Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: ctfmon_pu.exe und iexplore.exe sabotieren System

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 30.09.2009, 17:21   #1
gonos
 
ctfmon_pu.exe und iexplore.exe sabotieren System - Frage

ctfmon_pu.exe und iexplore.exe sabotieren System



Hallo,
ich habe folgendes Problem;

wenn ich mein eingeschränktes Konto öffne tauchen zwei Fehlermeldungen auf
1. ctfmon_pu.exe und 2. iexplore.exe. Im Taskmanager werden unzählige dieser
Prozesse gestartet, wenn man einen Eintrag markiert fängt die Anzeige des Taskmgrs
an zu blinken. Es lassen sich keine Prozesse beenden. Ich habe schon ein Konto gelöscht
und als Ersatz ein neues angelegt, aber der Fehler tritt weiterhin auf. auf einem zweiten
Konto (admin - habs auch als eingeschränkt probiert) ist nichts auffälliges zu verzeichnen.

Antivir hat nichts zutage gefördert.

----------------------------------------------------------------------------------------------------
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2876
Windows 5.1.2600 Service Pack 3

30.09.2009 17:01:48
mbam-log-2009-09-30 (17-01-48).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|X:\|)
Durchsuchte Objekte: 227984
Laufzeit: 59 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\w32id (Spyware.OnlineGames) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www.losstarten.de/) Good: (http://www.Google.com) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{397F451E-DBA8-43EE-9D46-F478331B78F5}\RP145\A0063239.dll (Trojan.BHO) -> Quarantined and deleted successfully.






------------------------------------------------------------------------------------
HIER DIE LOG.txt:
------------------------------------------------------------------------------------

Logfile of random's system information tool 1.06 (written by random/random)
Run by onkel o at 2009-09-30 17:25:34
Microsoft Windows XP Professional Service Pack 3
System drive C: has 10 GB (41%) free of 25 GB
Total RAM: 2047 MB (83% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:25:47, on 30.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20978)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
F:\software\security\antivirus\Avira\AntiVir Desktop\sched.exe
F:\software\security\antivirus\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
F:\software\security\firewall\ZoneAlarm\zlclient.exe
F:\software\security\antivirus\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\onkel o\Desktop\RSIT.exe
C:\Programme\trend micro\onkel o.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://w*w.idgmedia.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\software\andere\java\bin\jp2ssv.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\software\security\firewall\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\software\andere\java\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "F:\software\security\antivirus\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "F:\software\security\trojaner board\ Malwarebytes Anti-Malware \mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [uTorrent] "F:\software\internet\utorrent\utorrent.exe"
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: JDownloader.exe.lnk = F:\software\internet\jddownloader\JDownloader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\software\office\MSoffice\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - F:\software\security\antivirus\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - F:\software\security\antivirus\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate1c9c51d1c1c8788) (gupdate1c9c51d1c1c8788) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: NMSAccessU - Unknown owner - F:\software\andere\brenn-programm\BurnAware Free\nmsaccessu.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4991 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Google Software Updater.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachine.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
AskBar BHO - C:\Programme\AskBarDis\bar\bin\askBar.dll [2008-11-18 333192]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll [2009-04-24 668656]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - F:\software\andere\java\bin\jp2ssv.dll [2009-02-19 35840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{3041d03e-fd4b-44e0-b742-2d9b88305f98} - Ask Toolbar - C:\Programme\AskBarDis\bar\bin\askBar.dll [2008-11-18 333192]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2006-11-17 577536]
"ZoneAlarm Client"=F:\software\security\firewall\ZoneAlarm\zlclient.exe [2008-07-09 919016]
"SunJavaUpdateSched"=F:\software\andere\java\bin\jusched.exe [2009-02-19 148888]
"avgnt"=F:\software\security\antivirus\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"RaidTool"=C:\Programme\VIA\RAID\raid_tool.exe [2004-10-11 589824]
" Malwarebytes Anti-Malware (reboot)"=F:\software\security\trojaner board\ Malwarebytes Anti-Malware \mbam.exe [2009-09-10 1312080]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"swg"=C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [2009-04-24 39408]
"uTorrent"=F:\software\internet\utorrent\utorrent.exe [2009-07-08 288048]

C:\Dokumente und Einstellungen\onkel o\Startmenü\Programme\Autostart
JDownloader.exe.lnk - F:\software\internet\jddownloader\JDownloader.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2008-05-10 236928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll [2008-05-10 133632]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\vsmon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"DisableStatusMessages"=0
"DisableCAD"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=255
"NoResolveTrack"=1
"NoResolveSearch"=1
"NoInstrumentation"=1
"NoStartMenuMFUprogramsList"=1
"NoSMMyPictures"=1
"NoSMMyDocs"=1
"StartMenuLogoff"=1
"ForceStartMenuLogoff"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"F:\hardware\Drucker\hp\Digital Imaging\bin\hpqtra08.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"F:\hardware\Drucker\hp\Digital Imaging\bin\hpqste08.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe"
"F:\hardware\Drucker\hp\Digital Imaging\bin\hpofxm08.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"F:\hardware\Drucker\hp\Digital Imaging\bin\hposfx08.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe"
"F:\hardware\Drucker\hp\Digital Imaging\bin\hposid01.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe"
"F:\hardware\Drucker\hp\Digital Imaging\bin\hpqscnvw.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"F:\hardware\Drucker\hp\Digital Imaging\bin\hpqkygrp.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"F:\hardware\Drucker\hp\Digital Imaging\bin\hpqCopy.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"F:\hardware\Drucker\hp\Digital Imaging\bin\hpfccopy.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"F:\hardware\Drucker\hp\Digital Imaging\bin\hpzwiz01.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"F:\hardware\Drucker\hp\Digital Imaging\Unload\HpqPhUnl.exe"="F:\hardware\Drucker\hp\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"F:\hardware\Drucker\hp\Digital Imaging\Unload\HpqDIA.exe"="F:\hardware\Drucker\hp\Digital Imaging\Unload\HpqDIA.exe:*:Enabled:hpqdia.exe"
"F:\hardware\Drucker\hp\Digital Imaging\bin\hpoews01.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe"
"F:\hardware\Drucker\hp\Digital Imaging\bin\hpqnrs08.exe"="F:\hardware\Drucker\hp\Digital Imaging\bin\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2009-09-30 17:25:34 ----D---- C:\rsit
2009-09-30 17:25:34 ----D---- C:\Programme\trend micro
2009-09-30 15:50:19 ----D---- C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Malwarebytes
2009-09-30 15:50:10 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-09-26 12:48:30 ----A---- C:\trace.ini
2009-09-26 12:47:33 ----A---- C:\WINDOWS\err.txt
2009-09-24 19:37:11 ----D---- C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Langenscheidt
2009-09-24 19:37:11 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Langenscheidt
2009-09-16 21:26:21 ----D---- C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\avidemux
2009-09-02 18:30:45 ----A---- C:\WINDOWS\system32\yv12vfw.dll
2009-09-02 18:30:45 ----A---- C:\WINDOWS\system32\i420vfw.dll
2009-09-02 18:30:45 ----A---- C:\WINDOWS\system32\devil.dll
2009-09-02 18:30:45 ----A---- C:\WINDOWS\system32\AVSredirect.dll
2009-09-02 18:30:45 ----A---- C:\WINDOWS\system32\avisynth.dll
2009-09-02 18:30:43 ----D---- C:\Programme\AviSynth 2.5
2009-09-02 18:30:26 ----RSH---- C:\WINDOWS\system32\nbDX.dll
2009-09-02 18:30:26 ----RSH---- C:\WINDOWS\system32\msfDX.dll
2009-09-02 18:30:26 ----RSH---- C:\WINDOWS\system32\flvDX.dll

