Hallo zusammen,

unter msconfig habe ich folgenden Dienst gefunden "Aei2iadafs".
Google ergab leider keinen einzigen Treffer !
Unter Eigenschaften sind leider keine Abhängigkeiten zu erkennen.
Da ich mit meinem Latein voll am Ende bin, bedanke ich mich für jeden Ratschlag

Poste doch mal ein Hijackthis-Logfile.

Logfile of HijackThis v1.99.0
Scan saved at 22:49:21, on 25.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\DRIVERS\dcfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\mmc.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\m1\Desktop\tools neu\sicherheit\hijackthis_199\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123667818390
O17 - HKLM\System\CCS\Services\Tcpip\..\{22E6BBB8-9C7E-4DF7-A687-8CC72637C244}: NameServer = xxx
O23 - Service: AntiVir PersonalEdition Classic Planer - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\DRIVERS\dcfssvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

Hallo,
in deinem Logfile ist außer einer nicht aktuellen Java-Version nicht all zu viel zu sehen. Allerdings hast du eine alte HJT-Version benutzt:

Zitat:

Zitat von Markus_33

Logfile of HijackThis v1.99.0

Bitte besorge dir die Version 1.99.1. Da es Malware gibt, die sich vor HJT verbirgt, benenne die hijackthis.exe um in hjt1991.com, erstelle ein neues Logfile und poste es hier. Bringt auch das nichts, fahren wir die schwereren Geschütze auf.
Ich nehme an, du hast den folgenden Eintrag editiert?

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{22E6BBB8-9C7E-4DF7-A687-8CC72637C244}: NameServer = xxx

Hallo Franz,

ersteinmal danke, dass Du dir die Zeit nimmst, mir zu helfen !
so, hier mein neuer log (hijack hatte ich unbenannt, danke für den Tip :-)

Logfile of HijackThis v1.99.1
Scan saved at 10:42:43, on 26.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\DRIVERS\dcfssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\m1\Desktop\tools neu\sicherheit\hjt1991.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123667818390
O17 - HKLM\System\CCS\Services\Tcpip\..\{22E6BBB8-9C7E-4DF7-A687-8CC72637C244}: NameServer = xxx
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: dcfssvc (Dcfssvc) - Eastman Kodak Company - C:\WINDOWS\system32\DRIVERS\dcfssvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe


die xxx stammen von mir (ich hatte mal gesehen, dass andere dies auch ausgeXXXXt hatten (wenn die Daten aber für die Auswertung wichtig sind, kann ich sie auch gerne posten)

Zitat:

Zitat von Markus_33

(wenn die Daten aber für die Auswertung wichtig sind, kann ich sie auch gerne posten)

Ja, tu das bitte zunächst. Möglich, dass da was manipuliert worden ist.
Lässt msconfig sich zu dem unbekannten Dienst eigentlich *irgendwelche* weiteren Informationen entlocken?
Da auch in dem neuen HJT-Log für mich (bisher) kein Hinweis auf einen Befall zu sehen ist: Gibt es aus deiner Sicht *irgendeine* mögliche Erklärung für den unbekannten Dienst?

017 - HKLM\System\CCS\Services\Tcpip\..\{22E6BBB8-9C7E-4DF7-A687-8CC72637C244}: NameServer = 217.237.148.70 217.237.149.142

leider stehen bei den Eigenschaften des Dienstes keine weiteren Informationen:
- Pfad zur Exe Datei: leer
- unter 'Anmelden' steht komischerweise nicht 'lokales Konto' sondern 'Diese Konto' angekreuzt
- Abhängigkeiten: leer

der Dienst war übrigens gestartet, habe ihn natürlich jetzt deaktiviert.
Ich stehe vor einem absoluten Rätsel

Zitat:

Zitat von Markus_33

- unter 'Anmelden' steht komischerweise nicht 'lokales Konto' sondern 'Diese Konto' angekreuzt

Da steht wirklich "Diese Konto" und nicht "Dieses Konto"?

Zitat:

Ich stehe vor einem absoluten Rätsel

Ich auch. Versuche bitte, Licht in das Dunkel zu bringen, indem du zunächst mit Hilfe von Rene-gads Anleitung versteckte Dateien sichtbar machst (falls noch nicht geschehen) und dann mit der Windows-Suche folgende Datei suchst: "Aei2iadafs.*" (bitte genau so, ohne die Anführungszeichen, übernehmen).
Ich nehme an, dass du nichts finden wirst. Daher besorge dir bitte Blacklight von F-Secure, lass es scannen und poste den Report.

