Systemwiederherstellung | Ist Genau Wie Vorher! HILFE!!!
#1
geschrieben 07. November 2004 - 12:06
ich habe ein großes Problem mit meinem PC. Merkwürdigerweise ist meine helpctr.exe (hilfe und support center) weg. Schon allein deswegen habe ich versucht mein System auf einen alteren Zeitpunt zurückzustellen. Ich habe es mehrmals mit Tuneup XP probiert, allerdings war nach der Wiederherstellung alles GENAU wie vorher. Es traten auch keine Fehlermeldungen oder ähnliches auf. Heute habe ich gemerkt, das die Punkte die ich versuchte wiederherzustellen verschwunden(!?) sind. Habe ich evtl. einen Virus oder was ist los?
Vielen herzlichen Dank für alle Vorschläge/Hilfen/laute Gedanken etc.
Anzeige
#2
geschrieben 07. November 2004 - 12:37
Zitat
Mehrmals?! Einmal hätte wohl gereicht.
Zitat
Hast du die gelöscht?
Zitat
Virus wohl kaum, eher anderes Zeugs.
Scan mal deinen PC mit HiJackThis (http://www.hijackthis.de/). Dann speicherst du das Log-File ab und lässt es unter hijackthis.de auswerten.
#3
geschrieben 07. November 2004 - 13:01
erstma ebend den logfile..:
Logfile of HijackThis v1.98.2
Scan saved at 12:51:36, on 07.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NavNT\defwatch.exe
C:\WINDOWS\system32\cba\pds.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\NavNT\vptray.exe
C:\WINDOWS\system32\gqfnxq.exe
C:\WINDOWS\logon.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\cba\xfr.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Werner_2\Desktop\hijackthis_198\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O2 - BHO: MultimppObj Class - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:\WINDOWS\multimpp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Replace Search Ctl - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - C:\WINDOWS\system32\replaceSearch.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [qriemixr] C:\WINDOWS\system32\gqfnxq.exe
O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\logon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: &Search - http://bar.mywebsear...?p=ZRxdm185XXUS
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - (no file)
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://207.234.185.217/ABoxInst.exe
O16 - DPF: {10372968-EEA7-4918-8EA4-9F9CE488AD29} - http://install.ibs-c....ch/ibsload.ocx
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarest...es2/Install.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com...ideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1094075544591
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pu...er/isetupML.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.co...dyssey_web8.cab
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/insta...00/SYSsfitb.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.co...aploader_v5.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg...ntrol_v1-32.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.h.../qdiagh.cab?312
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com...tivex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.237.151.225 217.237.150.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.237.151.225 217.237.150.225
Die seiten sagt der Pfad O2 - BHO: MultimppObj Class - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:\WINDOWS\multimpp.dll wäre "Böse" und den sollte man unbedingt fixen.... (da sind noch mehr "Böse") Nur leider kenne ich mich nicht so gut aus und weiß nicht wirklich wie ich das "fixen" nu mache...
Für weiter Hilfe wäre ich sehr dankbar.
#4
geschrieben 07. November 2004 - 13:08
Hier die Auswertung.
Wenn du die auswertung irgendwann selber vornehmen willlst, geh einfach mal auf www.hijackthis.de
Intel Core 2 Duo T7200 @ 2 Ghz
Mobile Radeon X1700 256 MB
2048 MB DDR2-Ram
160 GB Hitachi HDD
Ubuntu 9.04 / Windows XP SP 3
#5
geschrieben 07. November 2004 - 13:26
nur eins bereitet mir noch Kopfschmerzen... C:\WINDOWS\system32\gqfnxq.exe die datei habe ich erstma in quarantäne gesetzt, hijackthis kennt die net und google sagt da auch nix zu.
DANKE LEUTE!
#6
geschrieben 07. November 2004 - 13:29
Zitat
Das ist irgendwas böses, Trojaner oder so.
#7
geschrieben 07. November 2004 - 13:48
gqfnxq.exe = Trojan.DownLoader = System höchstwahrscheinlich kompromittiert
#8
geschrieben 07. November 2004 - 14:56
Aber ich schreibe hier mal den inhalt meines Taskmanagers rein, vielleicht fällt einem ja was auf. Schaut sie euch mal an und schreibt mir dann am besten ob da was faules ist. Sind diese ganzen svchost.exe eigentlich normal?
wscntfy.exe Windows sicherheitspack denke ich
alg.exe
MSGSYS.EXE
XFR.EXE
fxssvc.exe
DitExp.exe kartenleesegerättreiber
vptray.exe Norton!?
hpztsb04.exe
Dit.exe kartenleesegerättreiber
SOUNDMAN.EXE Saoundmanager..
htpatch.exe Hyperthreading programm
svchost.exe
tcpsvcs.exe
ati2evxx.exe
wdfmgr.exe
spoolsv.exe
svchost.exe
rtvscan.exe Norton
svchost.exe
svchost.exe
mdm.exe
svchost.exe
ati2evxx.exe
WinStylerThemeSvc.exe winstyler halt..
PDS.exe
svchost.exe
lsass.exe Virus?
services.exe
winlogon.exe ?
csrss.exe
smss.exe
defwatch.exe
System
Leerlaufprozess Leerlaufpozes halt
DANKE!
#9
geschrieben 07. November 2004 - 15:10
Zitat
Kein Virus! (Local Security Authority Service)
Zitat
Kein Virus! (Windows Logon Process)
Zitat
Teil von NAV.
Zitat
Ja.
Dieser Beitrag wurde von stefanra bearbeitet: 07. November 2004 - 15:10
#10
geschrieben 07. November 2004 - 15:15
THX!
#11
geschrieben 08. November 2004 - 13:15
#12
geschrieben 13. November 2004 - 15:57
#13
geschrieben 13. November 2004 - 22:18
mit der Systemwiederherstellung kann ich dir leider nicht helfen
green
WER ANDERN EINE GRUBE GRÄBT, DER HAT EIN GRUBENGRABGERÄT!!!
#14
geschrieben 14. November 2004 - 09:30
Zitat (Spynx: 13.11.2004, 15:57)
<{POST_SNAPBACK}>
habe ich das richtig verstanden, dass du keine systemwiederherstellungspunkte
mehr erstellen kannst?
bei einem freund hat eine einfache maßnahme geholfen
systemwiederherstellung deaktivieren und neu starten.
systemwiederherstellung aktivieren und neu starten.
falls dies nicht funktioniert schau mal in der computerverwaltung ereignisanzeige,
system nach, welcher fehler dort aufgeführt ist, wie z.b.: "Das Volume wurde
angehalten".
melde dich wieder.
#15
geschrieben 14. November 2004 - 09:53
Wenn du das System dann so hast wie es sein soll ,zieh ein Backup, das ist 1000mal zuverlässiger als die Systemwiederherstellung. Die hat mir auch noch nie wirklich geholfen.