Hilfe mit Allem

Ich benutze das Betriebssystem "windows xp" auf einem Lenovo thinkpad t60. Also meint ihr mein Computer ist noch von Viren befallen? Ich habe hier schon meine logfiles reingestellt und die als problematisch erkannten Einträge entfernt.

Bei dieser Fehlermeldung die immer kommt wenn der Computer abstürzt, habe ich ein paar Daten rausgeschrieben, leider nicht alle weil die Meldung immer zuende ist bevor ich alles notieren kann. Da steht sowas wie: "tech. Informations: ***Stop 0xC0000008e (0xC0000005, 0xEC7A4B5F, 0xAEF79808, 0xAE2728.....)

Hallo schnidtchen,

den Scan habe ich einfach so durchgeführt
und einige "scan results" gefixed.
Die waren dann bei wiederholtem scannen nicht mehr da.

Soll ich das im "abgesicherten Modus" wiederholen?

Hi Leute,
ich, der totale PC-Anti, hab seit Tagen ein Problem mit dem Internet. Und zwar lädt mein PC einige Seiten nicht mehr, die er zuvor immer ohne Probleme geladen hat. Ich bekomme auch keine Rückmeldung woran dies liegen könnte. Ein Virenscan ergab auch kein Ergebnis. Langsam gehen mir die Ideen aus, was ich noch tun kann, außer der Zerstörung meines Computers.
Schon mal im Voraus Dank für neue Möglichkeiten!

Hallo schmidtchen, ich habe jetzt im "abgesicherten Modus" ein logfile mit highjackthis erstellt, obwohl ich nicht weiß was dann anders ist als wenn ich es im normalen Modus mache. Viele Dank für deine Hilfe.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:28:36, on 28.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrB kGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBa ttLog
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe "
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OPSE reminder] "C:\Programme\ScanSoft\OmniPageSE2.0\EregGer\Ereg. exe" -r "C:\Programme\ScanSoft\OmniPageSE2.0\EregGer\ereg. ini"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPGServiceTool] C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe
O4 - HKLM\..\Run: [brastk] brastk.exe
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\Fighters\spywarefighter\Spywarefighte rUser.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: CCC.lnk = ?
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.ex e
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: PTK License-FIGHTERS-18668899 - SPAMfighter - C:\Programme\Fighters\licenseservice.exe
O23 - Service: PTK Live Update-FIGHTERS-18668899 - SPAMfighter - C:\Programme\Fighters\updateservice.exe
O23 - Service: PTK Scanner-FIGHTERS-18668899 - SPAMfighter - C:\Programme\Fighters\ScannerService.exe
O23 - Service: PTK SharedAccess-FIGHTERS-18668899 - SPAMfighter - C:\Programme\Fighters\configservice.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 7937 bytes

Hallo schmidchen,
ich habe das jetzt im abgesicherten Modus gefixed, aber die Abstürze beim Starten mit der blauen Meldung (zu wenig Festplattenspeicher und nach BIOS Update gucken) kommen immer noch. Ausserdem werde ich, wenn ich Google-Links anklicke, auf irgendwelche anderen Seiten weitergeleitet und "Defragmentieren", was ich gerade machen wollte, funktioniert auch nicht. Was kann ich noch machen? Sollte ich im abgesicherten Modus noch einen Virenscan durchführen (ich habe Avira und spywarefighter (30 Tage-Test)), muss ich Kaspersky kaufen, oder sollte das mit den Viren und Trojanern nach dem Hijack-Scan und Fixen erledigt sein?

Grüße

Novalis

Also, ich habe Systemwiederherstellung deaktiviert, bin dann in den abgesicherten Modus gegangen und habe gefixt mit HjT, ausserdem danach den Eintrag bei HjT nicht mehr gefunden.

Dann habe ich im normalen Windows die Win-Updates geladen und jetzt geht nichts mehr. Das heißt das normale Windows funktionert nicht mehr und ich kann nur noch im abgesichertem Modus arbeiten. Ich kann keine Programme löschen und die Schaddateien auch nicht. Hijackthis funktioniert auch nicht mehr und ich kann nicht mehr Systenwiederherstellung deaktivieren (wobei ich nicht weiß wozu es gemacht werden muss, aber egal), weil ich ja nicht mehr normal Windows zum laufen kriege. Im abgesicherten Modus ohne Systemwiederherstellungs-Deaktivierung habe ich dann noch ein paar mal den CCleaner benutzt und einen Suchlauf mit Antivir gemacht, wobei auch so 6 Trojaner aufgetaucht sind, die jetzt in Quarantäne sind, aber das hilft auch nicht weiter.

Wisst ihr ob Gefahr besteht, dass die Viren und Trojaner auf die externe Festplatte übergreifen, wenn ich meine Musik darauf sichern will?

Habt ihr eine Idee was ich machen kann, ausser das ganze System neu installieren?

Puh, nochmal Glück gehabt, danke für den Tip mit dem Malware Programm, habe jetzt mit Antivir und Malware 30-40 Trojaner gefunden und jetzt geht das meiste wieder.

Hallo,

ich habe jetzt im abgesicherten Modus einige Trojaner löschen können, insgesamt eta 40, und nun kann ich windows wieder normal starten, allerdings werde ich den Trojaner svchost.exe nicht los. Wenn ich den löschen will steht da Zugriff verweigert.

Hat wer eine Ahnung wie ich das da runter kriege????

Grüße
Novalis

Komischerweise ist bei mir unter WINDOWS gar kein Drivers-Ordner, nur unter c:

Hi,

in system32/drivers ist kein svchost,
aber ich habe 4 Dateien mit dem Namen svchost (.exe steht da soweit ich das sehen kann nicht):

C:\WINDOWS\$NtservicePackUninstall$

C:\WINDOWS\system32

C:\ServicePackfiles\i386

C:\WINDOWS\SoftwareDistribution\Download\d7ca43775 7bb79190d8fe0f22734e38b