Problem mit rpcc

  • Abned zusammen,
    ich habe zu Zeit ein Porblem mit meinem Rechner. Es läuft alles ziehmlich langsam und vor ein zwei Tagen habei ich ein paar trojaner gefunden und gelöscht (mit AntiVir Personaledition Classic) und es wirg alles so langsam nun bei mir. Hab dann geschaut wo ran es denn liegen könnte und hab eine komische Datei in meiner msconfig gefund rpcc. weis nicht was das ist. Bei einem Themer hier im Forum gab es schonmal das Problem damit.


    Ich bin halt ein totaler Anfanger in sollchen Dingen und würde mich über Hilfe freuen.


    Hier ist schonmal HijackThis.log von mir.


    Logfile of HijackThis v1.99.1
    Scan saved at 19:16:32, on 03.05.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Einmal editiert, zuletzt von EstherCH ()

  • Hallo


    Bitte in dieser Reihenfolge:



    Deinstalliere erstmal Antivir (unter Systemsteuerung Software)


    nun


    Kaspersky optimieren:
    gehe auf Einstellungen --> Schutz--> setze ein
    Häkchen bei: Spyware ... und eines bei Potentiell gefährliche Software,update durchführen.
    dann gehe auf Proaktiver Schutz, entferne bzw. setze keine Häkchen bei:
    Integrietätskontrolle und auch keines bei Überwachung der
    Systemregistrierung aktivieren. Beim Rest hier sollen die Häkchen
    gesetzt sein.
    Dann gehe auf: Virensuche, klicke an: Nicht erfragen, Häkchen setzen bei
    Desinfizieren und bei Löschen wenn Desinfektion nicht möglich
    Übernehmen und OK


    Neustart F8 drücken, abgesicherter Modus starten


    lösche direkt:
    C:\WINDOWS\system32\rpcc.exe


    weiter im abgesicherten Modus


    Gehe auf Programme Kaspersky, starte Kaspersky, Warnmeldung kommt ignorieren, dann
    unten rechts auf das nun graue V mit rechter Maustaste klicken, wähle Arbeitsplatz untersuchen, alle
    Funde löschen.


    Nach Neustart


    poste den Bericht von Kaspersky


    und erstelle einen neuen Hijackthislog



    Viele Grüße
    WhiteKnight

    Viele Grüße
    WhiteKnight

  • Hi und vielen dank für die schnelle hilfe. Ich habe alles befolgt wie du mir gesagt hast. Antivir hab ich sofort vom System geschmissen und die Einstellung von kaspersky habe ich auch geändert und hab nun ein neues Problem. Ich wollte noch Kaspersky auf den neusten stand bringen da meldet er mir das die Datei i0607g.xml fehlerhaft runtergeladen wurde und das Update abgebrochen wird. Hab dann die Homepage besucht und war auch nicht schlauer asl zuvor. Vielleicht kannst du mir ja nochmal helfen.


    Vielen dank schonmal
    Frischling


    Ps bin ein totaler Anfänger am Computer

  • versuche es mit Kaspersky reparieren, schau unter Programme Kaspersky
    PC Neustart


    versuche ob es dann wieder geht


    Viele Grüße
    WhiteKnight

    Viele Grüße
    WhiteKnight

  • So nun habe ich das erstes versucht Kaspersky zu reparieren aber hat leider dann trotzdem den selben Fehler wieder gebracht. Dann hab ich deinen Link besucht und es instarlliert und auch versucht upzudaten aber dann gibt es den selben Fehler nur mit einer anderen Datei cs-0607g.xml.
    Hast du zufällig noch eine Idee wie ich das problem in den Griff bekommen kann?


    Mit freundlcihen Grüßen
    frsichling

  • So WhiteKnight ich habe es aktualliesiert bekommen nun. Ich hab noch ne frage zum abgesicherten modus. Wie finde ich den dort dann die rcpp.exe datei wenn ich sie hier schon nciht finden kann?
    Ich hoffe jetzt kalppt es
    Gruß Frischling

  • Hier ist noch mal ein neues HijackThis.log vielleicht ist er schon weg. Hab 40 trojaner gefunden beim Scannen



    Logfile of HijackThis v1.99.1
    Scan saved at 18:34:31, on 05.05.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



    Hoffe das es besser ist als am anfang
    MIr freundlichen Grüßen
    Frischling

    Einmal editiert, zuletzt von EstherCH ()

