Hi, leute, nach dem problem:

Windowsinstaller:

27.12.07
Fehler bei Installation von Programmen und Spielen - GIGA.DE - Community Forum

04.03.08
http://www.trojaner-board.de/50145-w...en-werden.html


hab ich ein weiteres Problem, jetzt funzen meine antivierenprogramme net mehr:
kein Autostart, obwohl in autostart festgeschrieben

Fehlermeldung:
konnte datei nicht öffnen, ist keine zulässige Win32-Anwendung,
create file: konnte gmer.dll nicht finden

Programme die seit heute 17:30 nach 2 neustarts nicht mehr funktionieren:
Spybot search & destroy
F-secure Antivirus und Antispy
Gmer.exe


Hier das HijackThis Log:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:45:16, on 11.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Edit: (Mozilla Firefox 2.0.0.12)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\avmclient\AvmObexService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\SatSrv.exe
C:\Programme\avmclient\bluefritz.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
F:\Ashampoo PowerUP XP Platinum 2\PowerUpTools\SwitchDesk\SwitchDesk.exe
F:\VistaGlance\VistaGlance.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Fritz!\FriWeb32.exe
F:\Orbitdownloader\orbitdm.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.exe
C:\Programme\OpenOffice.org 2.3\program\soffice.BIN
F:\RocketDock\RocketDock.exe
F:\Orbitdownloader\orbitnet.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
E:\Installer\downloads\exe\HiJackThis202.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windoof Kacknet schnorrer (Power UP XP)
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - F:\Orbitdownloader\orbitcth.dll
O2 - BHO: Steganos Password Manager AutoFill - {1427A821-7B93-4F08-9A34-9FA03A3D93DB} - C:\Steganos Security Suite\PasswordManagerBHO.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: VistaGlance - {D68EAA26-C9FF-41E8-81C7-443B8F813568} - F:\VISTAG~1\GLANCE~3.DLL
O4 - HKLM\..\Run: [F-Secure Manager] "C:\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [PwrUpSwDesk] F:\Ashampoo PowerUP XP Platinum 2\PowerUpTools\SwitchDesk\SwitchDesk.exe
O4 - HKCU\..\Run: [VistaGlance] "F:\VistaGlance\VistaGlance.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe
O4 - Startup: Verknüpfung mit RocketDock.lnk = F:\RocketDock\RocketDock.exe
O4 - Global Startup: FRITZ!web.lnk = F:\Fritz!\FriWeb32.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Orbit.lnk = F:\Orbitdownloader\orbitdm.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Download by Orbit - res://F:\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://F:\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://F:\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://F:\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: Erwachsene... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Erwachsene... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{42E30555-2AE7-4897-8D93-A46624AF0130}: NameServer = 192.168.xxx.252,192.168.xxx.253
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\\SatSrv.exe

--
End of file - 5502 bytes

habe auch keine unregelmäsigkeiten bei den Prozessen entdeckt.
Man mein Windows spackt total, ich kann nicht mal meiner Arbeit nachgehen, weil es einfach nur spackt, kann meine Anwendungen und alles nicht mehr installieren,

bevor fragen kommen:
Zuerst die oben genannten links anschauen, damit ich nicht alles 10 mal wiederholen muss!

Und wie ich bemerkt habe, bewegt sich ein Transfair über meine Leitung, wo keine Updates oder sonstigen programme laufen, die vom internet daten benötigen? K.A. Windowsupdates zeigt es mir keine an: sonstige Updates hab ich nicht gestarttet, alle meine Updates müssten eig. manuell gestartet werden.

Mfg,

En`forcer


sysProfile: ID: 58355 - En`forcer

Zitat:

Zitat von En`forcer

Und wie ich bemerkt habe, bewegt sich ein Transfair über meine Leitung, wo keine Updates oder sonstigen programme laufen, die vom internet daten benötigen? K.A. Windowsupdates zeigt es mir keine an: sonstige Updates hab ich nicht gestarttet, alle meine Updates müssten eig. manuell gestartet werden.

