|
Log-Analyse und Auswertung: Hilfe bei großes Problem ( Windows bereits neu Installiert! )Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
29.07.2009, 00:04 | #1 |
| Hilfe bei großes Problem ( Windows bereits neu Installiert! )So hallo alle zusammen, [Edit: ich sehe grad das ich ausversehen im Falschen Forum geladen bin :/ Entschuldigung. Könnte das hier bitte jmd in Plagegeister aller Art und deren Bekämpfung verschieben? Das wäre sehr nett.] Ich bin in dieses Forum gekommen, da ich absolut am verzweifeln bin! Eigendlich bin ich nicht derjeniege der probleme mit Viren oder dergleichen hat! Ich benutze als Antiviren System Avira AntiVir (immer aktuellste Updates etc) und war damit auch bis jetzt sehr glücklich! Als Firewall verwende ich die Sygate Personal Firewall. Diese beiden Programme verwende ich seit mehreren jahren und bin bis jetzt auch sehr glücklich gewesen! Ich überprüfe so gut wie jede Dabei mit AntiVir bevor ich sie entpacke oder ausführe. Wenn ich mir bei der Datein unsicher bin, lade ich sie meist zusätzlich bei http://www.virustotal.com/ hoch. So nun zu meinem Problem. Ich habe seit gestern große probleme. Vorher noch nie etwas, was diesem ähnelt. Als erstes fiel mir auf gestern auf das sich beim anmelden, das Layout geändert hatte. Es war nicht mehr der Windos p stiel, sondern der klassische Windoes Style. An dieser Stelle habe ich mir noch nichts weiter gedacht. Dann habe ich mich mit pw usw angemeldet und dann fing es schon an. Windows meldete mir, das ein paar datein aus Sicherheitsgründen vor Viren nicht mehr ausgeführt werden. Habe ok/schließen gedrückt (weiß nicht mehr genau was da stand ) und ich kam auf meinen Desktop, wo alles noch normal schien. Dann fragte mein Pc plötzlich ob die Winlogon.exe ins internet darf. Nach sys.zief.pl [218.93.205.24]. Hier die ganze Zeile aus der Firewall Log: (ist von heute, aber identisch mit gestern! ) 4647 07/28/2009 22:15:33 Blocked 10 Outgoing TCP sys.zief.pl [218.93.205.24] 00-15-0C-42-66-0C 65520 192.168.178.67 00-23-54-61-39-1B 1699 C:\WINDOWS\system32\winlogon.exe Administrator MILLER-F0E0FC93 Normal 3 07/28/2009 22:14:21 07/28/2009 22:14:30 Ask all running apps Natürlich habe ich das gelockt weil es mir sehr suspect vorkam! Naja nach all diesen sachen wollte ich mir Kapersky holen und damit mein System checken da ich hörte es sei sehr gut! Als ich auf die Homepage von kapersky ging stand da jedoch (steht jetzt wieder): Der Server unter www.kaspersky.com konnte nicht gefunden werden. Als ob es diesen Server nicht gäbe! Allerdings kommt mein bruder zum gleichen zeitpunkt über sienen Computer auf die Homepage! Also muss irgendein Virus oder What ever die Seite geblockt haben. Dannach habe ich sämtlich andere Firewall, Antivir seiten etc durchprobiert alle geblockt! Virustotal auch. habe das einem freund geschrieben. Und er meinte nach kurzer zeit das sieht sehr nach einem Sys Fuker aus. Allerdings 10 Sec nach der nachricht mein internet komplett weg. Ich habe sämtliche lan-kabel, rooter gchecked. Mein bruder kam nioch ins internet! Als alles nichts half habe ich meinen Computer neugestartet. Dies war allerdings ein großer Fehler, was ich im nachhinein erfahren und festgestellt habe. Es kam eine meldung das irgendeine xxuser.ini aus sicherheits gründen nvor Viren nicht mehr gestartet würde. Ich klickte ok/schließen, blieb mir ja nix anderes übrig, allerdings sah ich dannach nur noch mein desktop hintergrund und sonst gar nix. In den task manager kam ich noch und da fehlten zich prozesse! Daraufhin habe ich Meinen kompletten Computer auf eine andere festplatte ( die vorher nicht drin war! neuinstalliert ). Der ging dann auch heute mittag wunderbar. Ich habe Folgende