======List of files/folders modified in the last 1 months======

2009-09-30 17:25:34 ----D---- C:\Programme
2009-09-30 17:18:39 ----D---- C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\uTorrent
2009-09-30 17:18:28 ----D---- C:\WINDOWS
2009-09-30 17:13:06 ----D---- C:\WINDOWS\system32
2009-09-30 17:12:49 ----D---- C:\WINDOWS\Temp
2009-09-30 17:11:14 ----SD---- C:\WINDOWS\Tasks
2009-09-30 17:11:03 ----D---- C:\WINDOWS\system32\CatRoot2
2009-09-30 17:09:49 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-09-30 16:29:49 ----D---- C:\WINDOWS\Internet Logs
2009-09-30 15:50:14 ----D---- C:\WINDOWS\system32\drivers
2009-09-30 15:43:14 ----D---- C:\WINDOWS\Debug
2009-09-30 14:27:39 ----SHD---- C:\WINDOWS\Installer
2009-09-30 14:27:39 ----HD---- C:\Config.Msi
2009-09-30 14:27:38 ----A---- C:\WINDOWS\ODBC.INI
2009-09-30 14:19:58 ----SHD---- C:\RECYCLER
2009-09-30 14:17:20 ----D---- C:\Dokumente und Einstellungen
2009-09-30 13:58:40 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2009-09-29 13:10:09 ----A---- C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\burnaware.ini
2009-09-17 19:07:54 ----D---- C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\dvdcss
2009-09-02 18:30:41 ----RSD---- C:\WINDOWS\Fonts

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK8;AMD-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2006-07-02 43520]
R1 Aspi32;Aspi32; C:\WINDOWS\system32\drivers\Aspi32.sys [2008-05-10 25244]
R1 avgio;avgio; \??\F:\software\security\antivirus\Avira\AntiVir Desktop\avgio.sys []
R1 avipbb;avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [2009-05-02 96104]
R1 kbdhid;Tastatur-HID-Treiber; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14720]
R1 KLIF;KLIF; C:\WINDOWS\system32\DRIVERS\klif.sys [2007-07-19 127768]
R1 ssmdrv;ssmdrv; C:\WINDOWS\system32\DRIVERS\ssmdrv.sys [2009-06-09 28520]
R1 vmm;Virtual Machine Monitor; \??\C:\WINDOWS\system32\Drivers\vmm.sys []
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2008-07-09 394952]
R2 avgntflt;avgntflt; C:\WINDOWS\system32\DRIVERS\avgntflt.sys [2009-08-05 55656]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2007-03-08 4027840]
R3 hidusb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
R3 mcdbus;Driver for MagicISO SCSI Host Controller; C:\WINDOWS\system32\DRIVERS\mcdbus.sys [2008-07-28 116736]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2008-05-10 12288]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2008-04-13 1897408]
R3 RTL8023xp;Realtek 10/100/1000 PCI NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys [2008-04-07 105088]
R3 usbccgp;Microsoft Standard-USB-Haupttreiber; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-14 20608]
R3 VPCNetS2;Virtual Machine Network Services Driver; C:\WINDOWS\system32\DRIVERS\VMNetSrv.sys [2008-02-05 59960]
S3 BIOSCHK;BIOSCHK; \??\C:\DOKUME~1\ONKELO~1\LOKALE~1\Temp\TII20.tmp\disk1\BIOSCHK.SYS []
S3 EverestDriver;Lavalys EVEREST Kernel Driver; \??\F:\software\andere\Everest Ultimate Edition v.4.60.1613 beta\kerneld.wnt []
S3 HPZid412;IEEE-1284.4 Driver HPZid412; C:\WINDOWS\system32\DRIVERS\HPZid412.sys [2006-04-13 49664]
S3 HPZipr12;Print Class Driver for IEEE-1284.4 HPZipr12; C:\WINDOWS\system32\DRIVERS\HPZipr12.sys [2006-04-13 16496]
S3 HPZius12;USB to IEEE-1284.4 Translation Driver HPZius12; C:\WINDOWS\system32\DRIVERS\HPZius12.sys [2006-04-13 21568]
S3 RTCore32;RTCore32; \??\F:\software\andere\right mark cpu\RTCore32.sys []
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-13 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2008-05-10 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2008-05-10 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planer; F:\software\security\antivirus\Avira\AntiVir Desktop\sched.exe [2009-06-09 108289]
R2 AntiVirService;Avira AntiVir Guard; F:\software\security\antivirus\Avira\AntiVir Desktop\avguard.exe [2009-08-05 185089]
R2 Pml Driver HPZ12;Pml Driver HPZ12; C:\WINDOWS\system32\HPZipm12.exe [2006-03-03 69632]
R2 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2008-07-09 75304]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 gupdate1c9c51d1c1c8788;Google Update Service (gupdate1c9c51d1c1c8788); C:\Programme\Google\Update\GoogleUpdate.exe [2009-04-24 133104]
S3 gusvc;Google Software Updater; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-04-24 183280]
S3 HP Status Server;HP Status Server; C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE [2004-10-16 73728]
S3 NMSAccessU;NMSAccessU; F:\software\andere\brenn-programm\BurnAware Free\nmsaccessu.exe [2008-05-03 71096]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 WinRM;Windows Remote Management (WS-Management); C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]

-----------------EOF-----------------

Alt 30.09.2009, 17:22   #2
gonos
 
ctfmon_pu.exe und iexplore.exe sabotieren System - Standard

ctfmon_pu.exe und iexplore.exe sabotieren System



Fortsetzung:


