[madcows7]

Nun mein Problem ist, ich erhalte meine avast sagen sysrestore.dll enthält malaware any help please? Vielen Dank, seit ich im System verwendet wiederherzustellen Sorgen der vergangen, und wenn sie jetzt einen Virus im geschraubt

[evilfantasy]

Nicht geschraubt.

Post ein HijackThis-Protokoll, so können wir einen Blick zu haben.

[madcows7]

Logfile von Trend Micro HijackThis V2.0.2
Scan saved at 6:20:16 Uhr, am 4/19/2008
Plattform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot-Modus: Normal

Laufenden Prozesse:
C: \ Windows \ system32 \ taskeng.exe
C: \ Windows \ system32 \ Dwm.exe
C: \ Windows \ Explorer.EXE
C: \ Program Files \ Alwil Software \ Avast4 \ ashDisp.exe
C: \ Program Files \ Common Files \ Symantec Shared \ PIF \ (B8E1DD85-8582-4c61-B58F-2F227FCA9A08) \ PIFSvc.exe
C: \ Windows \ System32 \ rundll32.exe
C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe
C: \ Windows \ System32 \ rundll32.exe
C: \ Windows \ System32 \ CtHelper.exe
C: \ Windows \ System32 \ CTXFIHLP.EXE
C: \ Users \ Mark JR \ Program Files \ DNA \ btdna.exe
C: \ Windows \ System32 \ CTXFISPI.EXE
C: \ Windows \ system32 \ wbem \ Unsecapp.exe
C: \ Program Files \ MSN Messenger \ msnmsgr.exe
C: \ Program Files \ MSN Messenger \ livecall.exe
C: \ Program Files \ Mozilla Firefox \ firefox.exe
C: \ Users \ Mark JR \ Desktop \ dss.exe
C: \ Windows \ system32 \ conime.exe
C: \ PROGRA ~ 1 \ TRENDM ~ 1 \ HIJACK ~ 1 \ Mark JR.exe
C: \ Windows \ system32 \ searchfilterhost.exe

