Hallo ihr Lieben,

ich hab da so'n Lüttes Problem...

Sobald ich im Internet bin dauert es nur ein paar Minuten bis ich die Meldung bekomme: "Services:exe hat ein Problem festgestellt und muss beendet werden", Problembericht senden oder nicht, eigentlich schnuppe was ich anklick denn im Anschluss krieg ich eh 'nen Countdown, "System wird heruntergefahren", soll alles speichern usw... Statuscode 1073741819.

Systemwiederherstellung will er nicht machen, sagt mir immer nur, dass die Wiederherstellung auf dieses Datum nicht möglich war und ich einen früheren Zeitpunkt wählen soll. Mittlerweile bin ich bei mitte März angekommen...
"shutdown -a" hilft mir auch nichteinmal kurzfristig weiter, da er den Countdown dann zwar stoppt, aber sich auch ansonsten komplett aufhängt...

Mein Logfile von HijackThis ist unauffällig, das von e-scan umso unschöner...

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.1
Sprache: German
C:\DOKUME~1\Dajana\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "sw Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sw Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sw Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sw Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sw Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sw Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sw Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sw Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sw Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sw Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sw Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "sw Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\CSRS.0LL infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\CSRS.0XE infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\XPDX.0YS infiziert von "Trojan.Win32.Pakes.x" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\~.0XE infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\Dajana\LOKALE~1\Temp\SPOOLSV32.0XE infiziert von "Trojan-Downloader.Win32.Agent.brr" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\CSRS.0LL infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\CSRS.0XE infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\XPDX.0YS infiziert von "Trojan.Win32.Pakes.x" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\~.0XE infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\Dajana\LOKALE~1\Temp\SPOOLSV32.0XE infiziert von "Trojan-Downloader.Win32.Agent.brr" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\CSRS.0LL infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\CSRS.0XE infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\XPDX.0YS infiziert von "Trojan.Win32.Pakes.x" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\~.0XE infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\Dajana\LOKALE~1\Temp\SPOOLSV32.0XE infiziert von "Trojan-Downloader.Win32.Agent.brr" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\CSRS.0LL infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\CSRS.0XE infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\XPDX.0YS infiziert von "Trojan.Win32.Pakes.x" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\~.0XE infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\Dajana\LOKALE~1\Temp\SPOOLSV32.0XE infiziert von "Trojan-Downloader.Win32.Agent.brr" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\CSRS.0LL infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\CSRS.0XE infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\XPDX.0YS infiziert von "Trojan.Win32.Pakes.x" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\~.0XE infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\Dajana\LOKALE~1\Temp\SPOOLSV32.0XE infiziert von "Trojan-Downloader.Win32.Agent.brr" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\CSRS.0LL infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\CSRS.0XE infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\XPDX.0YS infiziert von "Trojan.Win32.Pakes.x" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\~.0XE infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\Dajana\LOKALE~1\Temp\SPOOLSV32.0XE infiziert von "Trojan-Downloader.Win32.Agent.brr" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\DOKUME~1\Dajana\LOKALE~1\Temp\sw
Offending Folder found: C:\Dokumente und Einstellungen\Dajana\Lokale Einstellungen\temp\sw
Offending Folder found: C:\DOKUME~1\Dajana\LOKALE~1\Temp\sw
Offending Folder found: C:\Dokumente und Einstellungen\Dajana\Lokale Einstellungen\temp\sw
Offending Folder found: C:\DOKUME~1\Dajana\LOKALE~1\Temp\sw
Offending Folder found: C:\Dokumente und Einstellungen\Dajana\Lokale Einstellungen\temp\sw
Offending Folder found: C:\DOKUME~1\Dajana\LOKALE~1\Temp\sw
Offending Folder found: C:\Dokumente und Einstellungen\Dajana\Lokale Einstellungen\temp\sw
Offending Folder found: C:\DOKUME~1\Dajana\LOKALE~1\Temp\sw
Offending Folder found: C:\Dokumente und Einstellungen\Dajana\Lokale Einstellungen\temp\sw
Offending Folder found: C:\DOKUME~1\Dajana\LOKALE~1\Temp\sw
Offending Folder found: C:\Dokumente und Einstellungen\Dajana\Lokale Einstellungen\temp\sw
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 28106
Gescannte Dateien: 28121
Gescannte Dateien: 28354
Gescannte Dateien: 28106
Gescannte Dateien: 28121
Gescannte Dateien: 28354
Gefundene Viren: 7
Gefundene Viren: 7
Gefundene Viren: 7
Gefundene Viren: 7
Gefundene Viren: 7
Gefundene Viren: 7
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 29
Anzahl Fehler: 28
Anzahl Fehler: 28
Anzahl Fehler: 29
Anzahl Fehler: 28
Anzahl Fehler: 28
Dauer des Scans bisher: 00:04:31
Dauer des Scans bisher: 00:01:15
Dauer des Scans bisher: 00:04:17
Dauer des Scans bisher: 00:04:31
Dauer des Scans bisher: 00:01:15
Dauer des Scans bisher: 00:04:17
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert

Batchstart: 11:52:25,18
Batchende: 11:52:37,04



Würd nur ungern neu aufsetzen, da ich ein kleines Dummerchen bin, dass sich kein Image angelegt hat... Hab ja ein gutes Antivirenprogramm und brauch sowas doch nicht...

