System Alert & Toolbar Bitte um Hilfe

7Antworten
  1. #1
    Avatar von Obba1965
    Obba1965 ist offline
    Themen Starter

    Title
    Benutzer
    seit
    14.11.2007
    Beiträge
    10

    Standard System Alert & Toolbar Bitte um Hilfe

    Hallo. Habe wie so viele hier auch das Problem mit "System Alert" und der Toolbar im Explorer sowie 2 Symbole in der Startleiste sowie auf dem Desktop
    Habe es gerade mal mit "Smithfraud" probiert, das Tool meldet aber ständig, dass es einen Pfad nicht findet und läuft ohne Problemlösung durch.
    Nun habe ich mal "HijackThis" durchlaufen lassen und füge unten das Logfile an.
    Ist es eigentlich ein Problem, dass ich Win2000 und XP mit jeweils 2 Usern drauf habe ? Es sind 2 Partitionen auf einer Festplatte . Ausserdem habe ich noch eine externe Platte. Wird diese auch gescannt?

    Viele Dank vorab für Eure Hilfe.
    __________________________________________________ _______

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:11:27, on 14.11.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)
    Boot mode: Normal

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    D:\WINDOWS\system32\srwyynkn.exe
    D:\WINDOWS\System32\nvsvc32.exe
    D:\WINDOWS\system32\wscntfy.exe
    D:\WINDOWS\Explorer.EXE
    D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    D:\WINDOWS\system32\ctfmon.exe
    D:\Programme\USRobotics\Wireless USB Manager\USR54G.exe
    D:\Downloads\HiJackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.de/
    O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - D:\WINDOWS\system32\hmazdpvx.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Local Security Authority Service] D:\WINDOWS\System32\Isass.exe
    O4 - HKLM\..\Run: [Windows Logon Application] D:\WINDOWS\System32\winIogon.exe
    O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [04f21767] rundll32.exe "D:\WINDOWS\system32\umfcljsq.dll",b
    O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: USRobotics Wireless USB Adapter.lnk = D:\Programme\USRobotics\Wireless USB Manager\USR54G.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{82253ABF-CF55-451A-B5F2-485368FDB5C3}: NameServer = 192.168.2.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E8001F4A-EFDC-4B50-9B6E-4823D2C1B664}: NameServer = 192.168.2.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{EE4322E7-7EE1-4A2E-BF64-044EA5478A21}: NameServer = 192.168.2.1
    O20 - AppInit_DLLs: d:\windows\system32\vtstsrr.dll
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: DomainService - - D:\WINDOWS\system32\srwyynkn.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

    --
    End of file - 3567 bytes

  2. #2
    Avatar von computerdirk
    computerdirk ist offline

    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Ilsede
    Beiträge
    12.171

    Standard

    Hallöchen,

    also als erstes die Systemwiederherstellung deaktivieren. Wie das geht steht unter folgendem Link:

    Systemwiederherstellung aktivieren bzw. deaktivieren

    Dann folgende Einträge in HijackThis beheben:

    Code:
    O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - D:\WINDOWS\system32\hmazdpvx.dll
    O4 - HKLM\..\Run: [Local Security Authority Service] D:\WINDOWS\System32\Isass.exe
    O4 - HKLM\..\Run: [Windows Logon Application] D:\WINDOWS\System32\winIogon.exe
    O4 - HKLM\..\Run: [04f21767] rundll32.exe "D:\WINDOWS\system32\umfcljsq.dll",b
    O20 - AppInit_DLLs: d:\windows\system32\vtstsrr.dll
    O23 - Service: DomainService - - D:\WINDOWS\system32\srwyynkn.exe
    Dann den Rechner im abgesicherten Modus starten und die .exe Dateien einfach mal umbenennen, z.b. ein .bak anhängen.

    Rechner normal starten und kontrollieren.

  3. #3
    Avatar von Obba1965
    Obba1965 ist offline
    Themen Starter

    Title
    Benutzer
    seit
    14.11.2007
    Beiträge
    10

    Standard

    Hi "computerdirk".
    Vielen Dank für Deine schnelle Antwort!
    Nun startet mein XP nicht mehr - kann nur noch W2k starten und komme so zum Glück an meine Daten ran. Kann es sein, dass ich die "winlogon.exe" nicht umbennen durfte? Habe sie wieder in "exe" benannt, startet aber trotzdem nicht durch

  4. #4
    Avatar von computerdirk
    computerdirk ist offline

    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Ilsede
    Beiträge
    12.171

    Standard

    Hallöchen,

    upps... Ist auf D: dein Windows XP?

    Code:
    O4 - HKLM\..\Run: [Local Security Authority Service] D:\WINDOWS\System32\Isass.exe 
    O4 - HKLM\..\Run: [Windows Logon Application] D:\WINDOWS\System32\winIogon.exe
    Möglicherweise kommt HijackThis damit doch nicht so ganz klar das da zwei Betriebssysteme vorhanden sind...

    Oder aber du hast da was verwechselt.

    Isass.exe beginnt mit einem großen I wie in Indien. Es gibt eine Windows-Datei lsass.exe die mit einem kleinen L wie in Land beginnt.
    Genauso ist es bei winIogon.exe, da ist in der Mitte wieder ein großes I wie in Indien und kein kleines L wie in Land.