Hallo Franz,

sorry, sollte natürlich 'Dieses' Konto heißen.
die Suche (incl. versteckter Dateien usw.) war leider (oder glücklicherweise) ohne Erfolg

F-Secure blacklight sagt ebenfalls: No hidden items found.

Ich habe jetzt mal in der Registry gesucht und folgendes gefunden:

HKEY_LOKAL_MACHINE\system\controlset002\enum\root\LEGACY_Aei2iadafs \0000 mit den Einträgen:

Class LegacyDriver
ClassGUID {8ECC055D-047F-11D1-A537-0000F8753ED1}
ConfigFlags 0x0000000
DeviceDesc Aei2iadafs
Legacy 0x0000001
Service Aei2iadafs

na, aber ob das weiterhilft, glaube ich auch nicht

Hallo Markus.

Zitat:

Zitat von Markus_33

na, aber ob das weiterhilft, glaube ich auch nicht

*ächz* Nein, mir hilft es nicht wirklich. Wenn jemand diese Registry-Einträge deuten kann, melde er/sie sich bitte zu Wort.
Bis dahin schlage ich dir folgendes vor:
Wenn ich nach dem Begriff

Zitat:

Class LegacyDriver

google, stehen ganz oben auf der Liste einige Einträge, die auf Malware verweisen. Bevor wir einen eScan machen, lass uns "händisch" in deine Systemordner gucken, und zwar so:

Zitat:

1.) Lade dir die Filelist.zip auf den Desktop
2.) entpacke die Zip-Datei auf deinen Desktop (kostenlose Zip-Tools)
3.) starte deinen Rechner neu auf
4.) öffne die nun auf deinem Desktop vorhandene filelist.bat mit einem Doppelklick auf die Datei
5.) dein Editor (Textverarbeitungsprogramm) wird sich öffnen
6.) markiere von diesen Inhalt aus jedem Verzeichnis jeweils NUR die letzten 30 Tage, wähle kopieren, füge diese Dateien deinem nächsten Beitrag an.

(Danke an [Gc]Sunny, dem ich diese Anleitung aus einem Posting "entwendet" habe. )
Dann sehen wir hoffentlich weiter.

Hallo Franz,
nochmals danke dafür, dass Du nicht aufgibst und Dir die Zeit nimmst !

So, filezips habe ich mal gestartet (erinnert mich an die gute alte dos Zeit)

Verzeichnis von C:\
26.03.2007 21:16 43 filelist.txt
26.03.2007 21:05 1.610.612.736 pagefile.sys
25.03.2007 20:33 211 boot.ini

da die boot.ini sich geändert hat, poste ich sie sie mal (sieht normal aus)
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

Verzeichnis von C:\WINDOWS
26.03.2007 21:06 0 0.log
26.03.2007 21:06 1.595.589 WindowsUpdate.log
26.03.2007 21:06 159 wiadebug.log
26.03.2007 21:06 50 wiaservc.log
26.03.2007 21:05 2.048 bootstat.dat
26.03.2007 19:42 32.546 SchedLgU.Txt
26.03.2007 19:40 1.049 nsreg.dat
25.03.2007 20:33 334 system.ini
25.03.2007 20:33 1.274 win.ini
22.03.2007 23:01 225 netscape.INI
09.03.2007 19:28 338.340 setupapi.log
08.03.2007 10:28 433.375 wmsetup.log
05.02.2007 12:16 37.464 spupdsvc.log
05.02.2007 11:40 23.425 ie7_main.log
05.02.2007 11:40 102.595 iis6.log
05.02.2007 11:40 139.499 ntdtcsetup.log
05.02.2007 11:40 228.789 comsetup.log
05.02.2007 11:40 252.889 tsoc.log
05.02.2007 11:40 36.150 ocmsn.log
05.02.2007 11:40 1.355 imsins.log
05.02.2007 11:40 56.482 ie7.log
05.02.2007 11:40 32.512 msgsocm.log
05.02.2007 11:40 324.265 ocgen.log
05.02.2007 11:40 647.011 FaxSetup.log
05.02.2007 11:40 71.350 updspapi.log
05.02.2007 11:37 1.355 imsins.BAK
05.02.2007 11:37 17.195 IDNMitigationAPIs.log
05.02.2007 11:37 16.875 NLSDownlevelMapping.log
05.02.2007 11:36 15.873 KB915865.log
05.02.2007 11:36 15.031 KB914440.log
05.02.2007 11:36 49.045 KB925454.log
05.02.2007 11:36 30.521 KB904942.log
05.02.2007 11:33 22.230 KB929969.log
05.02.2007 11:33 19.752 KB923689.log
05.02.2007 11:33 19.101 KB925398.log
05.02.2007 11:33 22.581 KB923694.log
05.02.2007 11:32 21.953 KB926255.log
05.02.2007 11:32 21.696 KB923980.log
05.02.2007 11:31 17.117 KB924270.log
05.02.2007 11:30 16.030 KB920213.log
05.02.2007 11:27 14.833 KB922819.log
05.02.2007 11:27 14.002 KB924191.log
05.02.2007 11:27 11.044 KB923191.log
05.02.2007 11:27 13.076 KB924496.log
05.02.2007 11:26 12.890 KB923414.log