HIER DIE INFO.txt:





info.txt logfile of random's system information tool 1.06 2009-09-30 17:25:49

======Uninstall list======

7-Zip 4.65-->"F:\software\andere\packerprogramme\7zip\Uninstall.exe"
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
AMD Processor Driver-->C:\Programme\InstallShield Installation Information\{C151CE54-E7EA-4804-854B-F515368B0798}\setup.exe -runfromtemp -l0x0007 -removeonly
Ask Toolbar-->"C:\Programme\AskBarDis\unins000.exe"
Avidemux 2.5-->F:\software\videobearbeitung\avidemux\Avidemux 2.5\uninstall.exe
Avira AntiVir Personal - Free Antivirus-->F:\software\security\antivirus\Avira\AntiVir Desktop\setup.exe /REMOVE
BurnAware Free 2.3.0-->"F:\software\andere\brenn-programm\BurnAware Free\unins000.exe"
CCleaner (remove only)-->"F:\software\security\trojaner board\ccleaner\uninst.exe"
Foxit Reader-->F:\software\andere\foxit pdf reader\Foxit Reader\Uninstall.exe
Free FLV Converter V 5.9-->"F:\software\videobearbeitung\mp4player amv\unins000.exe"
GoldWave v5.14-->"F:\software\music\goldwave\GoldWave\unstall.exe" "GoldWave v5.14" "F:\software\music\goldwave\GoldWave\unstall.log"
Google Earth-->MsiExec.exe /X{548EAC70-EE00-11DD-908C-005056806466}
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Updater-->"C:\Programme\Google\Google Updater\GoogleUpdater.exe" -uninstall
HijackThis 2.0.2-->"C:\Programme\trend micro\HijackThis.exe" /uninstall
Hotfix für Windows XP (KB942288-v3)-->"C:\WINDOWS\$NtUninstallKB942288-v3$\spuninst\spuninst.exe"
HP Photosmart, Officejet and Deskjet 7.0.A-->F:\hardware\Drucker\hp\Digital Imaging\{BDBE2F3E-42DB-4d4a-8CB1-19BA765DBC6C}\setup\hpzscr01.exe -datfile hposcr11.dat
Imikimi Plugin-->"F:\software\internet\imikimi\uninstall.exe"
Internet Explorer 7-->C:\Programme\Internet Explorer\iexplore.exe
IrfanView (remove only)-->F:\software\bildbearbeitung\irfanview\iv_uninstall.exe
Java(TM) 6 Update 12-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216012FF}
Lame ACM MP3 Codec-->C:\WINDOWS\system32\rundll32.exe setupapi,InstallHinfSection Remove_LameMP3 132 C:\WINDOWS\INF\LameACM.inf
Langenscheidt Vokabeltrainer 4.0 Englisch-->MsiExec.exe /I{D6FBA785-DF2D-48C5-B238-40ABBD8EB780}
Magic ISO Maker v5.5 (build 0276)-->F:\software\andere\BRENN-~1\magiciso\UNWISE.EXE F:\software\andere\BRENN-~1\magiciso\INSTALL.LOG
MagicDisc 2.7.105-->F:\software\andere\BRENN-~1\MAGICD~1\UNWISE.EXE F:\software\andere\BRENN-~1\MAGICD~1\INSTALL.LOG
Malwarebytes' Anti-Malware-->"F:\software\security\trojaner board\ Malwarebytes Anti-Malware \unins000.exe"
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft Tool Web Package : EXTRACT.EXE-->MsiExec.exe /X{D52A721B-E44C-4AD7-AD4F-29D83144384B}
Microsoft Virtual PC 2007 SP1-->MsiExec.exe /X{AD483998-2E9A-4405-83FF-6E503AF49CBB}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
MKVtoolnix 2.9.8-->F:\software\videobearbeitung\mkvtoolnix\uninst.exe
Mozilla Firefox (3.5.3)-->F:\software\internet\ffox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.23)-->F:\software\internet\thunderbird\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 6.0 Parser (KB927977)-->MsiExec.exe /I{5A710547-B58E-488B-828D-CA9A25A0533C}
Nero 8 Micro-->"F:\software\andere\brenn-programm\nero\unins000.exe"
nLite 1.4.9.1-->"F:\software\andere\nlite\unins000.exe"
OCR Software by I.R.I.S 7.0-->F:\hardware\Drucker\hp\Digital Imaging\OCR\hpzscr01.exe -datfile hpqbud11.dat
QuickPar 0.9-->F:\software\andere\packerprogramme\quickpar\uninst.exe
Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" -l0x7 -removeonly
Sereby's XP SP3 Updatepack Version 3.8.4.1-->msiexec.exe
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)-->"C:\WINDOWS\ie7updates\KB961260-IE7\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows Media Player 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923561)-->"C:\WINDOWS\$NtUninstallKB923561$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952004)-->"C:\WINDOWS\$NtUninstallKB952004$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB953155)-->"C:\WINDOWS\$NtUninstallKB953155$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB954600)-->"C:\WINDOWS\$NtUninstallKB954600$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956572)-->"C:\WINDOWS\$NtUninstallKB956572$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956802)-->"C:\WINDOWS\$NtUninstallKB956802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB958687)-->"C:\WINDOWS\$NtUninstallKB958687$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB959426)-->"C:\WINDOWS\$NtUninstallKB959426$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960225)-->"C:\WINDOWS\$NtUninstallKB960225$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960715)-->"C:\WINDOWS\$NtUninstallKB960715$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB960803)-->"C:\WINDOWS\$NtUninstallKB960803$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961371)-->"C:\WINDOWS\$NtUninstallKB961371$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB961501)-->"C:\WINDOWS\$NtUninstallKB961501$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB968537)-->"C:\WINDOWS\$NtUninstallKB968537$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB969898)-->"C:\WINDOWS\$NtUninstallKB969898$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB970238)-->"C:\WINDOWS\$NtUninstallKB970238$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
SUPER © Version 2009.bld.36 (June 10, 2009)-->F:\software\VIDEOB~1\super\Setup.exe /remove /q0
SUPERAntiSpyware Professional-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
System Requirements Lab-->C:\Programme\SystemRequirementsLab\Uninstall.exe
Unlocker 1.8.7-->F:\software\andere\unlocker\uninst.exe
Update für Windows XP (KB955839)-->"C:\WINDOWS\$NtUninstallKB955839$\spuninst\spuninst.exe"
VIA Plattform-Geräte-Manager-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{20D4A895-748C-4D88-871C-FDB1695B0169}
VLC media player 0.9.8a-->F:\software\videobearbeitung\vlc\uninstall.exe
Windows Media Player 11 Slipstream-->C:\WINDOWS\INF\unregmp2.exe /HideWMP /SetShowState
Windows-Treiberpaket - Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /u C:\WINDOWS\system32\DRVSTORE\amdk8_C710CEED791003E4D635992B02471584893356A0\amdk8.inf
Windows-Treiberpaket - Advanced Micro Devices (AmdPPM) Processor (08/10/2007 1.0.0.0)-->C:\PROGRA~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe /u C:\WINDOWS\system32\DRVSTORE\amdppm_C66586B319F61C772BA2DAB141D0FE08F299F411\amdppm.inf
Xvid 1.1.3 final uninstall-->"F:\software\videobearbeitung\xvid\Xvid\unins000.exe"
ZoneAlarm-->F:\software\security\firewall\ZoneAlarm\zauninst.exe

Securitycenter WMI appears to be broken

======System event log======

Computer Name: SHOCKWAVE
Event Code: 26
Message: Anwendungspopup: ctfmon_pu.exe - Fehler in Anwendung: Die Anwendung konnte nicht richtig initialisiert werden (0xc0000142). Klicken Sie auf "OK", um die Anwendung zu beenden.