Hat sich erledigt, war der Firefox, trotzdem kann ich meine Antivirentools net mehr starten

Hier hab ich euch noch das Silent runners log beigelegt, das F-Secure Blacklight log kommt noch:

Zitat:

"Silent Runners.vbs", revision 56, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SpybotSD TeaTimer" = "F:\Spybot - Search & Destroy\TeaTimer.exe" ["install"]
"PwrUpSwDesk" = "F:\Ashampoo PowerUP XP Platinum 2\PowerUpTools\SwitchDesk\SwitchDesk.exe" [null data]
"VistaGlance" = ""F:\VistaGlance\VistaGlance.exe"" ["QwertyStudios"]
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"F-Secure Manager" = ""C:\F-Secure Internet Security\Common\FSM32.EXE" /splash" ["F-Secure Corporation"]
"F-Secure TNB" = ""C:\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW" ["F-Secure Corporation"]
"AVMBlueClient" = "C:\Programme\avmclient\bluefritz.exe" ["AVM Berlin"]
"AVMBLUEOBEX" = "C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient" ["AVM Berlin"]
"StartCCC" = ""C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{000123B4-9B42-4900-B3F7-F4B073EFC214}\(Default) = "btorbit.com"
-> {HKLM...CLSID} = "Octh Class"
\InProcServer32\(Default) = "F:\Orbitdownloader\orbitcth.dll" ["Orbitdownloader.com"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "F:\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "F:\WinRar\rarext.dll" [null data]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{FAE0A3E0-3010-41BA-9DDC-A631394F047F}" = "SteganosShellExtension"
-> {HKLM...CLSID} = "SteganosShellExtension"
\InProcServer32\(Default) = "C:\Steganos Security Suite\ShellExtension.dll" [null data]
"{875B244E-34BF-485C-9BD3-70D60875DC4C}" = "VistaGlance"
-> {HKLM...CLSID} = "VistaGlance"
\InProcServer32\(Default) = "F:\VISTAG~1\GLANCE~1.DLL" [null data]
"{DCCBF8AF-86F8-4DB5-8685-B1B3923718A7}" = "VistaGlance Desktop Panel"
-> {HKLM...CLSID} = "VistaGlance"
\InProcServer32\(Default) = "F:\VISTAG~1\GLANCE~2.DLL" [null data]
"{1C311AAA-D8B1-4A0A-BEE5-2387FEC583DA}" = "ShellPlusContextMenu"
-> {HKLM...CLSID} = "Burn4Freecontext menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\b4fm.dll" [null data]
"{DC70C4A5-2044-4c59-B806-DEFB9AE0DF7C}" = "Logitech Setpoint Extension"
-> {HKLM...CLSID} = "KbLogiExt Class"
\InProcServer32\(Default) = "F:\Setpoint\SetPoint\kbcplext.dll" ["Logitech Inc."]
"{B9B9F083-2B04-452A-8691-83694AC1037B}" = "Logitech Setpoint Extension"
-> {HKLM...CLSID} = "LogiExt Class"
\InProcServer32\(Default) = "F:\Setpoint\SetPoint\mcplext.dll" ["Logitech Inc."]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" [empty string]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.3\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Notepad++\(Default) = "{120B94B5-2E6A-4F13-94D0-414BCB64FA0F}"
-> {HKLM...CLSID} = "Notepad++"
\InProcServer32\(Default) = "F:\Notepad++\nppcm.dll" ["Burgaud.com"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "F:\WinRar\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "F:\WinRar\rarext.dll" [null data]
{875B244E-34BF-485C-9BD3-70D60875DC4C}\(Default) = "{875B244E-34BF-485C-9BD3-70D60875DC4C}"
-> {HKLM...CLSID} = "VistaGlance"
\InProcServer32\(Default) = "F:\VISTAG~1\GLANCE~1.DLL" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Roll Back Shell Extention\(Default) = "{A51DA762-BDD7-11D5-973D-C0539E56E216}"
-> {HKLM...CLSID} = "conmenu Class"
\InProcServer32\(Default) = "F:\UnErase\ciasvrue.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "F:\WinRar\rarext.dll" [null data]
{875B244E-34BF-485C-9BD3-70D60875DC4C}\(Default) = "{875B244E-34BF-485C-9BD3-70D60875DC4C}"
-> {HKLM...CLSID} = "VistaGlance"
\InProcServer32\(Default) = "F:\VISTAG~1\GLANCE~1.DLL" [null data]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
ShellPlusContextMenu\(Default) = "{1C311AAA-D8B1-4A0A-BEE5-2387FEC583DA}"
-> {HKLM...CLSID} = "Burn4Freecontext menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\b4fm.dll" [null data]
SteganosShellExtension\(Default) = "{FAE0A3E0-3010-41BA-9DDC-A631394F047F}"
-> {HKLM...CLSID} = "SteganosShellExtension"
\InProcServer32\(Default) = "C:\Steganos Security Suite\ShellExtension.dll" [null data]
{875B244E-34BF-485C-9BD3-70D60875DC4C}\(Default) = "{875B244E-34BF-485C-9BD3-70D60875DC4C}"
-> {HKLM...CLSID} = "VistaGlance"
\InProcServer32\(Default) = "F:\VISTAG~1\GLANCE~1.DLL" [null data]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments\