Verzeichnis von C:\WINDOWS\system32
26.03.2007 21:08 54.112 vsconfig.xml
26.03.2007 21:07 2.206 wpa.dbl
26.03.2007 17:50 0 tmp.txt
26.03.2007 17:50 1.398 tmp.reg
25.03.2007 17:27 392.296 perfh009.dat
25.03.2007 17:27 58.596 perfc009.dat
25.03.2007 17:27 405.118 perfh007.dat
25.03.2007 17:27 70.580 perfc007.dat
25.03.2007 17:27 938.224 PerfStringBackup.INI

Verzeichnis von C:\WINDOWS\tasks
26.03.2007 21:06 6 SA.DAT
09.03.2007 18:15 390 1-Klick-Wartung.job

Verzeichnis von C:\WINDOWS\Prefetch
26.03.2007 21:16 11.622 FIND.EXE-0EEAD1A7.pf
26.03.2007 21:16 18.232 CMD.EXE-034B0549.pf
26.03.2007 21:14 11.550 VERCLSID.EXE-28F52AD2.pf
26.03.2007 21:12 100.308 FIREFOX.EXE-28BE8AE1.pf
26.03.2007 21:08 58.408 WUAUCLT.EXE-1360D60A.pf
26.03.2007 21:08 25.024 VSMON.EXE-39246213.pf
26.03.2007 19:40 77.982 NETSCAPE.EXE-1BD6EB01.pf
26.03.2007 19:16 40.796 LOGONUI.EXE-312BE1BF.pf
26.03.2007 18:53 45.662 LOGON.SCR-24ADF392.pf
26.03.2007 18:30 41.716 HELPSVC.EXE-1C192440.pf
26.03.2007 18:30 66.454 WMIPRVSE.EXE-0D449B4F.pf
26.03.2007 18:29 388.784 Layout.ini
26.03.2007 18:08 66.790 AVSCAN.EXE-1702C14B.pf
26.03.2007 17:50 13.766 NOTEPAD.EXE-2DAE2DE6.pf
26.03.2007 17:50 13.284 FINDSTR.EXE-1A4FC238.pf
26.03.2007 17:50 8.508 SWREG.EXE-1561EABF.pf
26.03.2007 17:50 7.058 DUMPHIVE.EXE-18ADF5E7.pf
26.03.2007 17:50 5.198 SRCHSTS.EXE-09CB0F21.pf
26.03.2007 17:50 11.808 REGEDIT.EXE-2AE3423E.pf
26.03.2007 17:50 29.566 CSCRIPT.EXE-0A13A05C.pf
26.03.2007 17:50 7.016 SWREG.EXE-26F9D764.pf
26.03.2007 17:49 73.254 CHKNTFS.EXE-30FE9626.pf
26.03.2007 17:49 32.098 SMITFRAUDFIX.EXE-3218B33B.pf
26.03.2007 17:35 74.066 REGEDIT.COM-0204AD01.pf
26.03.2007 17:12 53.364 MMC.EXE-4BAA108F.pf
26.03.2007 17:04 80.572 I_VIEW32.EXE-3680CA15.pf
26.03.2007 16:43 14.636 F-SECURE BLACKLIGHT BETA - BL-2572AE5F.pf
26.03.2007 16:30 72.588 UPDCLIENT.EXE-06442ED2.pf
26.03.2007 15:57 71.478 TASKMGR.EXE-06144C13.pf
26.03.2007 12:09 33.116 NOTEPAD.EXE-2F2D61E1.pf
26.03.2007 12:09 48.678 HJT1991.COM-34A0B43D.pf
26.03.2007 12:04 37.770 MSCONFIG.EXE-1EF1EA0F.pf
26.03.2007 10:41 17.122 HIJACKTHIS.EXE-23D411F7.pf
26.03.2007 10:41 133.146 WINRAR.EXE-1A0EFB18.pf
26.03.2007 10:31 78.932 ACRORD32.EXE-0ABDA372.pf
26.03.2007 10:13 55.366 WGATRAY.EXE-350D4455.pf
26.03.2007 10:13 16.838 ALG.EXE-275708CF.pf
26.03.2007 10:13 45.846 IMAPI.EXE-201490BB.pf
25.03.2007 22:49 62.466 HIJACKTHIS.EXE-329695FF.pf
25.03.2007 21:52 18.166 AVGNT.EXE-34DB0DF2.pf