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = ca.: blank
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Int ernet Settings, ProxyOverride = *. local
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar, LinksFolderName =
O1 - Hosts: 72.233.61.2 L2authd.lineage2.com
O1 - Hosts: 72.233.61.2 L2testauthd.lineage2.com
O2 - BHO: RealPlayer Download and Record Plugin für den Internet Explorer - (3049C3E9-B461-4BC5-8870-4C09146192CA) - C: \ Program Files \ Real \ RealPlayer \ rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O2 - BHO: Windows Live Sign-in Helper - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WindowsLiveLogin.dll
O2 - BHO: MegaIEMn - (bf00e119-21a3-4fd1-B178-3b8537e75c92) - C: \ Program Files \ Megaupload \ Mega Manager \ MegaIEMn.dll
O4 - HKLM \ .. \ Run: [avast!] C: \ PROGRA ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp.exe
O4 - HKLM \ .. \ Run: [Windows Defender]% ProgramFiles% \ Windows Defender \ MSASCui.exe-hide
O4 - HKLM \ .. \ Run: [Grid Service] "C: \ Program Files \ GridService \ peer.exe" n-Grid
O4 - HKLM \ .. \ Run: [vmware-tray] "C: \ Program Files \ VMware \ VMware Workstation \ vmware-tray.exe"
O4 - HKLM \ .. \ Run: [VMware hqtray] "C: \ Program Files \ VMware \ VMware Workstation \ hqtray.exe"
O4 - HKLM \ .. \ Run: [Symantec PIF AlertEng] "C: \ Program Files \ Common Files \ Symantec Shared \ PIF \ (B8E1DD85-8582-4c61-B58F-2F227FCA9A08) \ PIFSvc.exe" / a / m " C: \ Program Files \ Common Files \ Symantec Shared \ PIF \ (B8E1DD85-8582-4c61-B58F-2F227FCA9A08) \ AlertEng.dll "
O4 - HKLM \ .. \ Run: [UpdReg] C: \ Windows \ UpdReg.EXE
O4 - HKLM \ .. \ Run: [NvSvc] RUNDLL32.EXE C: \ Windows \ system32 \ nvsvc.dll, nvsvcStart
O4 - HKLM \ .. \ Run: [NvCplDaemon] RUNDLL32.EXE C: \ Windows \ system32 \ NvCpl.dll, NvStartup
O4 - HKLM \ .. \ Run: [NvMediaCenter] RUNDLL32.EXE C: \ Windows \ system32 \ NvMcTray.dll, NvTaskbarInit
O4 - HKLM \ .. \ Run: [NeroCheck] C: \ Windows \ system32 \ NeroCheck.exe
O4 - HKLM \ .. \ Run: [TkBellExe] "C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe"-osboot
O4 - HKLM \ .. \ Run: [AsioReg] REGSVR32.EXE / S CTASIO.DLL
O4 - HKLM \ .. \ Run: [CTHelper] CTHELPER.EXE
O4 - HKLM \ .. \ Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM \ .. \ Run: [CTXFIREG] CTxfiReg.exe
O4 - HKCU \ .. \ Run: [BitTorrent DNA] "C: \ Users \ Mark JR \ Program Files \ DNA \ btdna.exe"
O4 - HKCU \ .. \ Run: [igndlm.exe] C: \ Program Files \ Download Manager \ DLM.exe / windowsstart / startifwork
O4 - HKCU \ .. \ Run: [Steam] "c: \ program files \ Dampf \ steam.exe"-silent
O4 - HKCU \ .. \ Run: [SetDefaultMIDI] MIDIDEF.EXE
O4 - HKCU \ .. \ Run: [SUPERAntiSpyware] C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [Sidebar]% ProgramFiles% \ Windows Sidebar \ Sidebar.exe / detectMem (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-19 \ .. \ Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll, ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [Sidebar]% ProgramFiles% \ Windows Sidebar \ Sidebar.exe / detectMem (User 'NETWORK SERVICE')
O8 - Extra Kontext Menüpunkt: Download-Link mit Mega Manager ... - C: \ Program Files \ Megaupload \ Mega Manager \ mm_file.htm
O9 - Extra Knopf: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O9 - Extra button: Yahoo! Services - (5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897) - (no file)
O10 - Unknown file in Winsock LSP: c: \ windows \ system32 \ prxernsp.dll
O13 - Gopher Prefix:
O16 - DPF: (0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75) (CKAVWebScan Object) -- http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: (20A60F0D-9AFA-4515-A0FD-83BD84642501) (Checkers Class) -- http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: (30528230-99f7-4bb4-88d8-fa1d4f56a2ab) (Installation Support) - C: \ Program Files \ Yahoo! \ Common \ Yinsthelper.dll
O16 - DPF: (48DD0448-9209-4F81-9F6D-D83562940134) (MySpace Uploader Control) -- http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 - DPF: (69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A) (GameLauncher Control) -- http://www.acclaim.com/cabs/acclaim_v4.cab
O16 - DPF: (A4110378-789B-455F-AE86-3A1BFC402853) (ZPA_SHVL Object) -- http://zone.msn.com/bingame/zpagames...l.cab55579.cab
O16 - DPF: (B8BE5E93-A60C-4D26-A2DC-220313175592) (MSN Games - Installer) -- http://cdn2.zone.msn.com/binFramewor...o.cab56649.cab
O16 - DPF: (C3F79A2B-B9B4-4A66-B012-3EE46475B072) (MessengerStatsClient Class) -- http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: (DA2AA6CF-5C7A-4B71-BC3B-C771BB369937) (MSN Games - Game Communicator) -- http://zone.msn.com/binframework/v10...y.cab55579.cab
O16 - DPF: (FFB3A759-98B1-446F-BDA9-909C6EB18CC7) (PCPitstop Exam) -- http://utilities.pcpitstop.com/optimize2/pcpitstop2.dll
O20 - Winlogon Notify:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll
O20 - Winlogon Notify: GoToAssist - C: \ Program Files \ Citrix \ GoToAssist \ 480 \ G2AWinLogon.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe
O23 - Service: # # # # Id_String1.6844F930_1628_4223_B5CC_5BB94B879762 (Bonjour Service) - Apple Computer, Inc. - C: \ Program Files \ Bonjour \ mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unbekannte Eigentümer - C: \ Program Files \ Common Files \ Symantec Shared \ ccSvcHst.exe (file missing)
O23 - Service: Creative Service für CDROM Access - Creative Technology Ltd - C: \ Windows \ system32 \ CTsvcCDA.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd - C: \ Program Files \ Common Files \ Macrovision Shared \ FLEXnet Publisher \ FNPLicensingService.exe
O23 - Service: GoToAssist - Citrix Online, ein Geschäftsbereich von Citrix Systems, Inc. - C: \ Program Files \ Citrix \ GoToAssist \ 480 \ g2aservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Programme \ Gemeinsame Dateien \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C: \ PROGRA ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unbekannte Eigentümer - C: \ Program Files \ Common Files \ Symantec Shared \ ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ PIF \ (B8E1DD85-8582-4c61-B58F-2F227FCA9A08) \ PIFSvc.exe
O23 - Service: MySQL - Unbekannt Eigentümer - C: \ Program.exe (file missing)
O23 - Service: PnkBstrA - Unbekannte Eigentümer - C: \ Windows \ system32 \ PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unbekannte Eigentümer - C: \ Program Files \ Alcohol Soft \ Alcohol 120 \ StarWind \ StarWindServiceAE.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C: \ Program Files \ Common Files \ Steam \ SteamService.exe
O23 - Service: VMware Agent Service (ufad-ws60) - Unbekannte Eigentümer - C: \ Program Files \ VMware \ VMware Workstation \ vmware-ufad.exe (file missing)
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C: \ Windows \ system32 \ vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - Unbekannte Eigentümer - C: \ Program Files \ Common Files \ VMware \ VMware Virtual Image Editing \ vmount2.exe (file missing)
O23 - Service: VMware NAT Service - VMware, Inc. - C: \ Windows \ system32 \ vmnat.exe
O23 - Service: wampapache - Apache Software Foundation - C: \ WAMP \ bin \ apache \ apache2.2.8 \ bin \ httpd.exe
O23 - Service: wampmysqld - Unbekannte Eigentümer - C: \ WAMP \ bin \ mysql \ mysql5.0.51a \ bin \ mysqld-nt.exe