    Wenn du jetzt natürlich die Windows-Dateien umbenannt hast, dann startet Windows XP möglicherweise nicht richtig...

  5. #5
    Avatar von Obba1965
    Obba1965 ist offline
    Themen Starter

    Title
    Benutzer
    seit
    14.11.2007
    Beiträge
    10

    Standard

    Moin Dirk,

    also ich habe auch die Isass wieder mit der Endung "exe" benannt und mein XP startet wieder. Leider wieder mit Toolbar und System-Alert alle 20-30 sek.
    Mein W2k ist installiert auf Partition C: und mein XP auf D:
    Gibt es keine Parameter für HiJack um z.B. aus W2k das Laufwerk D: zu scannen ?

    Anbei das aktuelle Logfile
    __________________________________________________ ______

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 08:16:31, on 15.11.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)
    Boot mode: Normal

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    D:\WINDOWS\Explorer.EXE
    D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    D:\WINDOWS\System32\nvsvc32.exe
    D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    D:\WINDOWS\system32\ctfmon.exe
    D:\Programme\USRobotics\Wireless USB Manager\USR54G.exe
    D:\WINDOWS\system32\wscntfy.exe
    D:\Downloads\HiJackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.de/
    O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - D:\WINDOWS\system32\hmazdpvx.dll
    O4 - HKLM\..\Run: [Local Security Authority Service] D:\WINDOWS\System32\Isass.exe
    O4 - HKLM\..\Run: [Windows Logon Application] D:\WINDOWS\System32\winIogon.exe
    O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [04f21767] rundll32.exe "D:\WINDOWS\system32\umfcljsq.dll",b
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: USRobotics Wireless USB Adapter.lnk = D:\Programme\USRobotics\Wireless USB Manager\USR54G.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{82253ABF-CF55-451A-B5F2-485368FDB5C3}: NameServer = 192.168.2.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E8001F4A-EFDC-4B50-9B6E-4823D2C1B664}: NameServer = 192.168.2.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{EE4322E7-7EE1-4A2E-BF64-044EA5478A21}: NameServer = 192.168.2.1
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

    --
    End of file - 3272 bytes

  6. #6
    Avatar von computerdirk
    computerdirk ist offline

    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Ilsede
    Beiträge
    12.171

    Standard

    Hallöchen,

    also ich bin imemr noch der Meinung das folgende Einträge für die Toolbar verantwortlich sind:

    Code:
    O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - D:\WINDOWS\system32\hmazdpvx.dll 
    O4 - HKLM\..\Run: [Local Security Authority Service] D:\WINDOWS\System32\Isass.exe 
    O4 - HKLM\..\Run: [Windows Logon Application] D:\WINDOWS\System32\winIogon.exe
    Und die solltest du auch fixen aber dieses mal nicht umbenennen...

  7. #7
    Avatar von Obba1965
    Obba1965 ist offline
    Themen Starter

    Title
    Benutzer
    seit
    14.11.2007
    Beiträge
    10

    Standard

    Moin,

    nun habe ich die Nase voll und habe mich von beiden Betriebssystemen getrennt. Nach format C: /u gibt es halt nur noch XP.
    Ich wollte die Neu-Aktivierung umgehen und habe deshalb mal die wpa.dbl sowie die wpa.bak gesichert was natürlich auch wieder in die Hose gegangen ist Habe die falsche Version aufgespielt. Meinen Key vom Desktop-PC genommen (XP Prof. SP1) aber die CD vom Laptop (XP Prof.SP2), was natürlich nicht hinhaut. Nun kann ich heute das XP nochmal drauf machen
    Stimmt es eigentlich, dass Microsoft nach erfolgreicher Aktivierung den Key für 2 Monate sperrt? Habe nämlich mein XP vor etwa 6 Wochen erst neu aufgespielt und wollte deshalb die Aktivierung umgehen - an der Hardware hat sich ja nichts geändert...

  8. #8
    Avatar von computerdirk
    computerdirk ist offline

    Title
    Benutzer
    seit
    07.01.2005
    Ort
    Ilsede
    Beiträge
    12.171

    Standard

    Hallöchen,

    nein, soweit ich weiß wird da nicht gesperrt. Also sollte das problemlos funktionieren...


Ähnliche Themen

  1. Hilfe bei Security Toolbar 7.1

    Von Hero of LOL im Forum Antivirus und PC Sicherheit
    Antworten: 9
    Letzter Beitrag: 08.11.2007, 18:56
  2. HILFE!!! Habe diese Toolbar 7.1

    Von favero im Forum Antivirus und PC Sicherheit
    Antworten: 2
    Letzter Beitrag: 02.11.2007, 09:08
  3. Security Toolbar 7.1 BRAUCHE HILFE!!!!

    Von Pamuk im Forum Antivirus und PC Sicherheit
    Antworten: 7
    Letzter Beitrag: 19.10.2007, 17:32
  4. System Alert

    Von Sir McGrady im Forum Antivirus und PC Sicherheit
    Antworten: 2
    Letzter Beitrag: 21.08.2007, 12:41
  5. Problem mit System Alert: Malware threats

    Von clara.guenther im Forum Antivirus und PC Sicherheit
    Antworten: 10
    Letzter Beitrag: 03.07.2007, 14:41
Diese Seite benutzt Cookies Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Infos zum Datenschutz