25.03.2007 21:52 64.524 AVGUARD.EXE-081AFD34.pf
25.03.2007 21:52 29.070 AVNOTIFY.EXE-278D3CE0.pf
25.03.2007 21:51 55.748 UPDATE.EXE-16715754.pf
25.03.2007 21:51 14.272 PREUPD.EXE-0B43CCF7.pf
25.03.2007 21:51 51.358 AVCENTER.EXE-12E38D18.pf
25.03.2007 21:45 42.288 MMC.EXE-6F82C6A7.pf
25.03.2007 21:29 68.540 IEXPLORE.EXE-360BBB5C.pf
25.03.2007 21:24 33.148 ACRORD32INFO.EXE-3AD69296.pf
25.03.2007 21:09 50.756 MRT.EXE-161A5291.pf
25.03.2007 17:36 19.724 NET.EXE-151FD66D.pf
25.03.2007 17:36 13.552 NET1.EXE-02C3403D.pf
25.03.2007 17:26 8.948 WMIADAP.EXE-32F99497.pf
24.03.2007 18:58 22.562 ATIPRBXX.EXE-1BE402BA.pf
24.03.2007 18:58 21.948 CTFMON.EXE-05E57A5E.pf
23.03.2007 20:13 59.608 DFRGNTFS.EXE-38C3807C.pf
23.03.2007 20:13 25.250 DEFRAG.EXE-2858C7E2.pf
22.03.2007 16:23 16.832 RUNDLL32.EXE-3C500167.pf
21.03.2007 12:08 13.640 RUNDLL32.EXE-408D7EB9.pf
21.03.2007 12:08 19.104 RUNDLL32.EXE-41FB74E5.pf
21.03.2007 12:06 14.260 RUNDLL32.EXE-6E8D4657.pf
20.03.2007 21:55 30.194 RUNDLL32.EXE-47ECAB40.pf
20.03.2007 21:22 87.630 SETUP.EXE-1E430C7C.pf
20.03.2007 21:06 16.798 INSTALLER.EXE-1F0B7BFF.pf
20.03.2007 21:06 16.822 SETUP.EXE-0F40F254.pf
20.03.2007 21:06 15.838 AUTORUN.EXE-08A9DED1.pf
19.03.2007 20:35 47.296 ZLCLIENT.EXE-2ADB81FA.pf
19.03.2007 20:35 1.372 ATIPTAXX.EXE-105D301A.pf
19.03.2007 20:35 69.114 EXPLORER.EXE-02121B1A.pf
19.03.2007 20:35 36.652 USERINIT.EXE-0743FDA9.pf
19.03.2007 20:35 16.838 ATI2EVXX.EXE-07A42849.pf
19.03.2007 18:44 60.066 WMPLAYER.EXE-017735B4.pf
19.03.2007 12:26 21.346 VOE.EXE-1E8936FF.pf
19.03.2007 12:26 15.796 SCAPX.EXE-0D078413.pf
19.03.2007 12:26 23.986 RUNDLL32.EXE-54BEB10F.pf
19.03.2007 12:26 77.898 IEDIT.EXE-05E5D8F7.pf
17.03.2007 21:15 23.080 DRWTSN32.EXE-01DDCF15.pf
17.03.2007 21:15 39.262 DWWIN.EXE-2C373FB7.pf
09.03.2007 20:20 13.842 RUNDLL32.EXE-6F0992EA.pf
09.03.2007 19:28 13.166 RUNDLL32.EXE-580156A0.pf
09.03.2007 17:20 15.380 RUNDLL32.EXE-5DB44D17.pf
08.03.2007 23:09 13.366 DUMPREP.EXE-0AF2BF67.pf
08.03.2007 10:28 87.066 SETUP_WM.EXE-21CBB822.pf
07.03.2007 18:21 76.208 WMPLAYER.EXE-017735B2.pf
06.03.2007 21:21 50.718 MSOHELP.EXE-241E3F13.pf
06.03.2007 12:02 14.712 ADOBELMSVC.EXE-2C56FEB3.pf
06.03.2007 12:02 62.580 ~E5D141.TMP-029FA1E0.pf
06.03.2007 12:01 29.132 RUNDLL32.EXE-4F50155F.pf
05.03.2007 17:30 29.216 WINHLP32.EXE-16D564B3.pf
05.03.2007 17:30 75.298 RUNDLL32.EXE-4EE39BB6.pf
02.03.2007 15:39 23.118 RUNDLL32.EXE-5D0D28D1.pf