Record Number: 17150
Source Name: Application Popup
Time Written: 20090828132649.000000+120
Event Type: Informationen
User:

Computer Name: SHOCKWAVE
Event Code: 26
Message: Anwendungspopup: ctfmon_pu.exe - Fehler in Anwendung: Die Anwendung konnte nicht richtig initialisiert werden (0xc0000142). Klicken Sie auf "OK", um die Anwendung zu beenden.

Record Number: 17149
Source Name: Application Popup
Time Written: 20090828132649.000000+120
Event Type: Informationen
User:

Computer Name: SHOCKWAVE
Event Code: 26
Message: Anwendungspopup: ctfmon_pu.exe - Fehler in Anwendung: Die Anwendung konnte nicht richtig initialisiert werden (0xc0000142). Klicken Sie auf "OK", um die Anwendung zu beenden.

Record Number: 17148
Source Name: Application Popup
Time Written: 20090828132649.000000+120
Event Type: Informationen
User:

Computer Name: SHOCKWAVE
Event Code: 26
Message: Anwendungspopup: ctfmon_pu.exe - Fehler in Anwendung: Die Anwendung konnte nicht richtig initialisiert werden (0xc0000142). Klicken Sie auf "OK", um die Anwendung zu beenden.

Record Number: 17147
Source Name: Application Popup
Time Written: 20090828132649.000000+120
Event Type: Informationen
User:

Computer Name: SHOCKWAVE
Event Code: 26
Message: Anwendungspopup: ctfmon_pu.exe - Fehler in Anwendung: Die Anwendung konnte nicht richtig initialisiert werden (0xc0000142). Klicken Sie auf "OK", um die Anwendung zu beenden.

Record Number: 17146
Source Name: Application Popup
Time Written: 20090828132649.000000+120
Event Type: Informationen
User:

=====Application event log=====

Computer Name: SHOCKWAVE
Event Code: 0
Message:
Record Number: 2173
Source Name: gupdate1c9c51d1c1c8788
Time Written: 20090812083915.000000+120
Event Type: Informationen
User:

Computer Name: SHOCKWAVE
Event Code: 4096
Message: Der AntiVir Dienst wurde erfolgreich gestartet!

Record Number: 2172
Source Name: Avira AntiVir
Time Written: 20090812083901.000000+120
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: SHOCKWAVE
Event Code: 8
Message: Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben.
.

Record Number: 2171
Source Name: crypt32
Time Written: 20090812083859.000000+120
Event Type: Fehler
User:

Computer Name: SHOCKWAVE
Event Code: 0
Message:
Record Number: 2170
Source Name: gusvc
Time Written: 20090812083845.000000+120
Event Type: Informationen
User:

Computer Name: SHOCKWAVE
Event Code: 0
Message:
Record Number: 2169
Source Name: gupdate1c9c51d1c1c8788
Time Written: 20090812083845.000000+120
Event Type: Informationen
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;F:\software\andere\brenn-programm\isobuster;F:\software\videobearbeitung\mkvtoolnix
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 12 Stepping 0, AuthenticAMD
"PROCESSOR_REVISION"=0c00
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"tvdumpflags"=8

-----------------EOF-----------------
__________________


Alt 01.10.2009, 20:07   #3
gonos
 
ctfmon_pu.exe und iexplore.exe sabotieren System - Pfeil

ctfmon_pu.exe und iexplore.exe sabotieren System



Habe gerade eine Meldung vom Antivir Guard bekommen:
---
In der Datei 'F:\System Volume Information\_restore{397F451E-DBA8-43EE-9D46-F478331B78F5}\RP145\A0065898.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
---
__________________

Alt 01.10.2009, 20:24   #4
Hausdoc
 
ctfmon_pu.exe und iexplore.exe sabotieren System - Standard

ctfmon_pu.exe und iexplore.exe sabotieren System



Hallo gonos.

Deaktivire mal die Systemwiederherstellung, starte dann den Rechner neu schalte die Systemwiederherstellung wieder ein.

Was wird dann noch gefunden??

Alt 02.10.2009, 07:39   #5
gonos
 
ctfmon_pu.exe und iexplore.exe sabotieren System - Standard

ctfmon_pu.exe und iexplore.exe sabotieren System



hab deinen Tip befolgt hausdoc, anschließen mit Antivir gescannt:

--->

Ende des Suchlaufs: Freitag, 2. Oktober 2009 08:20
Benötigte Zeit: 16:08 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

2324 Verzeichnisse wurden überprüft
86726 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
36 Dateien konnten nicht durchsucht werden
86690 Dateien ohne Befall
479 Archive wurden durchsucht
39 Warnungen
164 Hinweise
307736 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden


Alt 02.10.2009, 08:26   #6
gonos
 
ctfmon_pu.exe und iexplore.exe sabotieren System - Standard

ctfmon_pu.exe und iexplore.exe sabotieren System



habe nun nach dem gestrigen Fund ('TR/Trash.Gen') nochmal Malwarebytes antimalware gestartet, Ergebnis:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2891
Windows 5.1.2600 Service Pack 3

02.10.2009 09:32:55
mbam-log-2009-10-02 (09-32-55).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|F:\|G:\|I:\|J:\|K:\|L:\|M:\|X:\|)
Durchsuchte Objekte: 212885
Laufzeit: 56 minute(s), 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


-> Laufwerk J bis M ist ein angeschlossener Cardreader, I:\ ist ein virtuelles Laufwerk
Wie soll ich jetzt vorgehen?

Alt 04.10.2009, 09:28   #7
kira
/// Helfer-Team
 
ctfmon_pu.exe und iexplore.exe sabotieren System - Standard

ctfmon_pu.exe und iexplore.exe sabotieren System



Hallo und Herzlich Willkommen!

1.
Deinstalliere unter `Start→ Systemsteuereung→ Ändern/Entfernen...`
Code:
ATTFilter
Ask Toolbar - Adware  - Toolbar
         
2.
Falls noch existieren:
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
Code:
ATTFilter
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
         
3.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
  • `Start → ausführen` "cleanmgr" reinschreiben (ohne "") → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) müssen geleert werden→ "Ok"
  • `Start → ausführen` → %temp% reinschreiben (ohne "")→ "Ok" - - Ordnerinhalt überall markieren und löschen
  • für jedes Benutzerkonto bitte durchführen
  • anschließend den Papierkorb leeren

4.
reinige dein System mit Ccleaner:
  • "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

5.
Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit!
Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...

6.
poste erneut:
Trend Micro HijackThis-Logfile - Keine offenen Fenster, solang bis HijackThis läuft!!