Sachen heruntergeladen und auch installiert: 190.38_desktop_winxp_32bit_international_whql.exe (graka treiber von Nvidia geladen! ) avira_antivir_personal403_de.exe ( Von avia Homepage geladen! ) dotNetFx35setup.exe ( von Chip geladen! ist net Framework 3.5 ) Firefox Setup 3.5.1.exe ( ebenfalls Chip ) install_icq65.exe ( Icq Hp ) spf56.exe ( Chip, ist mein Firewall ) wlsetup-web_8064.exe ( Msn, ebenfalls Chip ) install_flash_player.exe ( von Adobe Homepage ) wrar380d.exe ( WinRar, da weiß ich grade nicht wo, glaube aber auch chip ) ccsetup221.exe ( Ccleaneer, ebenfalls Chip ) vlc-1.0.1-win32.exe ( Vlc media player, auch von Chip ) mp10setup.exe ( Windows media player 10, auch chip! ) HJTInstall202.exe ( HiJackThis auch Chip ) Teamviewer ( auch von Chip ) Virtual Desktops for Xp & Vista ( ka woher, aber hab ich auch schon sehr lange ) Dann habe ich noch folgendes Spiel von einem Kumpel, von der original Dvd installiert: Gta 4, dies haben wir ca 2 Stunden gespielt. Ohne Crack oder dergleichen! Sondern mit original Serial key und Dvd. Dann gegen heut abend ging es wieder los. Die Winlogon.exe ( ein Prozess auch ) will nach sys.zief.pl [218.93.205.24]. Also wieder der selbe scheiß! Allerdings fand mein Antivir nun lauter W32/Virut.Gen. Das ist ein Virus der sich unglaublich schnell in exen aubreiten und Backdoors öffnet! Ich komme auch wieder nicht auf die ganzen Homepages von Avira Kapersky etc. Und nun bin ich hier, mit diesen dicken problemen. Ich habe sämtliche traffics von meinemn Computer aus der Firewall eyportiert und hier der Downloadlink: http://www.file-upload.net/download-...ewall.log.html Die Winlogon versucht regelmäig nach sys.zief.pl [218.93.205.24] zu kommen. Außerdem hab ich noch einen HijackThis Scan gemacht: Hier das ergebnis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:14:16, on 28.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Vista & XP Virtual Desktops\Virtual Desktops.exe C:\Programme\Windows Live\Contacts\wlcomm.exe C:\Programme\ICQ6.5\ICQ.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TeamViewer\Version4\TeamViewer.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\ping.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O1 - Hosts: 218.93.205 218.93.205 O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1 O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISB83FC356B7C0441F8A4DD71E088E7974_9_09_0428.MSI" TRANSFORMS="C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISB83FC356B7C0441F8A4DD71E088E7974_9_09_0428.MST" WISE_SETUP_EXE_PATH="c:\nvidia\displaydriver\190.38\international\PhysX_9.09.0428_SystemSoftware.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Virtual Desktops.lnk = C:\Programme\Vista & XP Virtual Desktops\Virtual Desktops.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{F3E762EE-2D39-427A-8CC4-D37B81811E25}: NameServer = 192.168.178.1 O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe -- End of file - 4122 bytes Außerdem habe ich mal ein wenig weiter über die Daten nachgeschaut: sys.zief.pl [218.93.205.24] Das ist ein Server der in China steht! ich schätze der wird als proxy benutzt. Außerdem bin ich nicht der einziege der ein problem mit diesen Sachen hat. Wer bei googel mal ein bisschen sucht, findet ein paar beiträge in Forenmit Hacked by 218.93.205.24 und dergleichen! Scheint also eine größere Sache zu sein. Nun habe ich noch ein wenig weiter gegoogelt und bin auf folgende Seite gestoßen: http://cgi.mtc.sri.com/popups/binari...4dccd1177.html Wie es scheint sind folgende Datein infiziert: 2.tmp, 