin! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.
    C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
    Unbekannt Laufender Prozess. (hpqSTE08.exe)

    Dies ist ein unbekannter Prozess.

    C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
    Unbekannt Laufender Prozess. (hpqimzone.exe)

    Dies ist ein unbekannter Prozess.

    C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
    Unbekannt Laufender Prozess. (hprblog.exe)

    Dies ist ein unbekannter Prozess.

    C:\WINDOWS\explorer.exe
    Gut Laufender Prozess. (explorer.exe)
    Systemprozess für Desktop und Taskleiste.


    C:\Dokumente und Einstellungen\Administrator.CLIENT\Lokale Einstellungen\Temp\Temporäres Verzeichnis 8 für hijackthis_199.zip\HijackThis.exe
    Gut Laufender Prozess. (HijackThis.exe)
    Tool, mit dem sie dieses Logfile erzeugt haben. Das Programm sollte so angelegt sein ! C:\Programme\HijackThis\HijackThis.exe
    Bedenken Sie, dass HijackThis in einem eigenen Ordner laufen muss. Nur so können Backups erstellt werden!
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.2.100/
    Gut Diese Seite wurde als Gut identifiziert!

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.fiedlermedia.de/
    Gut Diese Seite wurde als Gut identifiziert!

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    Gut Einige Programme sind hier schlecht. Das eingegebene Programm ([06849E9F-C8D7-4D59-B87D-784B7D6BE0B3] - Treffer: 06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) wurde überprüft. Trefferquote: 99 %

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
    Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
    O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\System32\appwiz.dll
    Unbekannt Einige Programme sind hier schlecht. Das eingegebene Programm ([78364D99-A640-4ddf-B91A-67EFF8373045] - Treffer: ) wurde überprüft. Trefferquote: -1 %
    Nicht bekanntes Programm.
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
    Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    Gut Einige Programme sind hier schlecht. Das eingegebene Programm ([EF99BD32-C1FB-11D2-892F-0090271D4F88] - Treffer: EF99BD32-C1FB-11D2-892F-0090271D4F88) wurde überprüft. Wenn der Name aus zufälligen Zeichen besteht, sich im Verzeichnis->Application Data' (Anwendungsdaten) befindet und die Art->Unbekannt' ist, fixen. Trefferquote: 99 %

    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
    Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
    O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
    Gut System Tray icon for SiS based graphics. Note - this resides in C:\Windows\System
    Trefferquote: 85 % (Resultate)

    O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
    Gut
    Trefferquote: 99 % (Resultate)

    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    Gut SiS USB Registry Patch File - fixes the undetectable problem with SiS USB controller on Windows XP. Why is it in the startups though?
    Trefferquote: 99 % (Resultate)

    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    Gut Onboard Soundkartentreiber für SIS Chipsätze
    Trefferquote: 99 % (Resultate)

    O4 - HKLM\..\Run: [zzzCamInSuiteIII] D:\SETUP.EXE 6***
    Gut
    Trefferquote: 54 % (Resultate)