7.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "Arbeitsplatz" aus:
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

Alt 04.10.2009, 10:34   #8
gonos
 
ctfmon_pu.exe und iexplore.exe sabotieren System - Standard

ctfmon_pu.exe und iexplore.exe sabotieren System



Ersteinmal vielen Dank für die Unterstützung.
Coverflow habe deine Anweiseungen befolgt, ein paar Ungereimtheiten gibt es:

cleanmgr ist nicht vorhanden bzw "konnte nicht gefunden werden"

hier der Log:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:30:37, on 04.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20978)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
F:\software\security\antivirus\Avira\AntiVir Desktop\sched.exe
C:\Programme\Google\Update\GoogleUpdate.exe
F:\software\security\antivirus\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
F:\software\security\firewall\ZoneAlarm\zlclient.exe
F:\software\andere\java\bin\jusched.exe
F:\software\security\antivirus\Avira\AntiVir Desktop\avgnt.exe
F:\software\internet\ffox\firefox.exe
F:\software\andere\java\bin\jucheck.exe
F:\software\andere\java\bin\javaw.exe
F:\software\security\trojaner board\hijack this\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = IDG Communications Media AG - das vernetzte Medienhaus - idg.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\software\andere\java\bin\jp2ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "F:\software\security\firewall\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\software\andere\java\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "F:\software\security\antivirus\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "F:\software\security\trojaner board\ Malwarebytes Anti-Malware \mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [uTorrent] "F:\software\internet\utorrent\utorrent.exe"
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: JDownloader.exe.lnk = F:\software\internet\jddownloader\JDownloader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\software\office\MSoffice\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - F:\software\security\antivirus\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - F:\software\security\antivirus\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate1c9c51d1c1c8788) (gupdate1c9c51d1c1c8788) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: NMSAccessU - Unknown owner - F:\software\andere\brenn-programm\BurnAware Free\nmsaccessu.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4581 bytes


zwischenzeitig hatte ich Antivir suchen lassen und bekam nen Fund:

--->

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'E:\' <BMS>
Beginne mit der Suche in 'F:\' <programmos>
F:\software\internet\jddownloader\tools\windows\kikin\kikin_installer.exe
[0] Archivtyp: NSIS
--> ProgramFilesDir/[UnknownDir]/components/kikin.dll.tmp
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.Gen2
Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht geöffnet werden!
Systemfehler [1005]: Auf dem Datenträger befindet sich kein erkanntes Dateisystem.
Beginne mit der Suche in 'X:\' <Volume>

Beginne mit der Desinfektion:
F:\software\internet\jddownloader\tools\windows\kikin\kikin_installer.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b335eed.qua' verschoben!


Ende des Suchlaufs: Sonntag, 4. Oktober 2009 10:36
Benötigte Zeit: 36:12 Minute(n)


onlinescann folgt.

Geändert von gonos (04.10.2009 um 10:42 Uhr)

Alt 04.10.2009, 14:30   #9
gonos
 
ctfmon_pu.exe und iexplore.exe sabotieren System - Standard

ctfmon_pu.exe und iexplore.exe sabotieren System



ok, hier das online-scan Ergebnis:

PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 4. Oktober 2009 15:34:30
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 4/10/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 2907770
Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Erweiterte
Archive untersuchen ja
Mail-Datenbanken untersuchen ja
Untersuchungsobjekt Arbeitsplatz
C:\
D:\
E:\
F:\
G:\
I:\
J:\
K:\
L:\
M:\
X:\
Untersuchungsergebnisse
Untersuchte Objekte insgesamt 116844
Viren gefunden 1
Infizierte Objekte gefunden 3
Verdächtige Objekte gefunden 0
Untersuchungszeit 01:54:39

Name des infizierten Objekts Virusname Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\avguard.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\History\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\cookies.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\cookies.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\downloads.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\permissions.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\places.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\41t8zz2y.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\Lokale Einstellungen\Temp\etilqs_AJ7ZZvFTVS7gJR1VFlcF Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\onkel o\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{397F451E-DBA8-43EE-9D46-F478331B78F5}\RP2\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\SHOCKWAVE.ldb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\EventForwarding-Operational.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\fidbox.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\fidbox.idx Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT0126e.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT01271.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
F:\software\videobearbeitung\mp4player amv\FreeFLVConverter.exe Infizierte Objekte: Trojan-Downloader.Win32.Banload.aell übersprungen
F:\software\videobearbeitung\mp4player amv\Setup59_FreeFlvConverter.exe/file31 Infizierte Objekte: Trojan-Downloader.Win32.Banload.aell übersprungen
F:\software\videobearbeitung\mp4player amv\Setup59_FreeFlvConverter.exe Inno: infiziert - 1 übersprungen
F:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
F:\System Volume Information\_restore{397F451E-DBA8-43EE-9D46-F478331B78F5}\RP2\change.log Das Objekt ist gesperrt übersprungen
X:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
Die Untersuchung wurde abgeschlossen.

Alt 04.10.2009, 23:13   #10
kira
/// Helfer-Team
 
ctfmon_pu.exe und iexplore.exe sabotieren System - Standard

ctfmon_pu.exe und iexplore.exe sabotieren System



hi

1.
→ besuche die Seite von virustotal und die Datei/en aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
*Tipps für die Suche nach Dateien*
Code:
ATTFilter
F:\software\videobearbeitung\mp4player amv\FreeFLVConverter.exe 
F:\software\videobearbeitung\mp4player amv\Setup59_FreeFlvConverter.exe/file31 
F:\software\videobearbeitung\mp4player amv\Setup59_FreeFlvConverter.exe 
         
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1):

2.
  • lade Dir SUPERAntiSpyware FREE Edition herunter.
  • installiere das Programm und update online.
  • starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
  • setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
  • anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
  • auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
  • um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
  • drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

Geändert von kira (04.10.2009 um 23:19 Uhr)

Alt 05.10.2009, 20:09   #11
gonos
 
ctfmon_pu.exe und iexplore.exe sabotieren System - Standard

ctfmon_pu.exe und iexplore.exe sabotieren System



ja servus:

nr1:

