ok, danke, werde versuchen, jdn dort zu informieren. kann ich mich denn nicht selbst auch absichern?

Hallo,
mein Problem besteht noch immer. Hat nicht jemand eine Idee, was ich machen kann?

Was ein Durcheinander.
Ich würde dir empfehlen dein System neuaufzusetzen. Horst ist ein Trojaner mit Backdoorfunktionalität, das heißt jemand anders hat kompletten Zugriff auf deinen Rechner.
Dabei empfehle ich dir folgende Anleitung zu berücksichtigen: Neuaufsetzen


Exploits sind Warnungen, auf Grund von Sicherheitslücken in Programmen, das heißt es besteht eigentlich kein Risiko solange, du nicht auf einen Trojaner triffst, dass du infiziert wirst.
Hier handelt es sich meines Erachtens allerdings um den Horst der bewusst Schwachstellen benutzt um sich weiterzuverbreiten. Laut google verbreitet sich der Wurm sowohl über Sicherheitslöcher in Netzwerken als auch über die autorun.inf auf USBSticks uÄ. Es ist also davon auszugehen, dass ein Großteil eures Netzwerk infiziert ist.
Wenn ihr einen Admin habt, dann würde ich den mal informieren und schauen, was für Schritte möglich sind.
Um dich selbst abzusichern, ist es absolut notwendig, dass du von einem sauberen (!) Rechner das SP2 (und am besten die folgenden Patches auch alle) lädst, deinen Rechner vom Netzwerk trennst, die Kiste neuaufsetzst, SP2 einspielst und frühestens dann die Verbindung zum Netzwerk wieder herstellst. Dann solltest du von nun an nur noch mit eingeschränkten Nutzerrechten surfen, hättest du bisher keine Adminrechte gehabt, als Horst vorbeikam, hätte sich der Virus auch nicht installieren können und du wärst auch sauber gewesen/geblieben.
Bei Firefox hätte es den Exploit zb auch nicht gegeben, also auch hier besser auf alternative Software umsteigen (zb auch statt Outlokk Thunderbird benutzen etc). Also auch hier möglichst Alternativen benutzen.

Die "Shareddocs an UlfsLaptop" sind freigegebene Ordner auf anderen Rechnern in deinem Netzwerk. Dort befinden sich dann zb Dateien, die Ulf mit anderen Leuten im Netzwerk teilen will, es ist ganz normal, dass du die siehst (und die dürften auch schon länger da sein. Der einzige Grund, den ich mir vorstellen kann, dass die Ordner jetzt aufgetauch sind, ist, dass deine Firewall das Netzwerk vorher sozusagen versteckt hat und du sie deshalb früher nicht gesehen hast. Es könnte sein, dass Horst deine Firewall deaktiviert hat und auf einmal siehst du das gesamte Netzwerk und wirst auch gesehen.

Bei der McAffee/ewido/eScan-Sache blicke ich überhaupt nicht durch. Wieviele Antivirenprogramme hast du jetzt aufm Rechner? Was tun sie? Wieso und wann hast du sie installiert. (Solltest du, wie empfohlen neuaufsetzen, ist die Frage nicht relevant. )
Da ich dein System nicht kenne (HJT-Logs wurden wegen nicht respektieren der Anleitung gelöscht) kann ich nicht sagen, ob du infiziert bist oder nicht, hast du freigegebene Ordner auf deinem Rechner? Ist der Ordner in dem sich die setup.exe befand freigegeben?
Poste bitte ein neues HJT-Log, lies nach wie du es hier richtig reinstellst. Mache auch einen Scan mit Blacklight
und silentrunner und poste die Ergebnisse hier.


lg myrtille

Hallo Myrtille,
vielen, vielen Dank. Jetzt kommt Licht in die Sache. Kann ich irgendwie rausfinden, ob jemand etwas macht oder gemacht hat? Ich hatte das Windows Sicherheitscenter mit Firewall und Virusprogramm und Autom. Updates und ein McAfee, dessen automatische Updates aber wohl nicht liefen. Jetzt habe ich die Windows Firewall gegen eine von Comboscan getauscht udn Spybot installiert. Die anderen Virenscanner (Ewido und escan) wurden mir im Forum empfohlen. ich werde mir jetzt die Anleitung zum Neuaufsetzen ansehen. Meines Wissens, soweit ich sehe und was ich bewußt gemacht habe, ist kein ordner freigegeben. ich mache jetzt erstmal den HJT-Log.
Gruß CHal