"SaveZoneInformation" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoWinKeys" = (REG_DWORD) dword:0x00000000
{Disable Windows+X hotkeys}

"NoDesktop" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"NoRecentDocsHistory" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"NoRecentDocsMenu" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"NoSetFolders" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"NoFind" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"NoSMHelp" = (REG_DWORD) dword:0x00000001
{Remove Help menu from Start Menu}

"NoFavoritesMenu" = (REG_DWORD) dword:0x00000001
{Remove Favorites menu from Start Menu}

"NoStartMenuSubFolders" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"ShowDriveLettersFirst" = (REG_DWORD) dword:0x00000004
{unrecognized setting}

"ToggleCommentPosition" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"NoDispAppearancePage" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"NoDispBackgroundPage" = (REG_DWORD) dword:0x00000000
{Hide Desktop tab}

"NoDispScrSavPage" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}

"EnableLUA" = (REG_DWORD) dword:0x00000000
{User Account Control: Run All Administrators In Admin Approval Mode}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\En`forcer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Startup items in "En`forcer" & "All Users" startup folders:
-----------------------------------------------------------

C:\Dokumente und Einstellungen\En`forcer\Startmenü\Programme\Autostart
"OpenOffice.org 2.3" -> shortcut to: "C:\Programme\OpenOffice.org 2.3\program\quickstart.exe" [null data]
"Verknüpfung mit RocketDock" -> shortcut to: "F:\RocketDock\RocketDock.exe" [null data]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"FRITZ!web" -> shortcut to: "F:\Fritz!\FriWeb32.exe" ["AVM Berlin GmbH"]
"Orbit" -> shortcut to: "F:\Orbitdownloader\orbitdm.exe /H" ["Orbitdownloader.com"]


Enabled Scheduled Tasks:
------------------------

"Scheduled scanning task" -> launches: "C:\F-SECU~1\ANTI-V~1\fsav.exe /HARD /POLICY /SCHED /NOBREAK /REPORT=C:\F-SECU~1\ANTI-V~1\report.txt " ["F-Secure Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\F-Secure Internet Security\FSPS\program\FSLSP.DLL ["F-Secure Corporation"], 01 - 03, 09
%SystemRoot%\system32\mswsock.dll [MS], 04 - 06, 10 - 27
%SystemRoot%\system32\rsvpsp.dll [MS], 07 - 08


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{D68EAA26-C9FF-41E8-81C7-443B8F813568}" = (no title provided)
-> {HKLM...CLSID} = "VistaGlance"
\InProcServer32\(Default) = "F:\VISTAG~1\GLANCE~3.DLL" [null data]