Bin ich noch zu retten? *ganzliebguck* Bitte, bitte?

Liebe Grüße,

Danira

Hallo Danira mit lüttes Problem!

...das leider kein so lüttes ist. Erstell bitte zusätzlich so ein LogFile:
http://www.trojaner-board.de/17493-a...ijackthis.html

Dann kann man noch mehr Angaben zur Gesamtsituation machen.

Zitat:

Systemwiederherstellung will er nicht machen, sagt mir immer nur, dass die Wiederherstellung auf dieses Datum nicht möglich war und ich einen früheren Zeitpunkt wählen soll. Mittlerweile bin ich bei mitte März angekommen...

Vergiss es - aktive Schädlinge manipulieren das System und somit sehr oft auch die Möglichkeit der Systemwiederherstellung.

Code: Alles auswählenAufklappen

ATTFilter

 Datei C:\WINDOWS\CSRS.0LL infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\WINDOWS\CSRS.0XE infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\WINDOWS\system32\XPDX.0YS infiziert von "Trojan.Win32.Pakes.x" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\WINDOWS\system32\~.0XE infiziert von "Trojan-Clicker.Win32.Small.kj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. 
 Datei C:\DOKUME~1\Dajana\LOKALE~1\Temp\SPOOLSV32.0XE infiziert von "Trojan-Downloader.Win32.Agent.brr" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
         

Ein Trojan-Downloader - man kann leider nicht sicher nachvollziehen, was der alles nachgeladen hat.

Zitat:

Würd nur ungern neu aufsetzen, da ich ein kleines Dummerchen bin, dass sich kein Image angelegt hat... Hab ja ein gutes Antivirenprogramm und brauch sowas doch nicht...

Das ist leider eine Prioritätensetzung, wie sie bei Privatnutzern sehr häufig anzutreffen ist - mit den bekannten Folgen. AntiViren-Programme können maximal eine Ergänzung innerhalb eines Paketes aufeinander abgestimmter Maßnahmen darstellen.

Zitat:

Bin ich noch zu retten?

Du wohl schon.

Zitat:

*ganzliebguck* Bitte, bitte?

Da musst Du schon die Malware-Verbreiter und die Nutznießer der Schädlinge anzwinkern - vielleicht machen die ja eine Ausnahme.

Huuääähh... Das kannst du mir doch so nicht sagen...

Das hört sich ja noch fieser an als ich dachte...

Hier mein Hijackthis-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:11:04, on 11.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsqh.exe
C:\Programme\F-Secure Internet Security\FSPC\fspc.exe
C:\Programme\F-Secure Internet Security\FSGUI\fsguidll.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\F-Secure Internet Security\FSAUA\program\fsaua.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\FSAUA\program\fsus.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\Dajana\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Erwachsene... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Erwachsene... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173968317796
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B62D5A5-54D7-4A78-8988-32CC6C5B768D}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{3B62D5A5-54D7-4A78-8988-32CC6C5B768D}: NameServer = 195.50.140.114 195.50.140.252
O17 - HKLM\System\CS3\Services\Tcpip\..\{3B62D5A5-54D7-4A78-8988-32CC6C5B768D}: NameServer = 195.50.140.114 195.50.140.252
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - Unknown owner - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe (file missing)
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



Aber ich find du hörst dich an, als ob du diiiiieee ultimativen Lösungswege beinahe jetzt schon weißt... Nich wahr? *nochviiieelvieellieberalsvorherauchindierichtungdermalware-verbreiterguck*
Und ich mein na klar nicht das neu aufsetzen... *grins*


Liebe Grüße,

Danira

Zitat:

Zitat von danira

Aber ich find du hörst dich an, als ob du diiiiieee ultimativen Lösungswege beinahe jetzt schon weißt... Nich wahr?

Wie soll ich es Dir sagen? Bestimmt und direkt oder blumig umschrieben?

Oh nein... *knirsch* Mach das nicht... Büdde, büdde... Ich ahne fürchterliches...

Zitat:

Zitat von danira

Huuääähh... Das kannst du mir doch so nicht sagen...

Das kann ich nicht nur, das muss ich sogar, wenn ich bei der Wahrheit bleiben möchte. Und ich glaube kaum, dass Du an einer Märchenstunde interessiert bist.

Zitat:

Das hört sich ja noch fieser an als ich dachte...