3.tmp, accwiz.exe, actmovie.exe, agentsvr.exe, ahui.exe, alg.exe, arp.exe, asr_fmt.exe, asr_ldm.exe, at.exe, atmadm.exe, attrib.exe, bootcfg.exe, bootok.exe, bootvrfy.exe, cacls.exe, calc.exe, charmap.exe, chkdsk.exe, chkntfs.exe, cidaemon.exe, cipher.exe, cisvc.exe, ckcnv.exe, cleanmgr.exe, cliconfg.exe, clipbrd.exe, clipsrv.exe, cmdl32.exe, cmmon32.exe, cmstp.exe, compact.exe, comp.exe, comrepl.exe, conime.exe, control.exe, convert.exe, cscript.exe, ctfmon.exe, dcomcnfg.exe, ddeshare.exe, defrag.exe, dfrgfat.exe, dfrgntfs.exe, diantz.exe, diskpart.exe, diskperf.exe, dllhost.exe, dllhst3g.exe, dmadmin.exe, dmremote.exe, doskey.exe, dplaysvr.exe, dpnsvr.exe, dpvsetup.exe, driverquery.exe, drwtsn32.exe, dumprep.exe, dvdplay.exe, dvdupgrd.exe, dxdiag.exe, esentutl.exe, eudcedit.exe, eventcreate.exe, eventtriggers.exe, eventvwr.exe, expand.exe, extrac32.exe, fc.exe, find.exe, findstr.exe, finger.exe, fixmapi.exe, fontview.exe, forcedos.exe, freecell.exe, fsutil.exe, ftp.exe, getmac.exe, gpresult.exe, gpupdate.exe, grpconv.exe, HelpCtr.exe, help.exe, HelpHost.exe, HelpSvc.exe, hh.exe, hostname.exe, ie4uinit.exe, iexpress.exe, imapi.exe, ipconfig.exe, ipsec6.exe, ipv6.exe, ipxroute.exe, label.exe, lights.exe, lnkstub.exe, locator.exe, lodctr.exe, logagent.exe, logman.exe, logoff.exe, logon.scr, logonui.exe, lpq.exe, lpr.exe, magnify.exe, makecab.exe, migload.exe, migpwd.exe, migwiz_a.exe, migwiz.exe, mmc.exe, mnmsrvc.exe, mobsync.exe, mofcomp.exe, mountvol.exe, mplay32.exe, mpnotify.exe, mqbkup.exe, mqsvc.exe, mqtgsvc.exe, mrinfo.exe, msconfig.exe, msdtc.exe, msg.exe, mshearts.exe, mshta.exe, msiexec.exe, msoobe.exe, mspaint.exe, msswchx.exe, mstinit.exe, mstsc.exe, narrator.exe, nbtstat.exe, nddeapir.exe, net1.exe, netdde.exe, net.exe, netsetup.exe, netsh.exe, netstat.exe, NOTEPAD.EXE, notiflag.exe, nppagent.exe, nslookup.exe, ntbackup.exe, ntsd.exe, ntvdm.exe, nwscript.exe, odbcad32.exe, odbcconf.exe, oobebaln.exe, openfiles.exe, osk.exe, osuninst.exe, packager.exe, pathping.exe, pentnt.exe, perfmon.exe, ping6.exe, print.exe, progman.exe, proquota.exe, proxycfg.exe, qappsrv.exe, qprocess.exe, qwinsta.exe, rasautou.exe, rasdial.exe, rasphone.exe, rcimlby.exe, rcp.exe, rdpclip.exe, rdsaddin.exe, rdshost.exe, recover.exe, relog.exe, replace.exe, reset.exe, rexec.exe, routemon.exe, rsh.exe, rsm.exe, rsmsink.exe, rsmui.exe, rsnotify.exe, rsopprov.exe, rstrui.exe, rsvp.exe, rtcshare.exe, runas.exe, rundll32.exe, runonce.exe, rwinsta.exe, savedump.exe, scardsvr.exe, schtasks.exe, scrcons.exe, scrnsave.scr, sdbinst.exe, secedit.exe, sessmgr.exe, sethc.exe, sfc.exe, shadow.exe, shmgrate.exe, shrpubw.exe, shutdown.exe, sigverif.exe, skeys.exe, smlogsvc.exe, sndrec32.exe, sndvol32.exe, sol.exe, sort.exe, spider.exe, srdiag.exe, ss3dfo.scr, ssbezier.scr, ssflwbox.scr, ssmarque.scr, ssmypics.scr, ssmyst.scr, sspipes.scr, ssstars.scr, sstext3d.scr, stimon.exe, subst.exe, SVCHOST.EXE, syncapp.exe, syskey.exe, sysocmgr.exe, systeminfo.exe, systray.exe, taskkill.exe, tasklist.exe, taskman.exe, taskmgr.exe, tcmsetup.exe, tcpsvcs.exe, telnet.exe, tftp.exe, tlntadmn.exe, tlntsess.exe, tlntsvr.exe, tourstart.exe, tracerpt.exe, tracert6.exe, tracert.exe, tscon.exe, tscupgrd.exe, tsdiscon.exe, tskill.exe, tsshutdn.exe, twunk_32.exe, typeperf.exe, UAC8d48.tmp, UAC8db5.tmp, UAC8eee.tmp, UACd.sys, unlodctr.exe, unsecapp.exe, UploadM.exe, upnpcont.exe, ups.exe, userinit.exe, usrmlnka.exe, usrprbda.exe, usrshuta.exe, utilman.exe, verifier.exe, vssadmin.exe, vssvc.exe, w32tm.exe, wbemtest.exe, wextract.exe, wiaacmgr.exe, winhlp32.exe, winmgmt.exe, winmine.exe, winmsd.exe, winver.exe, wmiadap.exe, wmiapsrv.exe, wmic.exe, wmiprvse.exe, wmpstub.exe, wpabaln.exe, wpnpinst.exe, write.exe, wuauclt.exe, wupdmgr.exe, xcopy.exe, cmd.exe, ftpupd.exe, spoolsv.exe, UAC3238.tmp, UACe2b0.tmp, UACe2c0.tmp, uxqjudnu.exe, UAC66af.tmp, UAC66bf.tmp, UACb6b3.tmp, , 