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\

HKLM\SOFTWARE\Classes\CLSID\{00000000-5736-4205-0009-C3C68D1BC971}\(Default) = "Steganos Private Favoriten"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "c:\steganos security suite\privatefavoritesiep.dll" [null data]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{200DB664-75B5-47C0-8B45-A44ACCF73C00}\
"ButtonText" = "Erwachsene..."
"CLSIDExtension" = "{D68926FD-18FD-4B0E-A1C7-917D13FAB760}"
-> {HKLM...CLSID} = "F-Secure Parental Control COM button"
\InProcServer32\(Default) = "C:\F-Secure Internet Security\FSPC\fspcmsie.dll" ["F-Secure Corporation"]

{200DB664-75B5-47C0-8B45-A44ACCF73F01}\
"MenuText" = "Erwachsene..."
"CLSIDExtension" = "{D68926FD-18FD-4B0E-A1C7-917D13FAB760}"
-> {HKLM...CLSID} = "F-Secure Parental Control COM button"
\InProcServer32\(Default) = "C:\F-Secure Internet Security\FSPC\fspcmsie.dll" ["F-Secure Corporation"]

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "F:\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AVM BT Connection Service, AVM BT Connection Service, "C:\Programme\avmclient\avmbtservice.exe" ["AVM Berlin"]
AVM BT OBEX Service, AvmObexService, "C:\Programme\avmclient\AvmObexService.exe" ["AVM Berlin"]
AVM BT PAN Service, AVM BT PAN Service, "C:\Programme\avmclient\panapp.exe" ["AVM Berlin"]
PnkBstrA, PnkBstrA, "C:\WINDOWS\system32\PnkBstrA.exe" [null data]
Steganos AntiTheft, SatSrv, "C:\WINDOWS\system32\\SatSrv.exe" [null data]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
FRITZ!fax Color Port Monitor\Driver = "FritzColorPort.dll" ["AVM Berlin GmbH"]
FRITZ!fax Port Monitor\Driver = "FritzPort.dll" ["AVM Berlin GmbH"]


---------- (launch time: 2008-03-11 20:33:54)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 31 seconds, including 2 seconds for message boxes)

So nun hab ich euch noch die F-Secure Scanlog beigelegt:

Ich bitte euch, wenn mir jemand helfen kann mit meinem system, dann nur noch hier oder Microsoft persönlich

Also bitte vergesst nicht die Posts der reihe nach durchzulesen und bitte helft mir ich bin am verzweifeln, mein PC macht überhaupt nicht mehr das was ich ihm sage ((((

Zitat:

