Ich habe beim hochfahren dieses winmngr.exe (die ich jetzt isoliert habe aber vorher war sie im autostart).
Hat das einer schon mal gehört ?
Ich habe mal ein logfile gemacht :

Logfile of HijackThis v1.97.7
Scan saved at 08:38:57, on 26.05.2004


Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MIXER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\EIGENE DATEIEN\PC SOFTWARE & TREIBER\ANTIDAILERSOFTWARE\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\RNATHCHK.EXE
C:\PROGRAMME\EUMEX 504PC USB\CAPICTRL.EXE
C:\COREL\GRAPHICS8\PROGRAMS\MFINDEXER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\EIGENE DATEIEN\PC SOFTWARE & TREIBER\ANTIDAILERSOFTWARE\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O1 - Hosts: 66.40.16.234 auto.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\EIGENE DATEIEN\PC SOFTWARE & TREIBER\ANTIDAILERSOFTWARE\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Windows Taskbar Manager] c:\windows\startmenü\programme\autostart\winmngr.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe"
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 504PC USB\Capictrl.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .qt: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab

</font><blockquote>Zitat:</font><hr />Original erstellt von missb4:
Logfile of HijackThis v1.97.7
Scan saved at 08:38:57, on 26.05.2004


Running processes:
...
</font>[/QUOTE]Da fehlt doch was! Warum löschst Du da was raus?
Schämst Du Diche Deiner (nichtupgedateten) Windows und IE-Version?


http://users.ece.gatech.edu/~owen/Re...0_root-kit.htm

[ 26. Mai 2004, 09:24: Beitrag editiert von: Shadow ]

was ist denn da jetzt das problem ?
wieso schämen ?
ich hatte mit den file rüberkopiert und da hab ich beim makieren die ganzen oberen reihen nicht drin gehabt. aber damit man sieht das es von heute ist hab ich dann doch noch die zeilen eingefügt. wenn das bei der antwort nötig ist kann ich die anderen zeilen auch noch mal kopieren. ich dachte die sind unwichtig !?



ps trotzdem danke für den link !

es ist SEHR wichtig welche Windows-Version vorliegt
(nicht jede Datei kann in jeder Windows-Version "legal" vorliegen.
Legal jetzt nicht im Sinne von Raubkopie oder nicht sondern ob eine Datei dieses Namens normalerweise dort vorhanden ist oder eben nicht. Einige Malware bedient sich eben "legaler" Namen und wenn diese Namen im falschen Windows vorkommen, sagt es schon viel.
Auch weitere Tipps sind Versionsabhängig.

Also bring mal dein Windows auf den neuesten Stand
Wäre auch nett wenn Du wenigsten schreiben würde ob mein ergooglter Link dir geholfen hat oder nicht. (wie gut ist dein Englisch?)

Und mach dir nichts draus, ich bin hier manchmal etwas ruppig *bg* wenn mich meine Board-Bremse nicht zurückpfeift *grüße an Nangie*

hi shadow
also mein englisch ist eigentlich ganz ok (nur wie gesat binich nicht so der pc profi und hab somit leider nicht alles verstanden).
ich hab den .exe file im startmenü weggelöscht und auch im regedit.exe
dann scheit es auch weg zu sein.
heute hatte ich das schon wieder...da steht dann wohl wenn man den pc hochfährt : verdächtige anwendung entdeckt (das programm ist wohl mit orgendwas gepackt upx oder so was ähnliches - habe es mir leider nicht aufgeschrieben)
und dann wird gefragt ob ich das programm öffnen lassen möchte !
sag ich natürlich immer "nein" !
und dann geh ich es einfach löschen.

ps : und wegen deinem ruppigen ton [img]graemlins/bussi.gif[/img] kein problem

</font><blockquote>Zitat:</font><hr />
Und mach dir nichts draus, ich bin hier manchmal etwas ruppig *bg* wenn mich meine Board-Bremse nicht zurückpfeift *grüße an Nangie*</font>[/QUOTE]

@missb4: interessant wäre, wer die meldung ausgibt und welche datei du immer löschst!

hi mav
also die warnung kommt in so einem windows fenster (roter kreis mit weissem kreuz) und da steht dann verdächtiges programm entdeckt unter....blablabla/autostart und das es mit einem upx scrambler gepackt wäre und ob ich es zulassen möcht !
da drücke ich immer nein und gehe es löschen.

heute hatte ich wieder eins unter einer anderen bezeichnung ...internat.exe
ist aber wenn man unter eigenschaften guckt immer vom gleichen "typ" wie schon winupdate.exe / msupdate.exe / winmngr.exe.