Hallo Forum,
ohne ersichtlichen Grund bekommt mein Sohn beim Aufruf des Taskmanagers die Meldung, dass dieser durch den Admin deaktiviert wurde.
Ich habe bisher keine Möglichkeit gefunden ihn zum Erscheinen zu bringen.
Virenscan + AdAware zeigen nichts negatives an.
Da mein Sohn vor einiger Zeit in einem Onlinespiel gehakt wurde, vermute ich, dass dennoch etwas auf dem Rechner verborgen ist.

Nun haben wir mit HijackThis einen Scan gemacht, nur fehlt mir die Erfahrung, um im Log etwas zu erkennen. Jetzt hoffe ich, dass Ihr Euch einmal das Logfile anseht oder mir anderweitig helfen könnt

Auf alle Fälle schon jetzt herzhaften Dank!!

Gruss
maschl

Logfile of HijackThis v1.99.1
Scan saved at 20:43:53, on 26.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Executive Software\DiskeeperWorkstation\DKService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\mHotkey.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\avmclient\bluefritz!.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
C:\Programme\Tibia\Tibia.exe
C:\Programme\Yahoo!\Messenger\YPager.exe
C:\Dokumente und Einstellungen\Schlehuber\Eigene Dateien\Downloads\tibia suit\tibia suit\tibia em sc20 (Sc06)\TibiaSuite.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\YServer.exe
D:\Downloads\Virus\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tibia.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz!.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {82DEF876-14E4-4CE5-9CA4-DE79A2EE46D2} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB094A2A-59E4-4F20-83F5-F5817099792C}: NameServer = 213.20.124.36 193.189.244.205
O17 - HKLM\System\CCS\Services\Tcpip\..\{C34D0372-973E-4002-A0DE-B4FEDC0F8818}: NameServer = 192.168.121.252,192.168.121.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\TELEDAT\de_serv.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperWorkstation\DKService.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

Hallo,

zum Problem mit dem Task-Manager -> http://www.wintotal.de/Tipps/Eintrag.php?TID=1026
Falls du nicht weißt, wie man in die Registry kommt : Win-Taste + R -> regedit-> Enter

Log ist meiner Meinung nach sauber, das heißt aber nicht, dass es das System auch ist.

Führe deshalb dies aus:
Lade eScan herunter und scanne dein System gemäß dieser Anleitung im abgesicherten Modus (alternativer Downloadlink).
Wichtig: Arbeite die einzelnen Schritte der Anleitung aufmerksam ab. eScan muss ins Verzeichnis c:\bases_x entpackt werden, eScan muss vor dem Scan aktualisiert werden und die Haken müssen so, wie es auf den Bildern zu sehen ist, gesetzt sein.
Speichere außerdem diese Datei mittels Rechtsklick-> "Ziel speichern unter..." auf deiner Festplatte. Führe sie nach dem Scan mit eScan aus (Doppelklick). Danach solltest du die Datei c:\eScan_neu.txt auf deiner Festplatte finden. Den Inhalt dieser Datei postest du dann bitte in diesen Thread.

Zitat:

Da mein Sohn vor einiger Zeit in einem Onlinespiel gehakt wurde, vermute ich, dass dennoch etwas auf dem Rechner verborgen ist.

Wie kommt ihr darauf? Wie hat sich das geäußert?

Zitat:

Zitat von Haui45

Wie kommt ihr darauf? Wie hat sich das geäußert?

Danke für die schnelle Antwort.

Ich habe es angenommen, da seit diesem Zeitpunkt das Problem mit dem Taskmanager auftritt. An etwas anderem können wir es nicht festmachen - ist, wie gesagt, nur eine Vermutung von mir.

Gruss
maschl

Ich halte es für ziemlich unwahrscheinlich
Wer sollte sich diese Mühe machen und warum auch...
Ich tippe eher auf Malware, die u.a. einen (oder mehrere) Einträge in der Registry verändert hat.

Sein Charakter im Onlinespiel wurde fremdgesteuert.

Ich habe leider keine bzw. wenig Ahnung von Online-Spielen. Kann es nicht sein, dass jemand an seine Zugangsdaten gelangt ist?

Wenn sich der PC wirklich unter fremder Kontrolle befindet (was man schlecht nachweisen kann) gibt's nur eins
-> http://faq.underflow.de/#SECTION000120000000000000000
-> http://www.trojaner-board.de/showpos...28&postcount=2


Führe erst mal den Scan durch, vielleicht weiß man dann mehr.

Machen wir!

Habe Dank für Deine Hilfe!!