Hier werden nur Einträge von Panda angezeigt.
Poste auch die Einträge unter "Modules" !
auf dem ersten bild sind aber auch 2 einträge ohne beschreibung... guck nochmal nach bitte...
auf diesen 2 bildern siehst du alle fragwürdigen einträge, sprich solche mit fragezeichen beim pfad...
Danke dir das du dir soviel zeit nimmst mir zu helfen.
Hast du eigentlich diese Datei schon gelöscht?
C:\PROGRAMME\GXTRANSCODER V2\FUNCTIONADDINS\GXFUNCTION_SYSTEM.DLL
(Ist übrigens ein Backdoor!)
Und wie sieht es mit diesen Aktionen aus?
Schon mal ausgeführt?
- Trend Micro Anti-Spyware, Free Online Spyware Removal Utility,
- Removaltool gegen Smitfraud und Co.,
- Kaspersky Online Scanner
Aber unser eigentliches Problem ist und bleibt nach wie vor dieser Mist:
C:\WINDOWS\iwpoy1.dll
Im ganzen Internet findet man keine Hinweise dazu und das obwohl es eine Browser-Programmerweiterungen ist!
Entweder ist es Zufallsdateiname oder das Ding ist so was von Neu das es keiner kennt,
noch nicht mal die AntiVirus-Hersteller.
(oder bin auf dem Holzweg unterwegs)
Besteht die Möglichkeit das du an eine BootCD wie “Windows PE“ herankommst.
http://www.nu2.nu/pebuilder/?PHPSESSID=4bc742978c2765a51db88766cde21581
oder
http://www.pcwelt.de/downloads/tools_utilities/system-utilities/108595/
Natürlich sollte die BootCD auf einen sauberen Rechner erstellt werden.
Mit dieser kann man eine Festplatte scannen ohne das eine Datei von ihr aktiv ist oder
verstecken kann. Auch das löschen von Dateien ist damit problemlos möglich.
Alternativ ist es auch möglich die Festplatte an einen zweiten Rechner zu betreiben,
sofern dein Rechner kein Laptop ist. Natürlich darf sie da nur passiv betrieben werden. In keinen Fall darf von ihr gebootet werden!
So, jetzt ist aber Betttime angesagt.
Hallo XXX Andreas,
Gefahrenstufe dunkelrot !!!
Du hast dir durch diesen Backdoortrojaner :C:\PROGRAMME\GXTRANSCODER V2\FUNCTIONADDINS\GXFUNCTION_SYSTEM.DLL
ein Rootkit unterjubeln lassen.Das heißt im Klartext :da ist jemand dabei deinen Computer für Dinge zu benutzen,die er auf seinem eigenen Compi niemals machen würde.Du kannst nun raten was das wohl sein könnte.Gehe auf jeden Fall von einer illegalen Handlung aus,wahrscheinlich strafbewehrt.
Für dich ist ein "Neuaufsetzen" absolut unumgänglich !
Wenn du das nicht beizeiten beginnst,brauchst du nicht mehr damit anfangen.Gut möglich das demnächst die Polizei vor deiner Türe steht und auch wenn du gar nichts dafür kannst,deine Kiste wird in jedem Fall beschlagnahmt und überprüft.Das sind Beamte,die haben es nicht eilig.Rechne mit gut 4 Monaten,bis du den Compi wieder bekommst.Plus einer ernsten Ansprache und Verwarnung.
Sir Reklov
hmmm das wäre aber sehr komisch, habe den GX Transcoder auf meinem anderen pc auch installiert und da wär dann ja auch ein rootkit drauf... und ausserdem bin ich hier in italien und mein betriebssystem ist zu hause in deutschland und ich habe die datei iwpoy1.dll nicht mehr auf meinem pc so wies aussieht... nachdem ich mit ccleaner die "Probleme" behoben hatte erscheinte in Hijack this keiner der 3 einträge mehr... habe also bis jetzt ein paar mal schon gescannt:
Logfile of HijackThis v1.99.1
Scan saved at 17:54:55, on 24.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
c:\programme\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\WebProxy.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
D:\Downloads\hijackthis_199\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.unrealedforum.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1142678026250
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Maya 7 PLE Documentation Server (mple7docserver) - Unknown owner - C:\Programme\Alias\Maya 7.0 Personal Learning Edition\docs\wrapper.exe" -s "C:\Programme\Alias\Maya 7.0 Personal Learning Edition\docs\Wrapper.conf (file missing)
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\pavsrv51.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\programme\panda software\panda titanium 2006 antivirus + antispyware\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programme\Panda Software\Panda Titanium 2006 Antivirus + Antispyware\TPSrv.exe
ich werde jetzt nochmal einen scan mit ashampoo machen und danach nochmals mit f- scan...