    O4 - HKLM\..\Run: [Dekart Private Disk Multifactor] C:\Programme\Dekart\Private Disk Multifactor\PrvDisk.exe /monitor
    Unbekannt
    Trefferquote: 4 % (Resultate)
    Nicht bekanntes Programm.
    O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    Gut HP software updates. If a shortcut doesn\'t exist create your own and run it manually
    Trefferquote: 93 % (Resultate)
    Nicht gefährlich aber unnötig.
    O4 - HKLM\..\Run: [Media Utility] C:\Programme\CE-Infosys\CompuSec\floppy.exe
    Unbekannt
    Trefferquote: 10 % (Resultate)
    Nicht bekanntes Programm.
    O4 - HKLM\..\Run: [Disk Utility] C:\Programme\CE-Infosys\CompuSec\BE.exe
    Unbekannt
    Trefferquote: 5 % (Resultate)
    Nicht bekanntes Programm.
    O4 - HKLM\..\Run: [CompuSec Policy Manager] C:\Programme\CE-Infosys\CompuSec\policy_service.exe /app
    Unbekannt
    Trefferquote: 10 % (Resultate)
    Nicht bekanntes Programm.
    O4 - HKLM\..\Run: [dflnl.exe] C:\WINDOWS\System32\dflnl.exe
    Eventuell Böse
    Trefferquote: 6 % (Resultate)
    Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt. Um ganz sicher zu sein, sollten Sie diese Datei hier oder hier überprüfen.
    O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe
    Eventuell Böse
    Trefferquote: 6 % (Resultate)
    Der Programmname scheint der gleiche zu sein, wie der Dateiname. Oft wird das von Trojanern herbeigeführt. Um ganz sicher zu sein, sollten Sie diese Datei hier oder hier überprüfen.
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
    Gut CTFMon is involved with the language/alternative input services in Office XP. CTFMON.exe will continue to put itself back into MSConfig when you run the Office XP apps as long as the Text Services and Speech applets in the Control Panel are enabled. Not required if you don\'t need these features. For more info on ctfmon see here. CTFMON can be disabled from Control Panel, Text & Speech Services
    Trefferquote: 99 % (Resultate)

    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    Gut HP digital imaging monitor; can apparently be launched manually.
    Trefferquote: 95 % (Resultate)
    Nicht gefährlich aber unnötig.
    O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
    Gut Dieser Eintrag wurde von unseren Besuchern als gut eingestuft.
    Klicken Sie auf die Sterne und schauen Sie sich die Kommentare der Besucher an, um zu sehen, warum der Eintrag so eingestuft wurde.
    O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
    Gut Der Eintrag Messenger wurde als Gut erkannt.
    Wenn der Eintrag->Messenger-> nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
    O9 - Extra->Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
    Gut Der Eintrag Yahoo! Messenger wurde als Gut erkannt.
    Wenn der Eintrag->Yahoo! Messenger-> nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
    O9 - Extra button: Search and Remove Spyware - {CDB280E8-BE43-4128-8A5A-3FCD094E2D88} - C:\Programme\RegFreeze\rfsearchhandler.dll
    Eventuell Böse Unbekannte Buttons oder Einträge im Menü->Extras' immer mit HijackThis fixen.
    Wenn der Eintrag->Search and Remove Spyware-> nicht bekannt ist, fixen!
    O9 - Extra->Tools' menuitem: Search and Remove Spyware - {CDB280E8-BE43-4128-8A5A-3FCD094E2D88} - C:\Programme\RegFreeze\rfsearchhandler.dll
    Eventuell Böse Unbekannte Buttons oder Einträge im Menü->Extras' immer mit HijackThis fixen.
    Wenn der Eintrag->Search and Remove Spyware-> nicht bekannt ist, fixen!
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
    Gut Dieser Eintrag wurde als Gut identifiziert!

