hallochen an alle

von mir leider kein logfile ....

würd ja gern... aber wie im titel schon beschrieben kann ich weder normal noch im abgesicherten modus hijackthis öffnen.
da ich jeden 2-3 tag ad-aware und antivir durchlaufen ließ und mein system seit längerem keine beanstandung hatte hab ich zu meiner schande auch schon mindestens 1 monat kein HijackThis mehr laufen lassen und hatte auch nach dem letzten durchlauf soweit ich mich erinnere die backups und logs gelöscht.

ich habe folgendes nun schon durchexerziert....
wie gesagt im abgesicherten modus geht auch nichts....
aber da schon mal abgesichert offen war...durchlauf von antivir, ad-aware + stinger (alle programme auf dem neuesten stand)und alles hat absolut NICHT gemeckert...

anschliessend per "suche" sämtliche dateien und ordner mit dateinamen HijackThis gelöscht und neu aus dem i-net geladen ....
auch damit kein erfolg...
systemwiederherstellung auf einen früheren zeitpunkt zurückgesetzt (ca.1 monat) ohne erfolg...

und nun??
welche möglichkeiten hab ich noch??und warum geht die eieruhr kurz an und anschliessend passiert .........nichts

krieg ich mein hijack irgendwie wieder bzw. zum laufen??oder hab ich einen wirklich verzwicktes problem

bin für jede hilfe und jeden hinweis dankbar

ps.bitte leitet mich nicht auf englischsprachige seiten weiter....englisch und ich vertragen sich nicht...leider

Versuch folgendes:

Zitat:

Tipp: Lässt sich bedingt durch eine aktive Malware die HijackThis.exe nicht starten, bitte einfach letztgenannte z.B. in pruefung.com umbenennen und dann ausführen. -- Wichtig hierbei: Die Dateiendung "exe" muss durch "com" ersetzt werden!

Quelle: http://www.trojaner-board.de/51130-a...ijackthis.html

danke erstmal für die antwort aber leider....
die umbenennung hat zwar reibungslos geklappt aber öffnen lassen will sie sich trotzdem nicht....
*schnief*

da fällt mir noch als hinweis ein.....
ich hab grad im beitrag "pc wird immer komischer" was von festplattenscan gelesen......

jaaaaa ist mir in dem zusammenhang jetzt garnicht bewusst gewesen aber innerhalb der letzten 2 wochen hat mein pc vor dem hochfahren 2mal einen festplattenscan gemacht ....hab dem aber keine bedeutung beigemessen da alles reibungslos nach dem scan lief....
hat das vielleicht doch was mit dem problem zu tun??

Hallo,

wenn sich HjT "malwarebedingt" nicht starten lässt, kannst du stattdessen mal ein Silent Runners-Log posten (ist zwar englisch, aber nicht kompliziert: Datei mittels "Rechtsklick-> Speichern unter..." herunterladen -> Doppelklick auf die .vbs-Datei-> Meldung mit OK bestätigen, etwas warten, Meldung erneut bestätigen-> Startup Programs....txt posten)

Führe außerdem eScan aus und poste die Ergebnisse.

in freudiger erwartung weiterzukommen hab ich den silent runner downgeloadet aber beim doppelklick kommt nur eine blöde meldung das windows script host (ich glaub das war der wortlaut) deaktiviert ist....
und nu?? böhmische dörfer....wo kann ich das bitte aktivieren??

werde mich bis ich antwort bekomm mit dem escan schritt für schritt schon mal befassen....
und danke nochmals für die antwort

Vielleicht hilft dir das weiter -> http://www.all-about-pc.de/windows/t...asp?Windows&45

alles klar haui45...
hab nach der anweisung gemacht in der registrierung.....und nun kommt nur eine neue fehlermeldung mit der ich nichts anfangen kann....

this script requirest windows managment instrumentation to run

und jetzt?*dumm guck*

Du kannst mal folgendes probieren:
Start-> Ausführen-> "services.msc" -> [Eingabetaste] -> Rechtsklick auf "Windows-Verwaltungsinstrumentation" -> Eigenschaften-> Starttyp auf "Automatisch" setzen.