--->

Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.10.05 Trojan-Downloader.Win32.Banload!IK
AhnLab-V3 5.0.0.2 2009.10.05 Win-Trojan/Banload.653704
AntiVir 7.9.1.33 2009.10.05 -
Antiy-AVL 2.0.3.7 2009.10.05 -
Authentium 5.1.2.4 2009.10.05 W32/Downldr2.FUAM
Avast 4.8.1351.0 2009.10.04 -
AVG 8.5.0.420 2009.10.04 Downloader.Banload.ALXQ
BitDefender 7.2 2009.10.05 -
CAT-QuickHeal 10.00 2009.10.05 TrojanDownloader.Banload.aell
ClamAV 0.94.1 2009.10.05 -
Comodo 2519 2009.10.05 -
DrWeb 5.0.0.12182 2009.10.05 -
eSafe 7.0.17.0 2009.10.05 Win32.SusComPack
eTrust-Vet 31.6.6777 2009.10.05 -
F-Prot 4.5.1.85 2009.10.05 W32/Downldr2.FUAM
F-Secure 8.0.14470.0 2009.10.05 Trojan-Downloader.Win32.Banload.aell
Fortinet 3.120.0.0 2009.10.05 -
GData 19 2009.10.05 -
Ikarus T3.1.1.72.0 2009.10.05 Trojan-Downloader.Win32.Banload
Jiangmin 11.0.800 2009.10.05 TrojanDownloader.Banload.accs
K7AntiVirus 7.10.862 2009.10.05 Trojan-Downloader.Win32.Banload.aell
Kaspersky 7.0.0.125 2009.10.05 Trojan-Downloader.Win32.Banload.aell
McAfee 5762 2009.10.05 Generic Downloader.x!dz
McAfee+Artemis 5762 2009.10.05 Generic Downloader.x!dz
McAfee-GW-Edition 6.8.5 2009.10.05 Heuristic.LooksLike.Win32.SuspiciousPE.J
Microsoft 1.5101 2009.10.05 TrojanDownloader:Win32/Troxen!rts
NOD32 4482 2009.10.05 probably a variant of Win32/TrojanDownloader.Agent
Norman 6.01.09 2009.10.05 W32/DLoader.UUNI
nProtect 2009.1.8.0 2009.10.05 -
Panda 10.0.2.2 2009.10.05 Trj/CI.A
PCTools 4.4.2.0 2009.10.05 -
Prevx 3.0 2009.10.05 -
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.10.05 -
Sunbelt 3.2.1858.2 2009.10.05 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.10.05 Downloader
TheHacker 6.5.0.2.029 2009.10.05 -
TrendMicro 8.950.0.1094 2009.10.05 -
VBA32 3.12.10.11 2009.10.05 suspected of Trojan-Downloader.VB.28
ViRobot 2009.10.5.1970 2009.10.05 -
VirusBuster 4.6.5.0 2009.10.05 Trojan.DL.Banload.AQWI
Additional information
File size: 653704 bytes
MD5...: b1f14c8381adabf6870c4ac0e96ed11e
SHA1..: a58ec02197d367cd215cfc6648dd8e279c43ef98
SHA256: 8e1c628d1a6463123ac9ebe322b92d7bb6b11ecbddf7b1bf812d15ac5403c80b
ssdeep: 12288:CFniJozL5IViK6D+77s5DBRzOsOJziJCIWmypUcWLASdrCvSq5:IiJyuf6
DuYvRjczWCIWmypUcWs6d6
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1ce000
timedatestamp.....: 0x4926c89e (Fri Nov 21 14:41:34 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1be014 0x83000 7.98 4a86a9e486b98350463d709ac25d8c7d
.data 0x1c0000 0xb084 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x1cc000 0x2000 0x2000 2.78 f872462979fe5164b7b7cb79a3530beb
.perplex 0x1ce000 0x18988 0x18988 7.95 a8b2c89a283ab0d620609c96e683eec1

( 1 imports )
> USER32.DLL: MessageBoxA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Koyote Soft
copyright....: Koyote Soft - 2008
product......: Tube Finder - Free FLV Converter
description..: Tube Finder - Free FLV Converter
original name: FreeFLVConverter.exe
internal name: FreeFLVConverter
file version.: 5.09
comments.....: TubeFinder - Free FLV Converter
signers......: -
signing date.: -
verified.....: Unsigned


nr.3 (die zweite: Setup59_FreeFlvConverter.exe/file31 wird nicht angenommen -> VirusTotal sagt "Dateiname ist Ungültig")


-->

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.10.05 -
AhnLab-V3 5.0.0.2 2009.10.05 -
AntiVir 7.9.1.33 2009.10.05 -
Antiy-AVL 2.0.3.7 2009.10.05 -
Authentium 5.1.2.4 2009.10.05 -
Avast 4.8.1351.0 2009.10.04 -
AVG 8.5.0.420 2009.10.04 -
BitDefender 7.2 2009.10.05 -
CAT-QuickHeal 10.00 2009.10.05 -
ClamAV 0.94.1 2009.10.05 -
Comodo 2519 2009.10.05 -
DrWeb 5.0.0.12182 2009.10.05 -
eSafe 7.0.17.0 2009.10.05 -
eTrust-Vet 31.6.6777 2009.10.05 -
F-Prot 4.5.1.85 2009.10.05 -
F-Secure 8.0.14470.0 2009.10.05 Trojan-Downloader.Win32.Banload.aell
Fortinet 3.120.0.0 2009.10.05 -
GData 19 2009.10.05 -
Ikarus T3.1.1.72.0 2009.10.05 -
Jiangmin 11.0.800 2009.10.05 -
K7AntiVirus 7.10.862 2009.10.05 -
Kaspersky 7.0.0.125 2009.10.05 Trojan-Downloader.Win32.Banload.aell
McAfee 5762 2009.10.05 -
McAfee+Artemis 5762 2009.10.05 -
McAfee-GW-Edition 6.8.5 2009.10.05 -
Microsoft 1.5101 2009.10.05 TrojanDownloader:Win32/Troxen!rts
NOD32 4482 2009.10.05 probably a variant of Win32/TrojanDownloader.Agent
Norman 6.01.09 2009.10.05 -
nProtect 2009.1.8.0 2009.10.05 -
Panda 10.0.2.2 2009.10.05 Trj/CI.A
PCTools 4.4.2.0 2009.10.05 -
Prevx 3.0 2009.10.05 -
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.10.05 -
Sunbelt 3.2.1858.2 2009.10.05 -
Symantec 1.4.4.12 2009.10.05 -
TheHacker 6.5.0.2.029 2009.10.05 -
TrendMicro 8.950.0.1094 2009.10.05 -
VBA32 3.12.10.11 2009.10.05 -
ViRobot 2009.10.5.1970 2009.10.05 -
VirusBuster 4.6.5.0 2009.10.05 Trojan.DL.Banload.AQWI
weitere Informationen
File size: 6118206 bytes
MD5...: 01d5c352b3d539a27105063e38394f91
SHA1..: 5ef9e5c15a2cbd5778c6ee9948a7c1a93a54e8d0
SHA256: b35c05af944356b8aabbec746c81098ad26aa21cb631a6543036cd11d48d6041
ssdeep: 98304:MqZj7I74R42vAM4OPABOf1Et5zeAjZmdwZKnmEXCOaUIDKzTe0kKVE3OQY
+ZghGG:Zj7IuoM4OYA1+5zeANqmWZIDAmKVOOQE
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x9a54
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x916c 0x9200 6.56 f9c9dd3f4dceede0add0e7309253e897
DATA 0xb000 0x24c 0x400 2.73 4a56e30ca4646e6369d96abeacb0e6f0
BSS 0xc000 0xe48 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0xd000 0x950 0xa00 4.43 bb5485bf968b970e5ea81292af2acdba
.tls 0xe000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0xf000 0x18 0x200 0.20 9ba824905bf9c7922b6fc87a38b74366
.reloc 0x10000 0x8b4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x11000 0x2a00 0x2a00 4.43 27a267fd3c26b4a07960886144a5cc88