010112010146118114.dat, 0101120101464849.dat, 4.tmp, 934fdfg34fgjf23, ld12.exe, olispzj.exe, UACcb21.tmp, UACcb40.tmp, UACcd05.tmp, VRT7.tmp, UACbded.tmp, UACbe89.tmp, UACc1f4.tmp Und Folgende Prozesse: 3.tmp, CMD.EXE, CSRSS.EXE, DLLHOST.EXE, EXPLORER.EXE, LSASS.EXE, MSMSGS.EXE, SERVICES.EXE, SPOOLSV.EXE, SVCHOST.EXE, WINLOGON.EXE, dwwin.exe, ld12.exe, pp10.exe Mehr habe ich bis jetzt nicht rausgefunden. Ich traue mich im Moment nicht meinen Pc neuzustarten, da ich angst habe das das nächste Windows schroot ist.. Allerdings weiß ich an dieser Stelle auch nicht was ich noch machen soll. Ich hoffe diese Vorarbeit Hilft dabei mein problem zu lösen. mfg Angelsboy PS. Sry wegen meiner Rechtschreibung, es ist schon ziemlich spät, ich bin recht schlecht drauf und habe sehr schnell getippt! Edit: Was ich vergessen habe 2 Minuten nachdem ich den Log mit HijackThis erstellt hatte kam eine meldung das die HijackThis.exe mit dem Virus W32/Virut.Gen infiziert sei. Kurz darauf habe ich den Task manager auch geöffnet und Antivir meldete er sei auch infiziert. Wie gesagt das verbeitet sich unglaubtlich schnell oo Geändert von Angelsboy (29.07.2009 um 00:15 Uhr) |
29.07.2009, 11:22 | #2 | |
/// Selecta Jahrusso | Hilfe bei großes Problem ( Windows bereits neu Installiert! )ICh brauch den ganzen Text nichtmal zu lesen. Zitat:
Schmeiss Dein BackUp aus dem Fenster und mach alles nocheinmal neu. Hierbei ist alles zu Spät Anleitung zum Neu aufsetzten Hier steht WARUM
__________________ |
29.07.2009, 12:49 | #3 |
| Hilfe bei großes Problem ( Windows bereits neu Installiert! ) ok Vielen dank für deine Antwort.
__________________ich habe mal unter cmd netstat -b eingegeben. Hier das ergebnis: http://jl.chura.pl/ Das scheint die adresse vom Virus zu sein Und die verbindung ist hergestelt, was denke ich nicht gut ist! Der rest teilweise habe ich keine ahnung was das ist! Ich denke ich werde mein System heute abend komplett neu aufsetzten, aber vorher formatiere ich sämtliche festplatten usb festplatten usb sticks usw. Alles wird platt gemacht. Sobald mein neues Windows da ist besorge ich mir kaspersky. Und vllt noch mehr. Werde mich da mal für Sicherheit am pc noch schlauer lesen. Mfg Angelsboy |
29.07.2009, 12:59 | #4 |
| Hilfe bei großes Problem ( Windows bereits neu Installiert! ) Ähm hi ich weiß nicht wie ich dir helfen könnte da ich mich selbst nicht damit auskenne aber könntest du mir verraten wie ich hier einen Thread erstelle?...schonmal danke im Vorraus |
29.07.2009, 19:39 | #5 |
| Hilfe bei großes Problem ( Windows bereits neu Installiert! ) Klick einfach, im entsprechenden Forum auf ... Unbenannt PS: Du weißt aber sicher, das "THREAD" soviel wie "Thema" bedeutet. Oder? |
30.07.2009, 11:34 | #6 |
| Hilfe bei großes Problem ( Windows bereits neu Installiert! ) So habe alles komplett formatiert und neu aufgesetzt und sofort Service Pack 3 usw installt. Verwende jetzt die 30 tage testversion von Gdata. Wenn ich mit ihr zufreiden bin kaufe ich die TotalCare. Außerdem besorg ich mir heute VmWare Workstation. Darauf werde ich dann verdächtige Datein usw herumprobieren. Mfg Angelsboy |
30.07.2009, 11:44 | #7 |
/// Selecta Jahrusso | Hilfe bei großes Problem ( Windows bereits neu Installiert! ) Man braucht kein AVP kaufen Bitte lade dir die Freeware Version von Avira 9 herunter und installiere es auf deinem Rechner Diese Reicht ^^ Mit etwas Hirn arbeiten und dann bist DU gut dabei. Keine Software kann den PC vor Dir selber schützen. Man liest sich
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
30.07.2009, 12:21 | #8 |