Verzeichnis von C:\WINDOWS\Temp

26.03.2007 21:07 256 ZLT02306.TMP
26.03.2007 21:07 373 WGANotify.settings
26.03.2007 21:07 256 ZLT022e2.TMP
19.03.2007 20:33 256 ZLT065d4.TMP
19.03.2007 20:33 256 ZLT065cd.TMP
03.03.2007 18:58 256 ZLT03b2e.TMP

Verzeichnis von C:\DOKUME~1\o1\LOKALE~1\Temp
26.03.2007 21:12 0 q0o1sl96.zip
26.03.2007 16:54 179.404 MSI65b5a.LOG
25.03.2007 22:56 797.676 IMT1B.xml
25.03.2007 22:56 426 IMT1A.xml
25.03.2007 22:56 2.002 IMT19.xml
25.03.2007 22:56 797.676 IMT18.xml
25.03.2007 22:56 426 IMT17.xml
25.03.2007 22:56 2.002 IMT16.xml
25.03.2007 22:48 797.676 IMT15.xml
25.03.2007 22:48 426 IMT14.xml
25.03.2007 22:48 2.002 IMT13.xml
25.03.2007 22:48 16.384 ~DFAE43.tmp
25.03.2007 20:34 797.676 IMTA.xml
25.03.2007 20:34 426 IMT9.xml
25.03.2007 20:34 2.036 IMT8.xml
25.03.2007 20:34 797.676 IMT7.xml
25.03.2007 20:34 426 IMT6.xml
25.03.2007 20:34 2.036 IMT5.xml
24.03.2007 19:31 0 bpq39.tmp
24.03.2007 19:21 0 bz134.tmp
22.03.2007 11:41 156.208 java_install_reg.log
20.03.2007 18:50 0 fla77.tmp
20.03.2007 10:38 0 VGX78.tmp
20.03.2007 10:36 0 VGX3F.tmp
19.03.2007 21:12 512 ~DFFFD6.tmp
19.03.2007 21:12 512 ~DFFFF6.tmp
19.03.2007 21:11 512 ~DFEA2B.tmp
19.03.2007 21:05 512 ~DF8177.tmp
19.03.2007 21:05 0 JET90C4.tmp
19.03.2007 21:04 57.344 ~WRS2481.tmp
19.03.2007 21:04 163.840 ~DF45AE.tmp
19.03.2007 21:00 512 ~DFF5FC.tmp
17.03.2007 21:15 49.058 f992_appcompat.txt
09.03.2007 19:06 0 flaBB.tmp
09.03.2007 19:06 0 flaBA.tmp
09.03.2007 19:06 0 flaB3.tmp
06.03.2007 17:34 0 fla16.tmp
06.03.2007 12:02 46.080 ~e5d141.tmp
06.03.2007 12:01 695 TWAIN.LOG
06.03.2007 12:01 156 Twunk001.MTX
06.03.2007 12:01 3 Twain001.Mtx
06.03.2007 11:59 0 fla119.tmp
06.03.2007 11:59 0 fla118.tmp
06.03.2007 11:52 0 8zuwbkff.zip
06.03.2007 10:55 0 kgvfew0t.zip
02.03.2007 19:23 123.537 46figbe9.mpg
28.02.2007 22:16 16.384 ~DFB9B2.tmp
28.02.2007 17:48 0 flaA.tmp
28.02.2007 17:48 0 fla9.tmp

werde mich erst morgen abend wieder melden können - ersteinmal danke bis hierher
Gruß
Markus

Hallo Markus.
Geh bitte zu Virustotal und scanne nacheinander die folgenden Dateien:
- C:\WINDOWS\system32\vsconfig.xml
- swreg.exe
- voe.exe
(die beiden letztgenannten zunächst von Windows suchen lassen).
Poste jeweils das komplette Scan-Ergebnis.

