Hi! - OS: WinXP Prof. SP2

Das Programm Unlocker zeigt mir an, dass unter:

d:\programme\msn gaming zone\windows der Prozess winlogon.exe ausgeführt wird.
Lass ich den Prozess von Unlocker entfernen schmiert windows ab.
Soweit ich weis sollte der Prozess nur im system32-Verzeichnis sein?

Kann es sein, dass er dort ist, weil ich windows irgendwie in ner logischen Partition hatte und der auf d:\ auch als BootSector nahm? Habe nun aber auf c:\ als Boot-Partition umgekrempelt (Habe c: zu Primär-Partition gemacht).

Naja, ich denk, das iss n Trojaner "Jippey".

Mich interessiert, was für einer und wie ich den los werde?


Tauscan findet in dem Verzeichnis nix böses -.-

Hier ein Screenshot von Unlocker mit der Anzeige:


Gefunden per Zufall, weil ich mein System neu einrichte und den Programmordner durchging und mir "msn gaming zone" unbekannt war.

Hi

Poste doch mal ein HijackThis Logfile.
Eine Anleitung findest du Hier.


MfG

Ich halte nicht so viel von Hifhjackthis. Immer wenn man im Web was sucht findet man nen eintrag von irgendeinem Highjack-Log ohne das dieser in dem ensprechenden Thread als Problem-Suche auftaucht...

Hi


Du... Aber du musst damit ja auch nichts anfangen können!
Das HijackThis Logfile gibt uns einen guten Überblick über die Lage.
Also poste es oder man kann dir nicht wirklich helfen.


MfG

guten tag..

um mich kurz zu fassen, ich hab dasselbe problem wie shadow, hab nur schon einiges gemacht, nämlich folgendes:

ich hab msn komplett deinstalliert und versucht alle ordner die noch übrig waren manuell zu löschen... das hat geklappt bis auf den ordner MSN Gaming Zone... dieser ordner enthielt massen dlls, weshalb ich beschloss mit admin einzuloggen und so zu löschen... das hat auch funktioniert... anschließend hab ich mich neu eingeloggt und der ordner war wieda da.. nur keine dlls... anschließend hab ich einen virenscan gemacht und einen spyscan... während des spyscans hat mein antivir gemeckert, dass es n virus entdeckt hatte, welches ich löschen wollte, es aber nicht funktioniert hat... hab dann dementsprechend einfach den zugriff verweigert, worauf sich n nächstes virus meldete (beides waren trojaner laut antivir) dieses ließ sich aber löschen...
der spycan (Programm: AdAware) hat ein Win32.TrojanDownloaderZlob gefunden... der ordner is aber immer noch da und ich kann ihn auch nich löschen...


anschließend hab ich gegooglet um mir hilfe zu suchen und bin hier gelandet..^^


jez kommt jedenfalls mein HijackThis logfile..:



Logfile of HijackThis v1.99.1
Scan saved at 22:41:49, on 06.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
E:\Picasa2\PicasaMediaDetector.exe
E:\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Andy\Eigene Dateien\Downloads\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {D61D7E1A-6613-49CA-B6F9-51DB248E209D} - C:\Programme\Video ActiveX Access\iesplg.dll (file missing)
O3 - Toolbar: (no name) - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - (no file)
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] E:\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [iTunesHelper] "E:\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - E:\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - E:\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: drivers - {43FFF1B9-EDD4-45A3-BE99-0FC1552F2561} - (no file)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)


also wie gesagt der ordner MSN Gamzing Zone ist noch da... und ich kann ihn nich löschen... falls hier jmd auf die idee kommt und sagt ich soll mal gucken, ob er schreibgeschützt ist, das hab ich schon und ich hab auch versucht das zu ändern.. nachdem ich aber auf "übernehmen" klickte ihn versuchte zu löschn, was fehlschlug, und anschließend wieda auf "eigenschaften" klickte, war der schreibschutz wieda aktiviert..

des weiteren interessiert es mich natürlich ob ich noch iwas für meinen pc tun kann mit ausnahme von formatieren, windows neu installieren usw...



schon im vorraus vielen dank für eure hilfe...



mfg aramiz