03/11/08 20:37:58 [Info]: BlackLight Engine 1.0.67 initialized
03/11/08 20:37:58 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/11/08 20:37:58 [Note]: 7019 4
03/11/08 20:37:58 [Note]: 7005 0
03/11/08 20:38:03 [Note]: 7006 0
03/11/08 20:38:03 [Note]: 7011 1440
03/11/08 20:38:05 [Note]: 7026 0
03/11/08 20:38:08 [Note]: 7026 0
03/11/08 20:38:08 [Note]: 7024 3
03/11/08 20:38:08 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hldrrr.exe
03/11/08 20:38:10 [Note]: FSRAW library version 1.7.1024
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\Resources\1031\msxmlsql.rll
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\Resources\1031\sbevent.rll
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\Resources\1031\sqladevn90.rll
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\Resources\1031\sqlmgmprovider.mfl
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\Resources\1033\msxmlsql.rll
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\Resources\1033\sbevent.rll
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\Resources\1033\sqladevn90.rll
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\Resources\1033\sqlmgmprovider.mfl
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\custsat.dll
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\dbghelp.dll
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\de\Microsoft.NetEnterpriseServers.Exceptio
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\de\Microsoft.SqlSac.Public.resources.dll
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\de\SqlSAC.resources.dll
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\de\sqlwtsn.resources.dll
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\instapi.dll
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\isacctchange.dll
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\mdf_ndf_dbfiles.ico
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\Microsoft.NetEnterpriseServers.ExceptionMe
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\Microsoft.SqlSac.Public.dll
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\msasxpress.dll
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\msxmlsql.dll
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\SAC.exe
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\sqladhlp90.exe
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\SqlBoot.dll
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\SqlDumper.exe
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\sqlftacct.dll
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\sqlmgmprovider.dll
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\sqlmgmproviderxpsp2up.mof
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\SqlSAC.exe
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\sqlsecacctchg.dll
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\sqlsqm.exe
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\sqlsvcsync.dll
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\SqlWtsn.exe
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\svrenumapi.dll
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Info]: Hidden file: c:\Programme\Microsoft SQL Server\90\Shared\transaction_logfile.ico
03/11/08 20:39:01 [Note]: 10002 3
03/11/08 20:39:01 [Note]: 10002 2
03/11/08 20:39:01 [Note]: 10002 2
03/11/08 20:39:03 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Empty.txt
03/11/08 20:39:03 [Note]: 10002 3
03/11/08 20:39:03 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Filters.xml
03/11/08 20:39:03 [Note]: 10002 3
03/11/08 20:39:03 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\news.png
03/11/08 20:39:03 [Note]: 10002 3
03/11/08 20:39:03 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\paint.png
03/11/08 20:39:03 [Note]: 10002 3
03/11/08 20:39:03 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Profiles\Blank.txt
03/11/08 20:39:03 [Note]: 10002 3
03/11/08 20:39:03 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Sample1.jpg
03/11/08 20:39:03 [Note]: 10002 3
03/11/08 20:39:03 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Sample2.jpg
03/11/08 20:39:03 [Note]: 10002 3
03/11/08 20:39:03 [Note]: 10002 2
03/11/08 20:39:03 [Note]: 10002 2
03/11/08 20:42:22 [Note]: 10002 2
03/11/08 20:42:22 [Note]: 10002 2
03/11/08 20:42:44 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hldrrr.exe
03/11/08 20:42:44 [Note]: 10002 2
03/11/08 20:42:44 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
03/11/08 20:42:44 [Note]: 10002 2
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\1012625.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\1021359.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\1026687.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\1037656.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\1040515.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\1048421.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\1061906.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\1069218.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\1121937.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\1133984.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\1143859.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\1172656.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\1178093.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\1185781.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\1193359.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\1213500.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\1226500.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\1231312.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\1235875.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\1245953.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\1304125.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\1313625.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\848781.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\851937.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\854750.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\859453.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\867531.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\885187.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\937343.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\959750.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\973750.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\985296.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\991890.exe
03/11/08 20:42:46 [Note]: 10002 3
03/11/08 20:42:46 [Note]: 10002 2
03/11/08 20:42:46 [Note]: 10002 2
03/11/08 20:43:17 [Note]: 2000 1012
03/11/08 20:43:17 [Note]: 2000 1012
03/11/08 20:43:17 [Note]: 2000 1012
03/11/08 20:43:17 [Note]: 2000 1012
03/11/08 20:43:17 [Note]: 2000 1012
03/11/08 20:44:49 [Note]: 7007 0

Hi,

da brauche ich deine vielen anderen Threads nicht mehr zu lesen: du hast dir einen Bagle installiert. Hier gehts weiter: http://www.trojaner-board.de/12154-a...sicherung.html

Ach ja: Eine kaputte Festplatte ersetzt man durch ene neue.

Gruß, Karl

OK, ich probier vor dem aufsetzen, ein bagle entfern Tool von F-Secure und anderen vertrauenswürdigen herstellern.

Evt. kann ich meine Festplatte noch retten und ein paar Daten wiederherstellen.

Sollte es nicht funktionieren lege ich ein sicheres Backup an und lege alles neu auf.

Auch meine USB-Sticks und sonstige Specherplatten?

F-Secure Virendefinition: Bagle.B
Sophos - Hinweise zur Desinfektion von W32/Bagle

Hallo En`forcer
Solche Leute wie du gehörten bestraft. Über so verseuchte Kisten werden Spam und was weis ich nicht aller verbreitet. Ein Versuch die Kiste wieder sauber zu kriegen ist eigentlich gleich Null.
Die Reinigungsversuche dürften auch länger dauern, als neu aufzusetzen.
Einfache Reinigung zum Zweck der Sicherung von nicht ausführbaren Dateien, mag noch angehen. Vor allen weil man dabei nicht im Internet ist.