Schädlinge sind fies - dazu braucht es meine Kommentare gar nicht erst, denn sie sind es von "sich aus" (bzw. durch die Absichten derer, die sie zu ihren Zwecken programmieren).

Code: Alles auswählenAufklappen

ATTFilter

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
         

Eigentlich gute Voraussetzungen: Das System ist zumindest von Grund auf aktuell (wie es um die nachfolgenden Patches bestellt ist, kann ich mit dieser Angabe allerdings nicht beurteilen).

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsqh.exe
C:\Programme\F-Secure Internet Security\FSPC\fspc.exe
C:\Programme\F-Secure Internet Security\FSGUI\fsguidll.exe
C:\Programme\F-Secure Internet Security\FSAUA\program\fsaua.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\FSAUA\program\fsus.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
         

Jetzt spreche ich mal wie eine Krankenschwester und sage: "Und was lernen wir daraus? Auch noch so viele Pflasterchen reichen nicht aus, uns vor blauen Flecken bei Kollisionen zu schützen. Also sind wir in Zukunft schön vorsichtig, dann müssen wir auch nicht mehr ins Krankenaus zu der Schwester mit der fiesen Spritze!"

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\Internet Explorer\iexplore.exe
         

Ungepatcht bzw. in Standardkonfiguration kann es ein sicherheitstechnisches Problem sein, den Internet Explorer zum normalen Surfen im Netz zu verwenden.

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
         

Auch ein zusätzlich im Hintergrund laufender Spybot S&D schützt da nicht zuverlässig.

[code]O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173968317796[code]
Gut - ein aktuelles Windowsupdate könnte darauf rückschließen lassen, dass Du immer brav die Windowsupdates einspielst.

Code: Alles auswählenAufklappen

ATTFilter

O17 - HKLM\System\CCS\Services\Tcpip\..\{3B62D5A5-54D7-4A78-8988-32CC6C5B768D}: NameServer = 195.50.140.114 195.50.140.252
         

Gut - es wird ein Router verwendet.

Code: Alles auswählenAufklappen

ATTFilter

Aber ich find du hörst dich an, als ob du diiiiieee ultimativen Lösungswege beinahe jetzt schon weißt...:D ;)  Nich wahr? *nochviiieelvieellieberalsvorherauchindierichtungdermalware-verbreiterguck*
Und ich mein na klar nicht das neu aufsetzen... *grins*
         

Das ist mir schon klar. Ich schau mir die betreffenden Dateien gerne an, ob es sich defintiv um Schädlinge handelt. Dazu dann gleich mehr.

Kann man bei dir Spyware komplett auschließen?

Zitat:,,kein Image angelegt hat... Hab ja ein gutes Antivirenprogramm"

Ein gutes Antivieren Programm ersetzt aber keine guten images!

Ich weiß jetzt nicht ob es was bringt aber schonmal versucht dein WINDOOF zu reparieren? Ich bin jetzt nicht der XP EXPERTE aber ich kenne es ein bissel zwar nicht so gut wie 2K wozu ich eigendlich eher raten kann! XP ist naja ganz ok!

@markus Ja, *schäm* und ich gelobe hoch und heilig Besserung...
Dachte eigentlich immer ich bin vorsichtig... *ganztraurigguck*


@mr. amd Mmmh... Hättest du mir die Frage vor ein paar Tagen gestellt hätt ich erhobenen Hauptes fleißig genickt, heute muss ich gesenkten Kopfes sagen... Wohl eher nicht...

Ich nutze F-Secure und lass Spybot ca. 1x die Woche drüber laufen...


Liebe Grüße,

Danira

P.S.: Die übrigens BEIDE nix gefunden hatten... *grummel*

Durchsuch mal das System nach einer Datei SPOOLSV32.0XE bzw. im zweiten Suchdurchgang nach SPOOLSV32.EXE. Stell bei der Benutzung der Suche sicher, dass auch nach versteckten Dateien gesucht wird. Berichte hier, wo solche Dateien gefunden werden - lösch aber zunächst bitte nichts!

Bist ein Schatz, wird sofort gemacht!!!

So, SPOOLSV32.0xe wurde in

C:\Dokumente und Einstellungen\Dajana\Lokale Einstellungen\Temp

gefunden und SPOOLSV32.exe wurde gar nicht gefunden...

Sende die dort gefundene Datei bitte per E-Mail als Anhang an virus@sicher-ins-netz.info, dann schaue ich sie mir an.

Verschickt!!!

Hm, kam noch nichts an. Falls das so bleibt, kann es sein, dass die Malware durch einen Virenscanner auf einem Mailserver im Internet erkannt und geblockt wurde.

Dann müsstest Du die Datei lokal mit einem Packprogramm packen und dabei das Archivpasswort "viurs" vergeben. Dann kann man die Datei abermals an eine Mail hängen und absenden. Weißt Du, wie das geht?

Bitte die Datei vorerst nicht löschen!