    O17 - HKLM\System\CCS\Services\Tcpip\..\{0EFE30C7-FD68-44C0-8B2E-C063FE6507EA}: NameServer = 85.255.115.59,85.255.112.141
    Eventuell Böse Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die->SearchList'-Einträge (Suchlisten-Einträge).
    Kennen Sie die IP oder die Domäne->85.255.115.59,85.255.112.141' nicht, fixen.
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D50A7EBB-F431-423D-A2B3-9BF83373A0F9}: NameServer = 85.255.115.59,85.255.112.141
    Eventuell Böse Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die->SearchList'-Einträge (Suchlisten-Einträge).
    Kennen Sie die IP oder die Domäne->85.255.115.59,85.255.112.141' nicht, fixen.
    O17 - HKLM\System\CS2\Services\Tcpip\..\{0EFE30C7-FD68-44C0-8B2E-C063FE6507EA}: NameServer = 85.255.115.59,85.255.112.141
    Eventuell Böse Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die->SearchList'-Einträge (Suchlisten-Einträge).
    Kennen Sie die IP oder die Domäne->85.255.115.59,85.255.112.141' nicht, fixen.
    O17 - HKLM\System\CS3\Services\Tcpip\..\{0EFE30C7-FD68-44C0-8B2E-C063FE6507EA}: NameServer = 85.255.115.59,85.255.112.141
    Eventuell Böse Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die->SearchList'-Einträge (Suchlisten-Einträge).
    Kennen Sie die IP oder die Domäne->85.255.115.59,85.255.112.141' nicht, fixen.
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    Gut Diese Einträge zeigen alle, nicht von Microsoft stammenden, Systemdienste. Malware startet oft als Systemdienst und man erkennt sie schwerer. Unbekannte Einträge sollten genauer überprüft werden.
    Dieser Dienst (AVWUPSRV.EXE) wurde als gut identifiziert.
    O23 - Service: CE-Infosys Security System (CE-Infosys Security Service) - Unknown owner - c:\windows\system32\ceisvc.exe
    Unbekannt Diese Einträge zeigen alle, nicht von Microsoft stammenden, Systemdienste. Malware startet oft als Systemdienst und man erkennt sie schwerer. Unbekannte Einträge sollten genauer überprüft werden.
    Unbekannter Dienst. (ceisvc.exe)
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    Gut Diese Einträge zeigen alle, nicht von Microsoft stammenden, Systemdienste. Malware startet oft als Systemdienst und man erkennt sie schwerer. Unbekannte Einträge sollten genauer überprüft werden.
    Dieser Dienst (HPZipm12.exe) wurde als gut identifiziert.
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
    Gut Diese Einträge zeigen alle, nicht von Microsoft stammenden, Systemdienste. Malware startet oft als Systemdienst und man erkennt sie schwerer. Unbekannte Einträge sollten genauer überprüft werden.
    Dieser Dienst (smc.exe) wurde als gut identifiziert.
    O23 - Service: Cryptainer service (ssoftservice) - Cypherix - C:\WINDOWS\SYSTEM32\ssoftsrv.exe
    Unbekannt Diese Einträge zeigen alle, nicht von Microsoft stammenden, Systemdienste. Malware startet oft als Systemdienst und man erkennt sie schwerer. Unbekannte Einträge sollten genauer überprüft werden.
    Unbekannter Dienst. (ssoftsrv.exe)
     