| Hilfe bei großes Problem ( Windows bereits neu Installiert! ) Ich schau mal was ich mach, aber danke. Hab jetzt nochmal nen Scan mit HijackThis gemacht. Schaut ihn mal an: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:21:00, on 30.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\G DATA\TotalCare\AVK\AVKService.exe C:\Programme\G DATA\TotalCare\AVK\AVKWCtl.exe C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe C:\Programme\G DATA\TotalCare\Firewall\GDFwSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\G DATA\TotalCare\Firewall\GDFirewallTray.exe C:\Programme\G DATA\TotalCare\AVKTray\AVKTray.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE C:\PROGRA~1\ICQ6.5\ICQ.exe C:\Programme\Windows Live\Messenger\msnmsgr.exe C:\Programme\Windows Live\Contacts\wlcomm.exe C:\Programme\G DATA\TotalCare\AVK\AVK.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\TotalCare\Webfilter\AVKWebIE.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\TotalCare\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA\TotalCare\Firewall\GDFirewallTray.exe O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\TotalCare\AVKTray\AVKTray.exe O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - Global Startup: Logitech SetPoint.lnk = ? O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{91A6905A-3592-479F-A301-6C49169B0DDC}: NameServer = 192.168.178.1 O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - C:\Programme\G DATA\TotalCare\AVK\AVKService.exe O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - G Data Software AG - C:\Programme\G DATA\TotalCare\AVK\AVKWCtl.exe O23 - Service: G Data Backup Service - G Data Software AG - C:\Programme\G DATA\TotalCare\AVKBackup\AVKBackupService.exe O23 - Service: G Data Tuner Service - G Data Software AG - C:\Programme\G DATA\TotalCare\AVKTuner\AVKTunerService.exe O23 - Service: G Data Personal Firewall (GDFwSvc) - G Data Software AG - C:\Programme\G DATA\TotalCare\Firewall\GDFwSvc.exe O23 - Service: G Data Scanner (GDScan) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 5961 bytes Noch was schädliches da? oo :P Wenn bitte posten..^^ Mfg Angelsboy |
30.07.2009, 12:27 | #9 |
/// Selecta Jahrusso | Hilfe bei großes Problem ( Windows bereits neu Installiert! ) nö aber eines machen wir noch. Einträge mit HijackThis fixen Starte HijackThis-->do a scan only-->setze ein Häckchen bei den Einträgen aus der Code-Box Code:
ATTFilter O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll Rechner neu starten Muss MSN und ICQ mitstarten? wenn nein, dann diese ebenfalls fixen Code:
ATTFilter O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
30.07.2009, 12:59 | #10 |
| Hilfe bei großes Problem ( Windows bereits neu Installiert! ) Hi nochmals danke für deine Hilfe! Das Board hier ist echt gut. Habe den ersten Punkt gemacht und Icq und Msn sollen mit Windows starten. Das ok. Ich denke jetzt bin ich glücklich! Also vielen Dank! Das Problem ist gelöst fahre morgen für 14 tage weg. Melde mich dannach ncohmals ob wirklich alles weg ist! Mfg Angelsboy |
Themen zu Hilfe bei großes Problem ( Windows bereits neu Installiert! ) |
1.tmp, 8.tmp, antivir guard, aus sicherheitsgründen, avira, bho, calc.exe, computer, cscript.exe, desktop, dllhost.exe, downloadlink, drwtsn32.exe, fehler, festplatte, find.exe, finds, hijack, hijackthis, hkus\s-1-5-18, homepage, installation, internet, internet explorer, lan-kabel, logon.exe, mine.exe, mmc.exe, mozilla, msiexec, msiexec.exe, net framework, net.exe, net1.exe, nicht gefunden, notepad.exe, plagegeister aller art und deren bekämpfung, problem, proxy, rstrui.exe, scan, server, shadow.exe, sicherheitsgründe, sicherheitsgründen, system, twunk_32.exe, updates, ups.exe, userinit.exe, viren, vista, vlc media player, windows, windows xp, wscript.exe |