Ja, ich werde noch ein paar wenige rücksicherungen machen, wenn ich dann die Daten sauber hab, werd ich mein Windows neu aufsetzen. die daten werd ich dann auch nur wiederherstellen, wenn es nötig ist.

Ach ja, ich überwache meine verbindung gerade über den FritzWeb Monitor. Und kann somit auch feststellen wie viel daten empafngen und gesendet werden, ist ja nicht so das schlimm für euch ist, mir ergehts schlimmer und darum zählt jede sekunde! gut das ich erst seit 2 Wochen internet hab. evt. hat sich der Bagle schon vorher eingeschlichen und konnte somit vom F-Secure nicht erkannt werden, da Windows bereits unterwandert war, dort hat er dann dann auf eine Verbindung gewartet.

So stell ich mir das vor. Weil sonnst hätte Spybot Search an destroy oder F-Secure einen Systemänderungsversuch feststellen müssen. Bzw. wer die Programme benutzt weiß, dass kein Programm ausgeführt werden kann oder ein Registery verändert werden kann ohne eine anfrage zu bekommen.

2. Möglichkeit, was ich eher ausschließe, über ein programm oder windowsupdate eingeschläust und dann den bagle über updates von Windows nachgeladen.

Naja, auf jedenfall danke. ich hoffe ich kann meine daten noch retten, bei tipps: Postet einfach, ich will hier ja keinen verärgern und bin für jeden guten rat zu haben.

Soll ich jetzt die USB-Sticks auch reinigen? Allso alles was jemals als Datenträger mit meinem PC kontakt hatte? (Handy, Webspace, ...)

Ach ja, mein bagle bereinigungsprogramm hat gerade nichts gefunden. Gibt es eine boot alternative?

Es gibt auch Malware, die interresiere solche Programme wie FritzWeb Monitor nicht. Sie tunneln solche Programme. Gehen also ganz unbemerkt ins Netz. Ist dann höchstens von einem blinkenden Led zu bemerkbar, dass da Traffik abgeht.

Also ich schau dann mal meinen router an wenn ich "offline" bin ob der eine verbindung nach aussen feststellt.

Kann es auch sein, dass ich gar keinen Bagle habe? sondern irgend ein anderes Problem?

Was is jetzt mit meinen USB Sticks soll ich da den Speicher auch löschen?

Ich bräuchte eine bootalternative, und wie stell ich überhaupt noch fest, welche art von bagle ich habe?
A oder B oder AZ? Ich will n paar infos, sagt schon was, wär ja genau das gleiche wie das licht geht net an, die Leitung ist durchgebrannt derweil is nur die Birne durchgebrannt, also ich bin ja auch nur ein leihe, woran seht ihr das ich wirklich einen bagle hab?

Dann schau dir doch mal das Log von F-Secure an. Nimm ein englisch Wörterbuch und übersetze was da steht. Vieleicht kommt dann der AHA Effekt.
Ach so zu deinem USB Stick. Kommt drauf an was du da drauf hast. Ob nur nichtausführbare Dateien drauf sind.

das einzige was mir aufgefallen ist:
03/11/08 20:38:08 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hldrrr.exe

Hab da 2 nette Themen gefunden: dann probir ich mal beide problemlösungen aus:

http://www.trojaner-board.de/36729-w...entfernen.html
Wie löschen : W32.beagle.dz,w32/beagledi-bv, Tr/rkit.beagle.gl - Virus Hilfe


und das schon befor ich das ins internet gestellt habe.
Ist das der übeltäter?



Nein, da sind Portable apps und so auch oben, also wenn ich alle ausführbaren dateien lösche, und den dan als Backup verwende, dürfte es keine probleme geben. Also (exe, vbs, cmd, bat, ...)