Hilft das?

hab nachgeschaut aber war schon auf automatisch.....
nach nochmaligem doppelklick auf das programm kam nur selbige fehlermeldung

werd jetzt im abgesicherten modus den escan machen vielleicht ist da ja schon was zu sehen....
also bis gleich....

fertig mit escan und dank haui`s hilfe hier die logfile:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Oct 14 20:18:05 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.
Fri Oct 14 20:39:25 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Fri Oct 14 21:09:44 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Oct 14 20:18:05 2005 => Offending file found: C:\WINDOWS\iun6002.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Oct 14 21:09:44 2005 => Total Virus(es) Found: 1
Fri Oct 14 21:09:44 2005 => Total Errors: 58
Fri Oct 14 21:09:44 2005 => Time Elapsed: 00:52:49
Fri Oct 14 21:09:44 2005 => Total Objects Scanned: 49251
Fri Oct 14 20:16:07 2005 => Virus Database Date: 2005/10/14
Fri Oct 14 21:09:44 2005 => Virus Database Date: 2005/10/14
Fri Oct 14 21:12:08 2005 => Virus Database Date: 2005/10/14
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


ps. mit dem silent runner komm ich leider nicht weiter wegen der oben beschriebenen fehlermeldung

komischerweise verursacht meine startseite bei mozilla jetzt eine auslastung von 100%...(bei fast jedem öffnen)
ansonsten.....*schnief* komm ich noch immer nicht an HijackThis ran...
kann mir denn niemand sagen was mit dem escan da gefunden wurde??

Lösche diese Datei C:\WINDOWS\iun6002.exe.

Poste ein Startdreck-Log, irgendwie müssen wir ja mal in deinen Autostart schauen.

reicht es wenn ich die windows datei normal lösche oder muss ich in abgesicherten modus...
hoffe das die reihenfolge jetzt nicht so wichtig ist hab schon log von startdreck:

StartDreck (build 2.1.7 public stable) - 2005-10-15 @ 13:09:02 (GMT +02:00)
Platform: Windows XP (Win NT 5.1.2600 )
Internet Explorer: 6.0.2600.0000
Logged in as mama at FAMILY