  • öffne das HijackThis -- Button "scan" -- vor diese-Einträge ein Häkchen setzen -- Button "Fix checked" – PC neustarten



    O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6devs.dll
    O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - C:\WINDOWS\system32\ipv6monl.dll (file missing)
    O2 - BHO: (no name) - {D34F5D71-99E4-4D96-91CA-F4104F69B8AE} - C:\Programme\Protection Tools\bpvol.dll (file missing)
    O3 - Toolbar: Protection Bar - {F0993251-2512-4710-AF6E-0A13EA199D02} - C:\Programme\Protection Tools\splug.dll (file missing)



    dann Punkt 2 ausführen, anschließend Punkt 4 / Navilog posten
    http://www.paules-pc-forum.de/phpBB2/topic,98281.html


    Viele Grüße
    WhiteKnight

    Viele Grüße
    WhiteKnight

  • So hab die sachen so durch geführt wie du mir gesagt hast. Ich hoffe das ich alles richtig gemacht habe.


    da wär die fixnavi.txt datei


    Search Navipromo version 1.1.6 beginned le 06.05.2007 à 11:31:13,65

    !!! Warning, this report can give legitims files/programs!!!
    !!! Post this report on the forum which have request you for checking !!!
    !!! Don't run cleanning fix before special advise from the helper !!!


    Fix running from C:\Dokumente und Einstellungen\Andi\Desktop\Navilog
    Updated the 02.05.2007 at 08h00 by IL-MAFIOSO


    Done in normal mode


    *** Search installed Sofwares ***




    *** Search folders in C:\WINDOWS ***





    *** Search folders in C:\Programme ***





    *** Search folders in C:\Dokumente und Einstellungen\All Users\Application Data ***





    *** Search folders in C:\Dokumente und Einstellungen\Andi\Anwendungsdaten ***




    *** Search with BlackLight Engine/F-secure ***
    BlackLight Engine is product from F-secure, for more infos :
    http://www.f-secure.com/blacklight/blacklight_help.html



    F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
    ======================================


    Copyright 2005-2006 F-Secure Corporation. All rights reserved.
    This is a beta version. It will expire on 1st of April, 2007.
    Version information: 2.2.1061.


    [+] Started on 05/06/07 at 11:31:15.
    [+] Initializing ...
    [+] Starting scan, press Ctrl-C to abort.
    [+] Scanning for hidden items ...............
    [+] Scan complete.
    [+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
    [+] Exited on 05/06/07 at 11:31:39 (return code = 0).



    *** Search files ***





    *** Search registry keys ***



    Search in [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]


    Search in [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]


    Search Magic Control Key



    *** Complementary Search ***
    (Search specifics files)

    1)Search known files:



    2)Heuristic Search :
    *
    **
    ***
    ****
    *****
    ******
    *******
    ********


    *** Search Finished the 06.05.2007 at 11:31:44,76 ***


    Danke nocmals für deine Hilfe WhiteKnight

  • Hallo Frischling,


    #Lade dir dir dann die SmitfraudFix.exe,auf dem Desktop speichern,dann Doppelklick auf SmitfraudFix.exe,danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt,nun muss du dieser Ordner öffnen,dann Doppelklick auf SmitfraudFix.cmd,dann Taste 1,erstellte Log posten


    Gruss
    Mopao

    Gruss Mopao
    Malware-Veteran

  • Grüß dich Mopao,
    schonmal danke das du mir auch hilfst. Ich hab da Programm von dir runtergeladen und dann habe ich SmitfraudFix.cmd ausgeführt dann erscheint ein roter bildschirm und ich soll irgend eine Taste drücken und dann passiert nichts. Ich hoffe ich hab nichst falsch gemacht.
    Mir freundlich Früßen
    Frischling

  • ich hoffe das dies jetzt richtig ist was ich jetzt hier gemacht habe.