( 8 imports )
> kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, WideCharToMultiByte, TlsSetValue, TlsGetValue, MultiByteToWideChar, GetModuleHandleA, GetLastError, GetCommandLineA, WriteFile, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetSystemTime, GetFileType, ExitProcess, CreateFileA, CloseHandle
> user32.dll: MessageBoxA
> oleaut32.dll: VariantChangeTypeEx, VariantCopyInd, VariantClear, SysStringLen, SysAllocStringLen
> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey, OpenProcessToken, LookupPrivilegeValueA
> kernel32.dll: WriteFile, VirtualQuery, VirtualProtect, VirtualFree, VirtualAlloc, Sleep, SizeofResource, SetLastError, SetFilePointer, SetErrorMode, SetEndOfFile, RemoveDirectoryA, ReadFile, LockResource, LoadResource, LoadLibraryA, IsDBCSLeadByte, GetWindowsDirectoryA, GetVersionExA, GetUserDefaultLangID, GetSystemInfo, GetSystemDefaultLCID, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetFullPathNameA, GetFileSize, GetFileAttributesA, GetExitCodeProcess, GetEnvironmentVariableA, GetCurrentProcess, GetCommandLineA, GetACP, InterlockedExchange, FormatMessageA, FindResourceA, DeleteFileA, CreateProcessA, CreateFileA, CreateDirectoryA, CloseHandle
> user32.dll: TranslateMessage, SetWindowLongA, PeekMessageA, MsgWaitForMultipleObjects, MessageBoxA, LoadStringA, ExitWindowsEx, DispatchMessageA, DestroyWindow, CreateWindowExA, CallWindowProcA, CharPrevA
> comctl32.dll: InitCommonControls
> advapi32.dll: AdjustTokenPrivileges

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: InstallShield setup (65.9%)
Win32 Executable Generic (13.0%)
Win32 Dynamic Link Library (generic) (11.6%)
Win16/32 Executable Delphi generic (3.1%)
Generic Win/DOS Executable (3.0%)
packers (Kaspersky): ASPack, Swf2Swc, Swf2Swc
sigcheck:
publisher....: Koyote Soft
copyright....: Koyote Soft
product......: n/a
description..: Free FLV Converter Setup
original name: n/a
internal name: n/a
file version.:
comments.....: This installation was built with Inno Setup.
signers......: -
signing date.: -
verified.....: Unsigned



hier der Log:

--->

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 10/05/2009 at 09:08 PM

Application Version : 4.29.1002

Core Rules Database Version : 4146
Trace Rules Database Version: 2076

Scan type : Complete Scan
Total Scan Time : 00:16:52

Memory items scanned : 522
Memory threats detected : 0
Registry items scanned : 4271
Registry threats detected : 0
File items scanned : 8799
File threats detected : 3

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\onkel o\Cookies\onkel_o@doubleclick[1].txt
C:\Dokumente und Einstellungen\onkel o\Cookies\onkel_o@kaspersky.122.2o7[1].txt
C:\Dokumente und Einstellungen\onkel o\Cookies\onkel_o@atdmt[1].txt





Im Nachhinein macht mich die "59" an der "Setup59_FreeFlvConverter.exe" stutzig. Ich lade Programme gewöhnlich bei chip, pcwelt oder zdnet, manchmal softonic. Ich halte die für Vertrauenswürdig. Könnte es sein, dass die Datei nach dem Download infiziert wurde ("59")? Der Converter funktioniert übrigens problemlos.

Alt 06.10.2009, 00:43   #12
kira
/// Helfer-Team
 
ctfmon_pu.exe und iexplore.exe sabotieren System - Standard

ctfmon_pu.exe und iexplore.exe sabotieren System



die Frage ist auch, was Du damit konvertiert hast...?
würd ich deinstallieren, dann mit CCleaner das System reinigen und erneut herunterladen

Alt 06.10.2009, 18:26   #13
gonos
 
ctfmon_pu.exe und iexplore.exe sabotieren System - Standard

ctfmon_pu.exe und iexplore.exe sabotieren System



per CCleaner taucht folgender Eintrag nach dem Bereinigen der Registrierung immer wieder auf :
------------
Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
------------
könnte das verdächtig sein?


1. Welche Vorgehensweise würdest du mir im weiteren empfehlen?
So wie ich es sehe hab ich nen Trojandownloader eingefangen, und die gängige Empfehlung lautet Neuaufsetzen des Systems (z.b. laut System nach Infektion neu aufsetzen)

2. ich weis nicht ob es mit Malware zusammenhängt aber ich poste es einfach mal:
meine Internetverbindung bricht in unregelmäßigen Zeitabständen zusammen. Nach ein paar Sekunden läufts dann wieder. Manchmal ist auch ein DHCP-Client-Neustart nötig damit die Verbindung wieder aufgebaut wird.
Angeschlossen ans Netz über RTL816/8110 Ethernet NIC per Netzwerkkabel über Kabelmodem (Motorola)

3. Ich probiere öfters neue Programme aus (ich weis muss nicht unbedingt sein, ist aber trotzdem interressant), wie könnte ich dabei meine Sicherheit erhöhen, wäre Sandboxie eine Möglichkeit, sollte man gleich auch Firefox und Thunderbird darin betreiben?

4. wäre es besser Zonealarm durch die Windowsfirewall zu ersetzen?

Alt 06.10.2009, 19:27   #14
kira
/// Helfer-Team
 
ctfmon_pu.exe und iexplore.exe sabotieren System - Standard

ctfmon_pu.exe und iexplore.exe sabotieren System



Zitat:
Zitat von gonos Beitrag anzeigen
per CCleaner taucht folgender Eintrag nach dem Bereinigen der Registrierung immer wieder auf :
------------
Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
------------
könnte das verdächtig sein?
nein, gehört zu AntiVir, also stellt kein Problem dar

Zitat:
Zitat von gonos Beitrag anzeigen
1. Welche Vorgehensweise würdest du mir im weiteren empfehlen?
So wie ich es sehe hab ich nen Trojandownloader eingefangen, und die gängige Empfehlung lautet Neuaufsetzen des Systems (z.b. laut System nach Infektion neu aufsetzen)
meines Erachtens, so denke ich, nach einem Befall sollte das System neu aufgesetzt werden, wenn einmal "offen" war. Nur so kann man sagen, dass das System 100% sauber ist

Zitat:
Zitat von gonos Beitrag anzeigen
2. ich weis nicht ob es mit Malware zusammenhängt aber ich poste es einfach mal:
meine Internetverbindung bricht in unregelmäßigen Zeitabständen zusammen. Nach ein paar Sekunden läufts dann wieder. Manchmal ist auch ein DHCP-Client-Neustart nötig damit die Verbindung wieder aufgebaut wird.
Angeschlossen ans Netz über RTL816/8110 Ethernet NIC per Netzwerkkabel über Kabelmodem (Motorola)
Die Ursache kann vielfältig sein. Ständige install und deinstall v. div. Toolbars, Addons, Verkabelungsproblem..usw)
Dieses Problem vor dem Befall auch schon aufgetreten?