  2. Isses so nun besser ?


    Logfile of HijackThis v1.99.1
    Scan saved at 19:20:21, on 06.12.2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Sygate\SPF\smc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    c:\windows\system32\ceisvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ssoftsrv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\System32\sistray.EXE
    C:\WINDOWS\System32\keyhook.exe
    C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    C:\Programme\CE-Infosys\CompuSec\floppy.exe
    C:\Programme\CE-Infosys\CompuSec\policy_service.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
    C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
    C:\WINDOWS\explorer.exe
    C:\Dokumente und Einstellungen\Administrator.CLIENT\Lokale Einstellungen\Temp\Temporäres Verzeichnis 8 für hijackthis_199.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.2.100/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.fiedlermedia.de/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\System32\appwiz.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
    O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [zzzCamInSuiteIII] D:\SETUP.EXE 6***
    O4 - HKLM\..\Run: [Dekart Private Disk Multifactor] C:\Programme\Dekart\Private Disk Multifactor\PrvDisk.exe /monitor
    O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [Media Utility] C:\Programme\CE-Infosys\CompuSec\floppy.exe
    O4 - HKLM\..\Run: [Disk Utility] C:\Programme\CE-Infosys\CompuSec\BE.exe
    O4 - HKLM\..\Run: [CompuSec Policy Manager] C:\Programme\CE-Infosys\CompuSec\policy_service.exe /app
    O4 - HKLM\..\Run: [dflnl.exe] C:\WINDOWS\System32\dflnl.exe
    O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
    O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
    O9 - Extra->Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
    O9 - Extra button: Search and Remove Spyware - {CDB280E8-BE43-4128-8A5A-3FCD094E2D88} - C:\Programme\RegFreeze\rfsearchhandler.dll
    O9 - Extra->Tools' menuitem: Search and Remove Spyware - {CDB280E8-BE43-4128-8A5A-3FCD094E2D88} - C:\Programme\RegFreeze\rfsearchhandler.dll
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{0EFE30C7-FD68-44C0-8B2E-C063FE6507EA}: NameServer = 85.255.115.59,85.255.112.141
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D50A7EBB-F431-423D-A2B3-9BF83373A0F9}: NameServer = 85.255.115.59,85.255.112.141
    O17 - HKLM\System\CS2\Services\Tcpip\..\{0EFE30C7-FD68-44C0-8B2E-C063FE6507EA}: NameServer = 85.255.115.59,85.255.112.141
    O17 - HKLM\System\CS3\Services\Tcpip\..\{0EFE30C7-FD68-44C0-8B2E-C063FE6507EA}: NameServer = 85.255.115.59,85.255.112.141
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: CE-Infosys Security System (CE-Infosys Security Service) - Unknown owner - c:\windows\system32\ceisvc.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
    O23 - Service: Cryptainer service (ssoftservice) - Cypherix - C:\WINDOWS\SYSTEM32\ssoftsrv.exe
     
  3. jup ;)

    kein SP2 ? ???

    Brospy Trojaner, im abgesicherten Modus die appwiz.dll im System-Ordner löschen.
    Nicht mit der APPWIZ.CPL (Eigenschaften von Software) verwechseln

    auch ein Trojan.Downloader :(
    http://www.wintotal.de/Spyware/index.php?Filter=D#Spyware7611

    noch einer, Trojan.Win32.DNSChanger.r (Troj/RuinDl-A) oder SpoofDNS
    http://www.wintotal.de/Spyware/index.php?Filter=H#Spyware4917

    Troj/RuinDl-A modifies DNS settings by changing registry entries and profile strings in the following locations:
    HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Adapters


    Ukraine? ???
    siehe Troj/RuinDl-A

    Systemwiederherstellung VORHER deaktivieren:
    http://www.wintotal.de/Tipps/Eintrag.php?TID=170

    deine Auswertung: http://www.hijackthis.de/logfiles/d93acd1b1516b75bb352d50ce39f4b16.html

    pan_fee
     
  4. Hallo Fee,

    vielen Dank für die Hilfe ! - ich habe die bösen Einträge nun gefixt.
    ------------------------------------------------------------------------------------
    Zitat
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    kein SP2
    ....................................
    FRAGE: ist SP2 eine neuere Version von XP ???

    --------------------------------------------------------------------

    An der CPU Auslastung von 100 % hat sich leider nichts geändert, kann es sein daß das normal ist ? Der Rechner ist immer noch etwas langsam.

    Dann stellt sich nun noch ein weiteres Problem ich bekomme beim hochfahren folgende Meldung:
    ---------------------------------------------

    RunDll32.exe - Abbild fehlerhaft


    ----------------------------------------------------

    Die Anwendung oder DLL C:\WINDOWS\system\cmicnfg.cpl ist keine gültige Windows-Datei. Überprüfen Sie dies mit der Installationsdiskette

    -----------------------------------------------------------------------------------------

    Die Datei hat 2,19 MB (2.301.952 Bytes) unter dem Dateinamen
    steht Systemsteuerungsoption - ob das die richtige Datei weiß ich aber
    nicht 100%, die Endung .cpl sieht man nicht wenn man nachschaut.