    SmitFraudFix v2.176


    Scan done at 12:20:36,76, 06.05.2007
    Run from C:\Dokumente und Einstellungen\Andi\Desktop\SmitfraudFix
    OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
    The filesystem type is NTFS
    Fix run in normal mode


    »»»»»»»»»»»»»»»»»»»»»»»» Process


    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Logitech\MouseWare\system\em_exec.exe
    C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\WINDOWS\NOTEPAD.EXE
    C:\WINDOWS\system32\cmd.exe


    »»»»»»»»»»»»»»»»»»»»»»»» hosts



    »»»»»»»»»»»»»»»»»»»»»»»» C:\



    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS



    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system



    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web



    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32



    »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Andi



    »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Andi\Application Data



    »»»»»»»»»»»»»»»»»»»»»»»» Start Menu



    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Andi\FAVORI~1


    C:\DOKUME~1\Andi\FAVORI~1\Online Security Test.url FOUND !


    »»»»»»»»»»»»»»»»»»»»»»»» Desktop



    »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme



    »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys



    »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Die derzeitige Homepage"


    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, following keys are not inevitably infected!!!


    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll



    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, following keys are not inevitably infected!!!


    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~1.0\\adialhk.dll"



    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, following keys are not inevitably infected!!!


    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""



    »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32




    »»»»»»»»»»»»»»»»»»»»»»»» DNS


    Description: SiS 900-basierte PCI-Fast Ethernet-Adapter - Paketplaner-Miniport
    DNS Server Search Order: 192.168.150.1


    HKLM\SYSTEM\CCS\Services\Tcpip\..\{E0EE6A12-203E-4B69-9B18-5D93E85DDBF5}: NameServer=192.168.150.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{E0EE6A12-203E-4B69-9B18-5D93E85DDBF5}: NameServer=192.168.150.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{E0EE6A12-203E-4B69-9B18-5D93E85DDBF5}: NameServer=192.168.150.1
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{E0EE6A12-203E-4B69-9B18-5D93E85DDBF5}: NameServer=192.168.150.1



    »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection



    »»»»»»»»»»»»»»»»»»»»»»»» End


    diese txt Datei hat sich nach dem ausführen von SmitfraudFix.cmd kommt

  • So hab ich nun auch durchgefürht. Aber jetzt hat es mein desktop geändert. Ist das in Ordnung?


    Hier ist noch die txt Datei die zum Schluss kam.


    SmitFraudFix v2.176


    Scan done at 13:20:24,73, 06.05.2007
    Run from C:\Dokumente und Einstellungen\Andi\Desktop\SmitfraudFix
    OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
    The filesystem type is NTFS
    Fix run in normal mode


    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
    !!!Attention, following keys are not inevitably infected!!!


    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll


    »»»»»»»»»»»»»»»»»»»»»»»» Killing process



    »»»»»»»»»»»»»»»»»»»»»»»» hosts



    127.0.0.1 localhost


    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix


    GenericRenosFix by S!Ri



    »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


    C:\DOKUME~1\Andi\FAVORI~1\Online Security Test.url Deleted


    »»»»»»»»»»»»»»»»»»»»»»»» DNS


    Description: SiS 900-basierte PCI-Fast Ethernet-Adapter - Paketplaner-Miniport
    DNS Server Search Order: 192.168.150.1


    HKLM\SYSTEM\CCS\Services\Tcpip\..\{E0EE6A12-203E-4B69-9B18-5D93E85DDBF5}: NameServer=192.168.150.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{E0EE6A12-203E-4B69-9B18-5D93E85DDBF5}: NameServer=192.168.150.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{E0EE6A12-203E-4B69-9B18-5D93E85DDBF5}: NameServer=192.168.150.1
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{E0EE6A12-203E-4B69-9B18-5D93E85DDBF5}: NameServer=192.168.150.1



    »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files



    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, following keys are not inevitably infected!!!


    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""



    »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

    Registry Cleaning done.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
    !!!Attention, following keys are not inevitably infected!!!


    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll



    »»»»»»»»»»»»»»»»»»»»»»»» End

  • Zitat von Frischling

    So hab ich nun auch durchgefürht. Aber jetzt hat es mein desktop geändert. Ist das in Ordnung?

    JA!

    Gruss Mopao
    Malware-Veteran

  • OK wollte nur gefragt haben Mopao. So und was soll ich nun tun oder habe ich den virus besiegt?


    Gruss frischling

  • Abend Mopao, hier ist die gewünschte HijackThis log.



    Logfile of HijackThis v1.99.1
    Scan saved at 20:58:05, on 06.05.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



    ich hoffe das der Spuck bald vorbei ist
    Grüße Frischling

    Einmal editiert, zuletzt von EstherCH ()

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!