»Registry
»Run Keys
»Current User
»Run
*NBJ="C:\Programme\Ahead\Nero BackItUp\nbj.exe"
»RunOnce
»Default User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
*Microsoft AOL Instant Messenger=MSAOL32.exe
»RunOnce
»Local Machine
»Run
*Cmaudio=RunDll32 cmicnfg.cpl,CMICtrlWnd
*NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
*SunJavaUpdateSched=C:\Programme\Java\jre1.5.0\bin\jusched.exe
*nwiz=nwiz.exe /install
*NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
*NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe
*Zone Labs Client="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
*AVGCtrl=C:\Programme\AVPersonal\AVGNT.EXE /min
*Microsoft Works Update Detection=C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*Installed=1
*NoChange=1
+MAPI
*Installed=1
*NoChange=1
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
*Flag=
»RunServicesOnceEx
»File Associations (CR)
+.bat
*batfile="%1" %*
+.com
*comfile="%1" %*
+.exe
*exefile="%1" %*
+.hta
*htafile=C:\WINDOWS\System32\mshta.exe "%1" %*
+.htm
*FirefoxHTML=C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1"
+.html
*FirefoxHTML=C:\PROGRA~1\MOZILL~1\FIREFOX.EXE -url "%1"
+.js
*JSFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.jse
*JSEFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.pif
*piffile="%1" %*
+.reg
*regfile=regedit.exe "%1"
+.scr
*scrfile="%1" /S
+.txt
*txtfile=%SystemRoot%\system32\NOTEPAD.EXE %1
+.vbs
*VBSFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.vbe
*VBEFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.wsh
*WSHFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.wsf
*WSFFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.lnk
`lnkfile= [key or value does not exist]
»Browser Helper Objects (LM)
»Files
»Autostart Folders
»Current User
*C:\Dokumente und Einstellungen\mama\Startmenü\Programme\Autostart\desktop.ini
»Default User
*C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\desktop.ini
»Local Machine
*C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
*C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech Desktop Messenger.lnk
*C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
»INI-Files
»WIN.INI\[windows]
*LOAD=
*RUN=
»SYSTEM.INI\[boot]
*SHELL=Explorer.exe
»Text Files
*C:\boot.ini
*C:\msdos.sys
*C:\config.sys
*C:\WINDOWS\System32\config.nt
*C:\autoexec.bat
*C:\WINDOWS\System32\autoexec.nt
*C:\WINDOWS\wininit.ini
*C:\WINDOWS\System32\drivers\etc\hosts
»System/Drivers
»Running Processes
+0=<idle>
+4=<system>
+456=\SystemRoot\System32\smss.exe
+520=\??\C:\WINDOWS\system32\csrss.exe
+544=\??\C:\WINDOWS\system32\winlogon.exe
+588=C:\WINDOWS\system32\services.exe
+600=C:\WINDOWS\system32\lsass.exe
+760=C:\WINDOWS\system32\svchost.exe
+812=C:\WINDOWS\System32\svchost.exe
+896=C:\WINDOWS\System32\svchost.exe
+908=C:\WINDOWS\System32\svchost.exe
+1032=C:\WINDOWS\system32\spoolsv.exe
+1212=C:\WINDOWS\Explorer.EXE
+1528=C:\Programme\Java\jre1.5.0\bin\jusched.exe
+1568=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
+1576=C:\Programme\AVPersonal\AVGNT.EXE
+1716=C:\WINDOWS\System32\alg.exe
+1732=C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
+1744=C:\Programme\AVPersonal\AVWUPSRV.EXE
+1772=C:\WINDOWS\SYSTEM32\GEARSEC.EXE
+1808=C:\WINDOWS\System32\nvsvc32.exe
+1900=C:\WINDOWS\System32\wdfmgr.exe
+1940=C:\Programme\HHVcdV5Sys\VC5SecS.exe
+1952=C:\WINDOWS\system32\ZoneLabs\vsmon.exe
+1476=C:\Programme\Mozilla Firefox\firefox.exe
+484=C:\Dokumente und Einstellungen\mama\Eigene Dateien\downloads\für xp\startdreck217\StartDreck.exe
»NT Services
*Warndienst Alerter running auto
*Gatewaydienst auf Anwendungsebene ALG running on demand
*AntiVir Service AntiVirService running auto
*Anwendungsverwaltung AppMgmt - on demand
*Windows Audio AudioSrv running auto
*AntiVir Update AVWUpSrv running auto
*Intelligenter Hintergrundübertragungsdienst BITS running auto
*Computerbrowser Browser running auto
*C-DillaCdaC11BA C-DillaCdaC11BA - disabled
*Indexdienst cisvc - on demand