    Es gibt im Systemordner noch eine weiter Datei mit dieser Bezeichnung - CmiCnfg -
    also unteschiedliche Groß u. Kleinschreibung. Diese Datei hat nur
    ein 1 Kb und wird mit Konfigurationseinstellungen betitelt.

    Soll ich die cmicnfg.cpl nun löschen ???

    Ich hänge nochmal eine aktuelle Log darunter. Meine Virenscanner haben nun aber zum X-ten mal nichts gefunden - was immer das nun heißen mag...

    Vielen Dank das Du dir die Mühe gemacht hast mir zu helfen !

    Ciaoo Jan



    Logfile of HijackThis v1.99.1
    Scan saved at 22:51:29, on 10.12.2005
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Sygate\SPF\smc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    c:\windows\system32\ceisvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\System32\sistray.EXE
    C:\WINDOWS\System32\keyhook.exe
    C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    C:\Programme\CE-Infosys\CompuSec\floppy.exe
    C:\Programme\CE-Infosys\CompuSec\policy_service.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
    C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\System32\taskmgr.exe
    C:\Dokumente und Einstellungen\Administrator.CLIENT\Lokale Einstellungen\Temp\Temporäres Verzeichnis 12 für hijackthis_199.zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.2.100/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.fiedlermedia.de/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
    O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [zzzCamInSuiteIII] D:\SETUP.EXE 6***
    O4 - HKLM\..\Run: [Dekart Private Disk Multifactor] C:\Programme\Dekart\Private Disk Multifactor\PrvDisk.exe /monitor
    O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [Media Utility] C:\Programme\CE-Infosys\CompuSec\floppy.exe
    O4 - HKLM\..\Run: [Disk Utility] C:\Programme\CE-Infosys\CompuSec\BE.exe
    O4 - HKLM\..\Run: [CompuSec Policy Manager] C:\Programme\CE-Infosys\CompuSec\policy_service.exe /app
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
    O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
    O9 - Extra->Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: CE-Infosys Security System (CE-Infosys Security Service) - Unknown owner - c:\windows\system32\ceisvc.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
     
  5. hp
    hp
    keine neu version, aber ein update der bestehenden xp - systemdateien und einführung neuer features wie eine verbesserte firewall oder dateischutzfunktionen etc. auch zukünftige entwicklungen setzten auf sp2 auf, also wirst du über kurz oder lang das sp2 installieren müssen.

    das ist sicherlich nicht normal ... welcher prozess macht die kiste zu? siht man im taskmanager ...

    die datei sollte rundll32.exe heißen und in c:\windows\system32 bzw. c:\windows\system32\dllcache stehn  ... liegt die datei wo anders ist es ein virus/trojaner, also unbedingt bereinigen. hier http://support.microsoft.com/default.aspx?scid=kb;de;812340 mehr dazu

    ja, ist keine windows-systemdatei, einträge in der registry fixen ...

    greetz

    hugo
     
  6. Hi,

    Danke für die Tips Hugo,

    welche Prozesse ? stehen in der Logdatei - siehe mein vorheriger Beitrag - die svchost.exe braucht glaube ich besonders viel kappa.
    Aber ich werde nochmal nachsehen und mir die Wete notieren und vielleicht poste ich sie heute Abend noch. Ich bin derzeit in einem I-Cafe.

    Ciao Jan
     
Die Seite wird geladen...

XP prof, systenwiederherstellung / Spy Sheriff - Ähnliche Themen

Forum Datum
OUTLOOK - PROFILE ERSTELLEN .... Windows 10 Forum 1. Nov. 2016
winscp hat profil verloren - was kann ich tun!? Windows-Updates 5. Mai 2016
Windows 8.1 Profilbild lässt sich nicht einfügen Windows 8 Forum 24. Apr. 2016
Netzwerk Berechtigungen für Ordner Win7Prof Windows 7 Forum 26. Feb. 2016
Notebook: upgrade w10home auf prof moeglich? Windows 10 Forum 23. Feb. 2016