Hi
habe offensichtlich einen riesen Fehler gemacht und beim Immunisieren den Blockierschutz aktiviert für alle Seiten. Bedeutet, dass ich auch das Spybot-Programm nicht mehr öffnen kann, um diese Einstellung zurück zu nehmen. Wie kann ich das Ding wieder ausschalten ? oder muss ich mein Windows noch mal neu installieren ?
Ich komme an etliche Programme nicht mehr dran und mein Antivir schaltet sich auch nicht mehr ein. Wer kann mir helfen ?

Danke im voraus
wgl-proserpina

Also das Blockieren blockt keine Programme, sondern nur Seiten, die man mit dem Internetexplorer aufrufen kann. Du solltest im abgesicherten Modus in der Lage sein, alle Programme zu starten. Hat Spybot oder Antivir denn irgendwas bei der Ueberpruefung gefunden?

abgesicherten Modus= http://www.bsi.bund.de/av/texte/wiederher.htm

Also das Blockieren blockt keine Programme, sondern nur Seiten, die man mit dem Internetexplorer aufrufen kann. Du solltest im abgesicherten Modus in der Lage sein, alle Programme zu starten. Hat Spybot oder Antivir denn irgendwas bei der Ueberpruefung gefunden?

abgesicherten Modus= http://www.bsi.bund.de/av/texte/wiederher.htm

Hallo Ralf,

danke für deine Hilfe. Aber leider reagiert der PC nicht, wenn ich auf Arbeitsplatz und dann Eigenschaften gehe. Vermute mal, dass ich mir da schön was eingefangen habe. Ja, der Suchlauf hatte vorher ein Ergebnis gezeigt über eine "windows.exe" datei (ich weiss es aber nicht mehr ganz genau, wie das Ding hies.

Wenn du den Antivir oder Spybotreport mit der Meldung noch finden solltest, poste ihn bitte. Erstelle zusaetrzlich noch ein Hijackthis log:
http://www.cidres-security.de/hijackthis.html

Hallo Ralf,

habe ich jetzt mal so gemacht und schicke dir das Ergebnis:

Logfile of HijackThis v1.99.1
Scan saved at 11:07:53, on 24.09.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\test\Desktop\prüfung.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.point-53.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [_winadm] C:\WINDOWS\System32\winadm.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Conceptronic CHATCAM2 webcam
O4 - HKCU\..\Run: [Reminder] L:\home\m-office\System\reminder.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

Hoffe, das ist ok so und auswertbar.

LG
Ulli

Hi

Was das HijackThis Log angeht, bin ich kein großer Experte. Wegen einer Malware Auswertung sollen mit dem Progi erfahrenere User nochmal drüber schauen.

Ich schätze allerdings, das Dein Problem mit AntiVir, hiermit

O4 - HKLM\..\Run: [_winadm] C:\WINDOWS\System32\winadm.exe
zusammenhängen könnte.
Hast Du auf deinem Rechner Parents Friends installiert ??

Da es in letzter Zeit, einige Probleme zwischen AntiVir und diesem Proggi gibt.

Ich persönlich finde dieses Programm sowieso nicht empfehlenswert, weil es über Keylogger Eigenschaften verfügt und ein derartiges ausspionieren als problematisch anzusehen ist.

Ich würde versuchen besagtes Programm über den abgesicherten Modus zu deinstallieren.*gleich nach einschalten des Rechners, die Taste F8 drücken und im erscheinenden Bootmenü den abgesicherten Modus auswählen* Danach sollte AntiVir wieder funktionieren.

Ach ja nochwas.

Dein Windows ist total veraltet, kein SP2 keine Internet Explorer Updates, etc.
und damit löschrig wie ein Schweizer Käse.
Selbst wenn Du die dem Firefox ins Internet gehst, sollte der IE trotzdem immer auf dem aktuellen Stand sein, da viele Programme auf Bestandteile von ihm zurückgreifen.
Auch scheint bei Dir keine Firewall zu laufen, man sollte zumindest die Windows eigene laufen haben.

Ferner ist Deine Java Maschine veraltet, du hast jre1.5.0_05, aktuell ist 1.5.0_08.

gruß piti22

Hi

Was das HijackThis Log angeht, bin ich kein großer Experte. Wegen einer Malware Auswertung sollen mit dem Progi erfahrenere User nochmal drüber schauen.

Ich schätze allerdings, das Dein Problem mit AntiVir, hiermit

zusammenhängen könnte.
Hast Du auf deinem Rechner Parents Friends installiert ??

Da es in letzter Zeit, einige Probleme zwischen AntiVir und diesem Proggi gibt.

Ich persönlich finde dieses Programm sowieso nicht empfehlenswert, weil es über Keylogger Eigenschaften verfügt und ein derartiges ausspionieren als problematisch anzusehen ist.

Ich würde versuchen besagtes Programm über den abgesicherten Modus zu deinstallieren.*gleich nach einschalten des Rechners, die Taste F8 drücken und im erscheinenden Bootmenü den abgesicherten Modus auswählen* Danach sollte AntiVir wieder funktionieren.

Ach ja nochwas.

Dein Windows ist total veraltet, kein SP2 keine Internet Explorer Updates, etc.
und damit löschrig wie ein Schweizer Käse.
Selbst wenn Du die dem Firefox ins Internet gehst, sollte der IE trotzdem immer auf dem aktuellen Stand sein, da viele Programme auf Bestandteile von ihm zurückgreifen.
Auch scheint bei Dir keine Firewall zu laufen, man sollte zumindest die Windows eigene laufen haben.