--
End of file - 9649 bytes

[evilfantasy]

Kann ich nicht viel aus dem Protokoll zu erzählen.

Herunterladen Dr.Web CureIt! Und speichern Sie sie auf Ihrem Desktop.

• Doppelklicken Sie auf cureit.exe das Programm zu starten. Ein "Express-Scan Ihres PCs"Hinweis wird angezeigt.
• Unter "Starten Sie den Express-Scan Now"Klicken Sie auf"OK"Zu starten. Dies ist ein kurzer Scan, die Scan-Dateien, die derzeit im Speicher und wenn etwas gefunden wird, klicken Sie auf die Ja -Taste, wenn er fragt, ob Sie es wollen, zu heilen.
• Nach der kurzen Scan beendet ist, klicken Sie Optionen > Einstellungen ändern
• Wählen Sie die "Scan-Registerkarte"Und Deaktivieren "Heuristische Analyse"
• Zurück im Hauptfenster dot klicken Sie auf "Eigener Scan", dann "Wählen Sie die Laufwerke" (ein rotes wird zeigen, welche Laufwerke haben gewählt wurde).
• Klicken Sie dann auf die "Start / Stop-Scanning"-Taste (grünen Pfeil auf der rechten Seite) und der Scan beginnen.
• Wenn Sie fertig sind, wird eine Meldung am unteren Rand der Beratung angezeigt werden, wenn keine Viren gefunden wurden.
• Klicken Sie auf "Ja, um alle", Wenn sie gefragt, ob Sie zu heilen wollen / verschieben Sie die Datei.
• Wenn der Scan beendet ist, schauen Sie, wenn Sie auf das Symbol neben den Dateien sehen können gefunden. Wenn ja, klicken Sie darauf und dann auf das nächste Symbol rechts unten und wählen Sie "Move unheilbare".
  (Dies wird es dem C bewegen: \ Dokumente und Einstellungen \ userprofile \ DoctorWeb \ Quarantäne-Ordner, wenn sie nicht geheilt werden können)
• Weiter in der Dr.Web-Menü auf, klicken Sie auf Datei und wählen Sie Bericht Liste speichern.
• Speichern Sie die DrWeb.csv Bericht auf Ihren Desktop.
• Exit CureIt wenn Sie fertig sind.
• Wichtig! Neustart Ihrem Computer, weil es möglich sein könnte, dass die Dateien in Nutzung / verschoben werden soll, wird bei einem Neustart gelöscht.

