Hallo erstmal...

Und zwar habe ich dauernd in c:/Programme/ eine EXE Datei die sich nach jedem Neustart neu erstellt, der Name der Datei ist immer anders und ergibt keinen Sinn cDzsT.exe zB., die größe der datei variiert von 80-200 kb.

Im taskmanager ist die Datei nur kurz nach Neustart geführt, und zwar ist dann immer nur der letzte Name des Programmes, den es bei letztem Neustart hatte für max 30 Sekunden gelistet, dann verwindet es ganz aus dem Task Manager und die Datei erstellt sich mit einen neuen Namen im Progammordner.

Die Datei kann weder gelöscht, ausgeschnitten, noch kopiert noch in einem Text editor geöffnet werden, da immer die Medlung kommt das Sie vom System derzeit benötigt wird.

Im RegEdit Modus finde ich nichts, bei MS Config ist alles aus, Amok Delay brachte keine Abhilfe, AntVir fand nichts und ADAware auch nicht etc. evtl. hat wer eine Idee was ich machen könnte um das zu fixen.

Danke im Voraus

Poste mal ein Hijackthsi-Logfile. Beachte dabei die in meiner Signatur verlinkte Anleitung!

Gruß
Yopie

Logfile of HijackThis v1.99.1
Scan saved at 00:51:56, on 09.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\XXXXX\Eigene Dateien\hijackthis\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O17 - HKLM\System\CCS\Services\Tcpip\..\{D414CE9F-CF22-4516-BD17-6F6B8D1CDF48}: NameServer = 62.104.191.241 62.104.196.134
O20 - Winlogon Notify: st3i - C:\WINDOWS\q176687.dll (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Das Logfile ist sehr (zu?) kurz. Hast du schon selber was dran gedreht? OK, vermutlich waren das die Tools, die du benutzt hast?

Ausserdem bitte einen Scan mit eScan durchführen, dabei genau nach Anleitung vorgehen und das Ergebnis der find.bat posten!

Gruß
Yopie

Ok eScan kommt gleich.. naja habe selbst schon mal alle Programme deinstalliert die ich nicht brauche und alles der MSConfig geschmissen und von Hand einigen Müll gelöscht..

Das war der HJT von davor


Logfile of HijackThis v1.99.1
Scan saved at 00:11:46, on 09.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\XXXXXX\Eigene Dateien\hijackthis\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - C:\Programme\LinkOptimizer\LinkOptimizer.dll (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/installer.v4/vet_install_popup.pl?1&6&04.00.08.43&unknown&unknown&http://www.tagheuer.com/multimedia/3d.lbl?ref=CS111C_FT6003
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D414CE9F-CF22-4516-BD17-6F6B8D1CDF48}: NameServer = 62.104.191.241 62.104.196.134
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: st3i - C:\WINDOWS\q176687.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

OMG, ne also mit eScan wird das vorerst nix, das Priog hat ja 35 MB, verträgt sich nicht so gut mit meinem ISDN Anschluss :-) evtl. gibt der alte HJ Log etwas mehr Aufschluss...

Hallo,
wahrscheinlich meinst du die falsche Escan Version, die Freeversion (MWAV) sollte ca. 8Mb haben.

Hast du mal versucht die Datei hier hochzuladen? Falls es funktioniert poste das Ergebnis.

Bin mir aber nicht sicher ob es sich überhaupt um Malware handelt könnte auch ein komisches Verhalten irgendeines normalen Programms sein.

Edit
Mittlerweile sind es 10,5 MB


Grüße Wildone

Die File lässt sich scheinbar nicht uploaden, sieht zwar als würde es gelingen und es kommt die Checkliste, jedoch zeigt er bei Dateigröße 0 kb an, was wohl heißt das er die richtige datei gar nicht upgeloadet hat.

Werde morgen nochmal escan schauen...

Könnte womöglich vielleich doch noch ein seriöses Prog sein, aber ist mir rätselhaft warum es dann solche Versteckspiele nötig hat.

Hallo,

das File gehört zu diesem Trojaner, dazu kommt noch eine Infektion mit Zlob, gehe nach dieser Anleitung vor.
Lade Dir Cleanup, gehe wie hier beschrieben vor, dannach lade Regseeker und verwende die Option "clean the registry", markiere alle grünen Einträge, löschen mit "del".
Dannach poste das von Wildone und Yopie verlangte eScan Log, Anleitung hier.

Gruß

Schrulli

Hallo,
@Schrulli
Wo siehst du Anzeichen für eine Zlob Infektion?

Und ob der Eintrag:
O20 - Winlogon Notify: st3i - C:\WINDOWS\q176687.dll (file missing)
etwas mit dem Problem zu tun hat bin ich mir nicht so sicher, gerade auch wegen dem "file missing", und afaik tritt der "file missing bug" nur bei O23 Einträgen auf.



Grüße Wildone

Hallo,

das mit dem Zlob vergessen wir mal ganz schnell.
Multiplethreading muss man auch können.

Zu der Datei, bisher habe ich in dem Thread gelesen, das die Datei auf dem Rechner noch vorhanden ist. Sollte das nicht der Fall sein, warten wir wohl mal auf den eScan log.

Gruß

Schrulli

Hallo,

Zitat:

warten wir wohl mal auf den eScan log.

Wird das beste sein, im Moment fischen wir etwas im trüben, ich könnte mir aber auch noch vorstellen das es etwas mit Link Optimizer(Malware) zu tun hat, auch wenn das zugehörige BHO wohl entfernt wurde.



Grüße Wildone