Also du kannst einem ganz schön weiche knie machen sir reklov...
meinst du es ist wirklich so ernst???
hmmm also das iwpoy1.dll ist wohl doch noch da...
@sir reklov: ich würde am liebsten neu aufsetzten, werd das auch tun sobald ich in deutschland bin. nur muss ich die zeit jetzt noch rumkriegen mit einem
halbwegs sicheren system... was denkst du über panda ineternet security 2006? ist das programm eines der besten z.Z.?
Ashampoo wurde auch noch einmal fündig: 2 Infizierte Dateien:
habe diese gleich gelöscht...
und dann noch was... jedesmal wenn ich im abgesicherten modus mit panda scannen will kackt es ab... ist das normal???
und wenn ich herunterfahren will um neu zu starten erscheint folgendes:
Gibt es nicht irgendein tool mit dem man die vor windows versteckten dateien löschen kann... würd mir gern das iwpoy1.dll mal vornehmen!
ach mist ist alles unscharf wieder... hier ein direktlink zu meinem photobucket album:
http://s45.photobucket.com/albums/f57/MSFBlaster/?action=view¤t=revalver.jpg&refPage=&imgAnch=imgAnch2
müsste das bild in besserer qualität darstellen...
Hast du deinen PC noch mal mit dem OnlineScanner von F-Secure gecheckt?
Bitte das Protokoll posten!
Mit welchen Datensystem ist C:\ formatiert ?
NTFS oder FAT32 ?
Kann dir jemand deine WindowsSetup CD kopieren und nach Italien schicken?
so ein mist... eben scann ich mit panda online, findet er schon wieder die über 400 einträge in der registry...und wenn ich dann mit dem istallierten panda scann findet er in der registry garnichts... es ist zum mäsemelken..
es ist ntfs... naja ich habe in deutschland ne alte windows oem version von meinem alten rechner. da wo ich diesen her habe habe ich XP professional installiert bekommen, und zu dem muss ich dann gehen wenn ich wieder XP professional haben will. werd mir dann evtl das betriebssystem kaufen. mal sehen...
Wenn du eine guten DSL Anschluss,
dann lade dir mal CD Version von Knoppix V5.0.1 herunter
(Achtung 700 MB)
http://www.knopper.net/knoppix/
ftp://ftp.cs.uni-frankfurt.de/pub/linux/knoppix/KNOPPIX_V5.0.1CD-2006-06-01-DE.iso
Über die ISO-Datei kann sich jeder eine Linux BootCD erstellen.
Mit Hilfe der CD kann die Datei
C:\WINDOWS\iwpoy1.dll
auch auf NTFS Partitionen gelöscht werden!
hallo da... bin jetzt mit dem laptop online... ich habe vorhin versucht panda zu deinstallieren und im abgesicherten modus ist es abgekackt... dann im normalen modus habe ich es deinstalliert und seitdem fand das modem das ich benutze kein adsl device mehr... im hijackthis scan wird auch unter o10 was angezeigt... da heißt es was von "broken internet acces" und dann noch was von "panda"... wenn ich auf fix gehe sagt es das es nicht gefixt werden kann, nur mit lpsfix oder so ähnlich...und spybot s/d würde es automatisch entfernen... habe mit spybot alles mögliche ausprobiert aber geht einfach nichts mehr... ich bring den PC jetzt morgen in son computerladen hier, kenne die leute da schon ein wenig und die haben mir schonmal geholfen. die können mir windows neu installieren... mit allen updates usw... allerdings eben in englisch.
aber noch ein paar fragen: habe 3 partitionen und auf einer meine gesamten "eigenen Dateien" und noch andere sachen die ich brauche gespeichert. die wird ja nicht gelöscht, oder? ich brauch die dateien nämlich für meine arbeit..
und ich benutze einen amd prozessor und unter "programme" ist da ein ordner von amd mit driver... gibts da normal ne treiber cd oder so? wenn ja kann ich nämlich keine finden...naja ich hoffe mal die kriegen das in den griff... kann ja nach dem kompletten formatieren der partition nichts mehr an rootkits drauf sein, oder?? oder auf eine andere partition überspringen usw... ich werd denen sagen das sie mit f-scan und panda scan nach dem installieren prüfen sollen, oder was meinst du?
« Meldung : Update behebt Bug in Firefox [Update] Vers. 1.5.0.6 | Meldung : DoS-Lücke im Windows-Server-Dienst / WIN-XP » | ||