Ferner ist Deine Java Maschine veraltet, du hast jre1.5.0_05, aktuell ist 1.5.0_08.

gruß piti22

Hi Piti 22,

danke für deine Hilfe, die mich auch wieder um eine Erkenntnis bereichert hat. Es ist mir selbst im abgesicherten Modus nicht möglich z.B. "parents friend", das ich tatsächlich auf meiner Kiste habe, zu deinstallieren. Sowohl dieses, als auch diverse andere Programme lassen sich nicht aufrufen. Soll cih denn mal den Eintrag aus der HiJack-Liste löschen, oder macht es Sinn, alle noch brauchbaren Daten auf ein anderes Medium zu speichern und dann Windows neu aufzuspielen ?

Kannst Du Parents Friends nicht über Start/Systemsteuerung/Software/Parents Friends deinstallieren ???

Manche Programme die auf den MS Installer zurückgreifen, können nicht im abgesicherten Modus deinstalliert werden. Dann kommt eine Fehlermeldung in der Art " Deinstaller kann Config nicht erstellen".

Was das HijackThis Log betrifft.
Lösche erstmal nichts, was da zu löschen ist sollen Hijack This erfahrene User posten.

Format C ist immer der letzte Ausweg und m.E. nicht angebracht.

gruß andreas

Hi und danke für deine Hilfe. Ich kann aber auf die Systemsteuerung gar nicht mehr zugreifen.:sad:
Genau wie ich auf viele andere Programme keinen Zugriff mehr hab. Diese Dateien und Programme werden mir als "fehlend" angezeigt. Also ich sehe im Mom ziemlich schwarz !

Hi und danke für deine Hilfe. Ich kann aber auf die Systemsteuerung gar nicht mehr zugreifen.:sad:
Genau wie ich auf viele andere Programme keinen Zugriff mehr hab. Diese Dateien und Programme werden mir als "fehlend" angezeigt. Also ich sehe im Mom ziemlich schwarz !
Ausserdem habe ich eben noch festgestellt, dass alle Programme, die ich nicht mehr aufrufen kann, zwar noch in den angegebenen Verzeichnissen liegen, aber die Symbole so aussehen, wie von Dateien, bei denen man erst suchen muss, mit welcher Anwendung sie geöffnet werden . Ich kann leider so ein Ding hier nicht reinkopieren, aber ich hoffe, du weist, was ich meine.

Ja, der Suchlauf hatte vorher ein Ergebnis gezeigt über eine "windows.exe" datei (ich weiss es aber nicht mehr ganz genau, wie das Ding hies.

Was hattest Du denn mit dem Fund gemacht.

In Quarantäne gesteckt, Zugriff verweigert, oder im schlimmsten Fall direkt gelöscht.

Kannst Du noch über den Explorer in das Verzeichnis C/Dokumente und Einstellungen/All Users/Anwendungsdaten/AntiVir/Logfiles gehen (vorher aber über Menü/Extras/Ordneroptionen/Ansicht "versteckte Dateien und Ordner anzeigen" anklicken und bei "Systemdateien ausblenden" das Häckchen wegmachen) und dort das Logfile von dieser Suche öffnen.

Dort steht was gefunden wurde und vor allem wo. Poste das bitte mal.

Falls Du die Datei einfach gelöscht hast, kann es natürlich sein das Du Dein System zerschossen hast. Hört sich fast so an.


gruß piti22

Hi,

ich bin zwar auch kein Experte für das Hijack-Log, aber mir fällt auf das dein System anscheinend nicht auf dem aktuellen Stand ist.

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Ich würde unbedingt einen Windowsupdate empfehlen!

sierrakilo

Musstest du Hijackthis nach "prüfung.com" aendern, damit es ueberhaupt funktioniert, gestartet werden konnte?


Dann im Zweifelsfalle bitte diese Datei http://home.earthlink.net/~rmbox/Reticulated/4IE_Only/FIX-exec.inf mit Hilfe der rechten Maustaste und "Speichern unter" speichern und danach vom Speicherort mit rechter Maustaste/installieren starten.

Schaue, ob dann nach einem neustart es einigermassen wieder rund laeuft....

DANKE an euch alle für eure wirklich schnelle und intensive Hilfe. Ich glaube tatsächlich, dass ich mir das System selbst zerlegt habe. Naja, wie dem auch sei, jedenfalls habe ich gestern ein XP neu aufgespielt und bin jetzt dabei alles wieder einzurichten. Ist zwar eine Menge Arbeit, aber man ist auch mal wieder ein paar Altlasten los.
Nochmals vielen lieben Dank an alle.http://forums.spybot.info/images/smilies/Give%20flowers.gif
:flohttp://forums.spybot.info/images/smilies/animated/greeting.gif
:greeting:wers:

Liebe Grüße ganz besonders an raman in meine alte Heimat. KOmme nämlich ursprünglich aus Emlichheim. Schön auch mal was aus der Grafschaft zu hören.http://forums.spybot.info/images/smilies/bigthumb.gif
:bigthumb:

KOmme nämlich ursprünglich aus Emlichheim. Schön auch mal was aus der Grafschaft zu hören.

Endlich mal jemanden aus der Naehe( wenns auch "nur" gebuertig ist!:) ). Du kannst demnaechst ja mal deinen Muell mitbringen, wenn die Muellverbrennung in betrieb ist! ;)

Denke bitte an regelmaessige Windowsupdates und Mache ab und an ein Backup! Acronis True Image z.B. gibt es immer mal guenstig als Beigabe in Zeitschrifften.