*Ablagemappe ClipSrv - on demand
*COM+-Systemanwendung COMSysApp - on demand
*Kryptografiedienste CryptSvc running auto
*DHCP-Client Dhcp running auto
*Verwaltungsdienst für die Verwaltung logischer dmadmin - on demand
`Datenträger
*Verwaltung logischer Datenträger dmserver running auto
*DNS-Client Dnscache running auto
*Fehlerberichterstattungsdienst ERSvc - disabled
*Ereignisprotokoll Eventlog running auto
*COM+-Ereignissystem EventSystem running on demand
*Kompatibilität für schnelle Benutzerumschaltung FastUserSwitchingCom - on demand
*GEARSecurity GEARSecurity running auto
*Hilfe und Support helpsvc running auto
*Eingabegerätezugang HidServ - disabled
*IMAPI-CD-Brenn-COM-Dienste ImapiService - disabled
*Server lanmanserver running auto
*Arbeitsstationsdienst lanmanworkstation running auto
*TCP/IP-NetBIOS-Hilfsprogramm LmHosts running auto
*Nachrichtendienst Messenger - disabled
*NetMeeting-Remotedesktop-Freigabe mnmsrvc - on demand
*Distributed Transaction Coordinator MSDTC - on demand
*Windows Installer MSIServer - on demand
*Netzwerk-DDE-Dienst NetDDE - on demand
*Netzwerk-DDE-Serverdienst NetDDEdsdm - on demand
*Anmeldedienst Netlogon - on demand
*Netzwerkverbindungen Netman running on demand
*NLA (Network Location Awareness) Nla running on demand
*NT-LM-Sicherheitsdienst NtLmSsp - on demand
*Wechselmedien NtmsSvc - on demand
*NVIDIA Display Driver Service NVSvc running auto
*Plug & Play PlugPlay running auto
*IPSEC-Dienste PolicyAgent running auto
*Geschützter Speicher ProtectedStorage running auto
*Verwaltung für automatische RAS-Verbindung RasAuto running on demand
*RAS-Verbindungsverwaltung RasMan running on demand
*Sitzungs-Manager für Remotedesktophilfe RDSessMgr - on demand
*Routing und RAS RemoteAccess - disabled
*Remote-Registrierung RemoteRegistry running auto
*RPC-Locator RpcLocator - on demand
*Remoteprozeduraufruf (RPC) RpcSs running auto
*QoS-RSVP RSVP - on demand
*Sicherheitskontenverwaltung SamSs running auto
*Smartcard-Hilfsprogramm SCardDrv - on demand
*Smartcard SCardSvr - on demand
*Taskplaner Schedule - disabled
*Sekundäre Anmeldung seclogon running auto
*Systemereignisbenachrichtigung SENS running auto
*Internetverbindungsfirewall/Gemeinsame Nutzung SharedAccess running auto
`der Internetverbindung
*Shellhardwareerkennung ShellHWDetection running auto
*Druckwarteschlange Spooler running auto
*Systemwiederherstellungsdienst srservice running auto
*SSDP-Suchdienst SSDPSRV running on demand
*Windows-Bilderfassung (WIA) stisvc - on demand
*MS Software Shadow Copy Provider SwPrv - on demand
*Leistungsdatenprotokolle und Warnungen SysmonLog - on demand
*Telefonie TapiSrv running on demand
*Terminaldienste TermService running on demand
*Designs Themes running auto
*Telnet TlntSvr - on demand
*Überwachung verteilter Verknüpfungen (Client) TrkWks running auto
*Windows User Mode Driver Framework UMWdf running auto
*Upload-Manager uploadmgr running auto
*Universeller Plug & Play-Gerätehost upnphost - disabled
*Unterbrechungsfreie Stromversorgung UPS - on demand
*Virtual CD v5 Security service VC5SecS running auto
*TrueVector Internet Monitor vsmon running auto
*Volumeschattenkopie VSS - on demand
*Windows-Zeitgeber W32Time - disabled
*WebClient WebClient running auto
*Windows-Verwaltungsinstrumentation winmgmt running auto
*Portable Media Serial Number Service WmdmPmSN - on demand
*Treibererweiterungen für Windows-Verwaltungsins Wmi - on demand
`trumentation
*WMI-Leistungsadapter WmiApSrv - on demand
*Automatische Updates wuauserv - disabled
*Konfigurationsfreie drahtlose Verbindung WZCSVC - disabled
»Application specific

habe die windows datei gelöscht (normal modus) und rechnerneustart gemacht...
sie ist weg!

Das schaut leider gar nicht gut aus

Das System ist total ungepatcht!
Platform: Windows XP (Win NT 5.1.2600 )

Zitat:

*Microsoft AOL Instant Messenger=MSAOL32.exe

Das deutet auf diesen Schädlig hin: Rbot-ABB

Du solltest das System neu aufsetzen, warum erfährst du hier.