Lässt sich die Datei C:\WINDOWS\system32\tmp.reg mit dem Editor öffnen (Rechtsklick auf das Dateisymbol -> Öffnen mit -> Editor)? Wenn ja, poste ihren Inhalt (er sollte aus Registry-Einträgen bestehen). Ich frage mich, ob sich hier die von dir bereits geposteten Registry-Einträge wiederfinden.

Nicht verhehlen möchte ich dir, dass ich im Nebel herum stochere (wozu z. B. auch die .zip-Dateien in deinem Temp-Ordner beitragen, die 0 Byte groß sind und deren Dateinamen zufällig generiert zu sein scheinen). Mach dich daher hier in den FAQ schon mal mit der eScan-Anleitung vertraut, während Virustotal scannt.

Hallo Franz,

also:
- vsconfig.xml: wird von zonealarm geschrieben, Status bei Virustotal: kein Befund
- voe.exe eine Datei für Photoimpact, Status bei Virustotal, kein Befund
- swreg.exe eine Datei von SmitfraudFix, hatte ich vor zwei Tagen mal ausprobiert, das war allerdings nach der Entdeckung des merkwürdigen Dienstes. Interessant bei Virustotal:
die meisten Scanner sagen hier 'no virus', allerdings mit folgenden Ausnahmen
- Authentium: could be a corrupted executable file
- eSafe: suspicious Trojan/Worm
- Fortinet: suspicious
- Panda: Suspicious file
die vier kann man wohl vernachlässigen ?


Datei tmp.reg
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

hmm, scheint ich bin ein hoffnungsloser Fall oder vielleicht ist mein System doch in Ordnung .
eScan hatte ich schon mal vor einem halben Jahr oder so mal ausprobieren wollen, scheiterte aber daran, dass mein System nicht (mehr) im abgesicherten Zustand hochfahren kann, könnte ich allerdings nochmals ausprobieren

Auch für heute wieder vielen Dank an Deine Adresse

Gruß
Markus

Hallo Markus.

Zitat:

Zitat von Markus_33

die vier kann man wohl vernachlässigen ?

Panda kommt mir bei Virustotal manchmal etwas paranoid vor. Zu den anderen dreien kann ich nichts sagen.
Mit aller gebotenen Vorsicht würde ich sagen, dass in der reg-Datei nichts zu sehen ist, was auf Malware hindeutet.

Zitat:

oder vielleicht ist mein System doch in Ordnung .

Ich will's gern glauben, aber irgend einen Grund muss es für den rätselhaften Dienst ja geben. Auch das Folgende stimmt mich nicht gerade hoffnungsfroh:

Zitat:

eScan hatte ich schon mal vor einem halben Jahr oder so mal ausprobieren wollen, scheiterte aber daran, dass mein System nicht (mehr) im abgesicherten Zustand hochfahren kann, könnte ich allerdings nochmals ausprobieren

Ja, bitte. Versuch einen eScan zu machen; halte dich dabei genau an die Anleitung, und poste die Ergebnisse der find.bat. Ich wollte ihn dir gerne ersparen, da er nun mal sehr zeitaufwändig ist. Aber so wie die Dinge jetzt stehen, hätten wir ihn längst durchführen können/sollen.
Last but not least: Warum SmitfraudFix, und gab es "vor einem halben Jahr oder so" für den eScan einen konkreten Anlass?

Hallo Franz,

SmitfraudFix hatte ich einfach auch mal drüberlaufen lassen, weil ich irgendwo im Internet gelesen habe, dass er auch gut im auspüren von Malware sein soll - hatte aber auch nichts gebracht

den eScan hatte ich ausprobiert, weil mein System recht lange brauchte, bis es startklar ist, was ich aber mittlerweile auf zonealarm schiebe.

Dann werde ich morgen vormittag mal den eScan ausprobieren (wenn Du morgen abend nichts von mir hörst, liegt es daran, dass sich xp hinterher auch nicht mehr in den normalen Modus starten läßt (so erging es mir nämlich letztesmal) (und eine Axt in meinem PC stecken wird )

Gruß
Markus