Zitat:
Zitat von gonos Beitrag anzeigen
3. Ich probiere öfters neue Programme aus (ich weis muss nicht unbedingt sein, ist aber trotzdem interressant), wie könnte ich dabei meine Sicherheit erhöhen, wäre Sandboxie eine Möglichkeit, sollte man gleich auch Firefox und Thunderbird darin betreiben?
Firefox und Thunderbird ja gute Idee, kann ich dringend empfehlen
Sandboxie kann auch nicht viel tun, wenn man:
  • schädliche ausführbaren Dateien und oder Programme runterlädt
  • betreibt Filesharing, P2P Netzerke...
  • Keygen, gecrackte Software installiert...
  • eine infizierte E-Mail öffnet...
  • Porn-Warez Seiten besucht...usw
  • falsch konfigurierten Firewall oder Anti-Viren-Software
  • ungepatchte Windows und IE - Patches und Sicherheits-Updates müssen regelmäßig eingespielt werden
  • müssen ständig neue Softwarekomponenten bearbeitet werden und das generell für alle installierten Tools/Programme auch (Java, Adobe usw)

** Ausserdem:
Normalerweise sollte bei einer Deinstallation ziemlich alles entfernt werden,was aber bei den meisten nicht der Fall ist bzw Resteinträge bleiben immer zurück
Nach einige Zeit besteht dann das Risiko, so dass dein System nicht mehr korrekt funktioniert
Es gilt für alle Programme, aber besonders für Firewall & Antiviren-Software, weil sie eben sehr tief ins System eingreifen müssen!

Zitat:
Zitat von gonos Beitrag anzeigen
4. wäre es besser Zonealarm durch die Windowsfirewall zu ersetzen?
Zone Alarm verlangsamt eigentlich das System erheblich, macht oft auch Probleme und wenn Du mit die richtige Einstellung & Konfiguration klar kommst, kann`s zu Probleme kommen

- Malwarebytes Anti-Malware und SUPERAntiSpyware - nicht mehr nötig, deinstallieren
- Kannst Du aus dem Autostart herausnehmen oder mit HijackThis fixen:
"Start→ ausführen→ "msconfig" (reinschreiben ohne ""→ OK" - it-academy.cc - pqtuning.de
Einfach dort den Haken herausnehmen, dann die Programme starten nicht mehr automatisch. (oder mit HijackThis fixen)
Du kannst aber jeder zeit manuell starten - (nach deinen Bedürfnissen anpassen, es ist immer Benutzerspezifisch,ein allgemein gültiges Rezept gibt es nicht)
Wird noch nach dem nächsten Neustart wieder ein Hinweisfenster erscheinen, da ist ein Haken setzen : `Meldung nicht mehr anzeigen und dieses Programm beim Windows-Star nicht mehr starten`
mit HJT fixen: alle Programme, Browser etc schließen→ HijackTis starten→ "Do a system scan only" anklicken→ Eintrag auswählen→ "Fix checked"klicken→ PC neu aufstarten
HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen

Code:
ATTFilter
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\software\andere\java\bin\jusched.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware  (reboot)] "F:\software\security\trojaner board\ Malwarebytes Anti-Malware \mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
O4 - HKCU\..\Run: [uTorrent] "F:\software\internet\utorrent\utorrent.exe"
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
         

Geändert von kira (06.10.2009 um 19:41 Uhr)

Alt 06.10.2009, 20:18   #15
gonos
 
ctfmon_pu.exe und iexplore.exe sabotieren System - Standard

ctfmon_pu.exe und iexplore.exe sabotieren System



Das Problem mit der Netzverbindung besteht schon immer. naja das Kabel ist auch ca. 12 Meter lang.


Ich werde dann demnächst neu aufsetzen, . und mein Sicherheitskonzept überdenken

es gibt ja genug Informationen hier...

eine Frage noch: wie könnte man am besten seine Daten-sammlung (mp3/Bilder/Dokumente) auf malwarefreiheit prüfen (zumindest teilweise), schließlich will man ja seine ganzen Fotos nicht schreddern.

Antwort

Themen zu ctfmon_pu.exe und iexplore.exe sabotieren System
1.exe, antivir guard, antivirus, ask toolbar, askbar, avgntflt.sys, avira, browser, cpu, desktop, einstellungen, excel, gupdate, helper, hijack.help, hijack.startpage, hijackthis, hkus\s-1-5-18, http://www.google.com, iexplore.exe, internet, internet explorer, jusched.exe, malwarebytes anti-malware, monitor, plug-in, problem, realtek, registrierungsschlüssel, registry, rundll, security.hijack, server, software, spyware.onlinegames, system, taskmanager, trojaner, trojaner board, virtual machine, windows xp




Ähnliche Themen: ctfmon_pu.exe und iexplore.exe sabotieren System


  1. iexplore.exe
    Log-Analyse und Auswertung - 26.07.2010 (12)
  2. Iexplore.exe !!
    Plagegeister aller Art und deren Bekämpfung - 21.11.2009 (16)
  3. 3 iexplore.exe !!!
    Plagegeister aller Art und deren Bekämpfung - 05.07.2009 (13)
  4. iexplore.exe
    Plagegeister aller Art und deren Bekämpfung - 26.05.2009 (12)
  5. Trojaner? IExplore.exe legt System lahm
    Log-Analyse und Auswertung - 12.04.2009 (1)
  6. Iexplore.exe
    Log-Analyse und Auswertung - 23.07.2008 (6)
  7. Iexplore.exe!
    Plagegeister aller Art und deren Bekämpfung - 10.06.2008 (4)
  8. iexplore.exe
    Log-Analyse und Auswertung - 24.05.2008 (1)
  9. iexplore.exe !?
    Log-Analyse und Auswertung - 18.05.2008 (6)
  10. Iexplore.exe
    Plagegeister aller Art und deren Bekämpfung - 23.12.2007 (3)
  11. Iexplore.exe
    Plagegeister aller Art und deren Bekämpfung - 01.10.2007 (7)
  12. iexplore.exe
    Log-Analyse und Auswertung - 28.07.2007 (2)
  13. Iexplore.exe
    Plagegeister aller Art und deren Bekämpfung - 24.07.2007 (1)
  14. iexplore.exe
    Log-Analyse und Auswertung - 27.08.2006 (3)
  15. iexplore.exe
    Log-Analyse und Auswertung - 01.08.2006 (3)
  16. iexplore.exe 2-mal
    Log-Analyse und Auswertung - 14.06.2006 (20)
  17. iexplore.exe!!
    Plagegeister aller Art und deren Bekämpfung - 28.04.2005 (5)

Zum Thema ctfmon_pu.exe und iexplore.exe sabotieren System - Hallo, ich habe folgendes Problem; wenn ich mein eingeschränktes Konto öffne tauchen zwei Fehlermeldungen auf 1. ctfmon_pu.exe und 2. iexplore.exe. Im Taskmanager werden unzählige dieser Prozesse gestartet, wenn man einen - ctfmon_pu.exe und iexplore.exe sabotieren System...
Archiv
Du betrachtest: ctfmon_pu.exe und iexplore.exe sabotieren System auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.