Sie können Editor verwenden, um die DrWeb.cvs Bericht von rechts klicken und Sie mit Notepad> Öffnen geöffnet

----------

Nächste Nachricht hinzufügen
Dr. Web log

[madcows7]

Ich habe vista wie iGet zu den Dokumenten und Einstellungen? im nicht vista ich nutzen, um xp haben


edit: fand es nvm

[madcows7]

die sagen, das Scanning auf 80kbs ... Ich habe 130GB zu scannen, dass die Tage treffen die Ideen?

[evilfantasy]

Download von SUBs Combofix von einem der folgenden Links.

• Link # 1
• Link # 2

Wichtig! Combofix.exe IST gespeichert werden, um und lief aus dem Desktop.

• Schließen Sie alle geöffneten Web-Browser. (Firefox, Internet Explorer, etc.) vor Beginn der Combofix.
• Wichtig! Vorübergehend deaktivieren dein Antivirus, Script Blocking und alle Anti-Spyware Echtzeit-Schutz vor Durchführung eines Scan.
  • Klicken Sie auf diesen Link , um eine Liste der Programme, die Sicherheit sollten daher deaktiviert werden, und wie sie zu deaktivieren.
  • Wenn Sie nicht aufgelistet ist und Sie nicht wissen, wie diese zu deaktivieren, wenden Sie sich bitte an.
• Warnung: Combofix trennt Sie Ihren Computer aus dem Internet. Die Verbindung wird automatisch wiederhergestellt, bevor Combofix seinen Lauf.
• Doppelklicken Sie auf combofix.exe und folgen Sie den Anweisungen.
  • Wählen Sie Ja, um die Lizenzbestimmungen.
• Wenn Sie fertig sind, es wird ein Protokoll für Sie.
• Post, dass sich in Ihrer nächsten Antwort.

Warnung: Nicht per Mausklick Combofix-Fenster, während es in Betrieb ist. Das kann dazu führen, dass es zu Stall

• Wenn Combofix läuft in Schwierigkeiten und vorzeitig beendet, wird die Verbindung manuell restauriert werden kann, indem Sie den Computer neu starten.
• Wichtiger Hinweis: Denken Sie daran, wieder zu aktivieren Sie die Antivirus-und Anti-Spyware, bevor es wieder auf das Internet.

Wenn nötig, finden Sie in diesem Combofix Tutorial mit Screenshots, die mehr Detail gründlich das Herunterladen und Ausführen von Combofix.

----------

Nächste Nachricht hinzufügen
Combofix log

[madcows7]

Ich gebe auf combofix doesnt Start lol i guess möglicherweise neu zu formatieren müssen und verlieren alles, was ich

[KanoakaVirus]

Zitat:

Zitat von madcows7

Ich gebe auf combofix doesnt Start lol i guess möglicherweise neu zu formatieren müssen und verlieren alles, was ich

Sie können natürlich Ihre Daten zuerst ein ...

[evilfantasy]

Gehe zu Start> Ausführen und Kopieren / Einfügen in die folgenden:

"% USERPROFILE% \ Desktop \ combofix.exe" / killall

Drücken Sie die Eingabetaste und Combofix beginnt zu laufen.

Wenn Sie fertig sind, wird eine Log-Datei an C: \ ComboFix.txt

Post den Inhalt der Log-in Ihrer nächsten Antwort.

Hinweis: Nicht per Mausklick combofix-Fenster, während es in Betrieb ist. Das kann dazu führen, dass Ihr System auf Stall.