Jetzt kommts, ich weiß woher der übeltäter stammt, ich hab mir die Datei genauer angesehen und das Iconsymbol ist mir bekannt vorgekommen:

N*ke enhanced, hab mal meine Platten durchsucht und 3 davon gefunden:

.zip
.xpi
.pf

Also ich habe die daten bei Virustotal hochgeladen, mit dem Ergebniss:

http://www.virustotal.com/analisis/f60312db3a654bdf4d90c648f0467d23


Ich weiß net mehr ganz wie sich das zugetragen hatt, aber das könnte definitiv für das Ende des übeltäters sorgen, hoffe ich das dann nix mehr von ihm überbleibt

so wie terminiere ich den hidden prozess am besten, im hajackthis find ich nix, anscheinend unterwandert, taskill /PID /F funzt auch net, AVIRA Antivir und AVG Antivir lassen sich net installen, genau so wenig andere programme immer lässt sich eine datei nicht entpacken.

Zu "Nuke anything enhanced" finde ich, dass es sich um eine Erweiterung für den Firefox handelt. die XPI-Datei hat so 7 oder 8 KByte, deine bei Virustotal gescante ca. 660 KByte. Weiß ja nicht, wo Du sie her hast, aber hier wäre dir das nicht passiert, ist aber natürlich langweilig. Es soll auch Leute geben, die sich "firefox_with_working_keygen" runterladen weils einfach cooler ist

Von Bagle gibt es oft neue Versionen, das was letztes Jahr noch eine (bereits damals zweifelhafte) Anleitung zur Entfernung war, dürfte jetzt nicht mehr funktionieren. Die Bagle-Autoren lernen nämlich aus diesen Anleitungen hinzu.

Ich habe im Lauf der Zeit diverse Threads erlebt, wo Wochen damit verschwendet wurden, an solchen Bagle-Systemen herumzubasteln. Die eigentlichen Bagle-Dateien zu killen ist einfach, dafür braucht man keinen Editor, mit dem man die Festplatte hexadezimal bearbeiten kann. Danach gehts dann los, dies funktioniert nicht mehr, bei jenem stürzt das System ab. Es gibt wenig Malware, die soviel am System kaputt macht, wie Bagle. Man kann nie wissen, was alles der unbekannte Remote-Administrator am System verändert hat, das ist ein Punkt, der von allen "Anleitungen" sowieso ignoriert wird. Am Ende haben sie dann doch alle formatiert. Wochenlang arbeiten um ein paar Stunden Arbeit zu vermeiden?

Ach ist jetzt eh egal, der Bagel hat mich aus dem Internet ausgesperrt, mach jetzt noch ein Backup meiner wichtigsten dateien (Profile, Einstellungen) die nach einer Neuinstallation nicht wiederherstellbar sind, dann lösche ich alle .exe dateien

dann formatiere ich alle meine Partitionen bis auf den backup stick, den entferne ich vorher vom system, mach als aller erstes alle Windowsupdates und installe mein Antivirenprogramm und lade da auch alle updates runter

zu guter letzt wenn alle updates installed sind, scanne ich mein system und mache dann noch mal ein Image backup, dann istalliere ich alle Spiele und programme mach nochmal ein Image backup dann kommen alle updates rauf und die sichere ich nochmal, jeweils nach einem Scan. Ich hoffe damit hat sich dann alles erledigt.

Dann kann ich wieder ans downloaden gehen und surfen und zoggen und ach ja ich hoffe das nach einem kompletten überbügeln alles wieder funktioniert, was sollte ich denn noch beachten nach dem formatieren, vor dem neuauflegen?

Viren könnten sich im Ram oder also fast überall verstecken?
Hab da schon so was gehört das die sich im CD romlaufwerk oder Grafikkarten verstecken und so überall wo halt speicher ist. Wie mach ich mein system am besten überall sauber?

Ich will so zusagen zum auslieferungszustand zurück. das Bios resete ich dann auch nochmal. Ich hoffe ich hahb alles beachtet.