Hier die Angaben:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:01:40, on 24.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Comodo\Firewall\cmdagent.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\mcshield.exe
C:\Programme\Network Associates\VirusScan\vstskmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Comodo\Firewall\CPF.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\User\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://**/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.19:80
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SkypeIEHelper Class - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\toolbars\SKYPEF~1\SKYPE_~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: Skype™ For Internet Explorer - {B13721C7-F507-4982-B2E5-502A71474FED} - C:\Programme\Skype\toolbars\Skype for Internet Explorer\skype_toolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\CPF.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\User\OctoshapeClient.exe" -inv:bootrun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Skype™ For Internet Explorer - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\toolbars\SKYPEF~1\SKYPE_~1.DLL
O9 - Extra 'Tools' menuitem: Skype™ For Internet Explorer - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\toolbars\SKYPEF~1\SKYPE_~1.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {D7783732-69C6-4A28-BE53-618CC4609617} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://**.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - h**p://**.spaces.live.com/PhotoUpload/MsnPUpld.cab?10,0,916,0
O18 - Protocol: haufereader - (no CLSID) - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\vstskmgr.exe

--
End of file - 9918 bytes

Hi,

Zitat:

Kann ich irgendwie rausfinden, ob jemand etwas macht oder gemacht hat?

Das musst du selbst sehen. Man kann viel überprüfne, aber eine Garantie, das nichts getan wurde, gibt es eigentlich nie.

Du könntest dir zb tpcview besorgen und schauen auf welchen Ports welche Programme aktiv sind. Damit erkennt man häufig Backdoortrojaner, allerdings auch nur die schlechtversteckten.

Zitat:

Ich hatte das Windows Sicherheitscenter mit Firewall und Virusprogramm und Autom. Updates und ein McAfee, dessen automatische Updates aber wohl nicht liefen. Jetzt habe ich die Windows Firewall gegen eine von Comboscan getauscht udn Spybot installiert.

McAfee hat glaub nicht die Hammerwertungen, im allgemeinen scheint das System allerdings recht sicher gewesen zu sein.
Wichtig ist vor allem auch nicht zuviel Antivirensoftware auf dem Rechner zu haben. 2 Antivirenprogramme mit Hintergrundwächtern bekämpfen sich gegenseitig, verlangsamen so dein System und machen sich gegenseitig unsicherer.
Dasselbe kann (muss aber nicht ) auch bei dem HIntergrundwächter für Spybot passieren. Den würde ich persönlich auch deaktivieren.

Zitat:

Die anderen Virenscanner (Ewido und escan) wurden mir im Forum empfohlen.

Noch ein klärendes Wort zu Virenscannern:
Es gibt OnAccess-Virenscanner das ist zb der McAffee-Scanner. Ein Programm, das auf deinem Rechner installiert ist und immer im Hintergrund läuft. Mehrere solche OnAccess-Scanner auf einem Rechner ist ne dumme Idee.
Und es gibt OnDemand-Scanner, dazu gehören unter anderem die hier empfohlenen Scanner von eScan und Ewido. Sie haben keinen Hintergrundwächter und müssen bei Bedarf explizit aufgerufen werden. Unterschiedliche OnDemand-Scanner können nebeneinander heruntergeladen und durchgeführt werden, ohne dass sie sich gegenseitig behindern. (Es ist trotzdem eine dumme Idee 2 Virenscans gleichzeitig laufen zu lassen, auch wenn es geht )

Zitat:

Meines Wissens, soweit ich sehe und was ich bewußt gemacht habe, ist kein ordner freigegeben.

Navigiere bitte zu dem entsprechenden Ordner (Glaub C:\Windows\Dokumente und Einstellungen\All Users\ ) und rufe dort per Rechtsklick auf den Ordner "Dokumente" die Eigenschaften auf. Dann klickst du auf "Freigabe" und schaust ob der Rechner freigegeben ist.

lg myrtille

EDIT:
Folgende Einträge fixen:

Zitat:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll

und Java aktualisieren, auch für Java gibt es Sicherheitslücken über die man auf deinen Rechner gelangen könnte.

blacklight hat nichts gefunden. silentrunner habe ich laufen gelassen. jetzt gibt er mir an, das ergebnis sei in einer Textdatei unter Startup programs, was ist das? Habe nach der Datei gesucht und sie nicht gefunden...

Auszug aus der Anleitung:


In welchem Ordner hast du denn Silentrunners installiert?
Dort sollte sich eine Datei befinden die so heißt: Startup Programs (Rechnername) 2007-08-24 uhrzeit.txt
Diese öffnen und hier posten

Bitte auch Posting Nr. 51 noch beachten und abarbeiten.
lg myrtille

Hallo,
Einträge sind gefixt!

Ich habe jetzt den Ordner "Dokumente" angesehen. Dort steht unter Freigabe, ich solle ihn unter "gemeinsame Dokumente" ziehen, damit er nur für Nutzer des Computers freigegeben ist, das geht aber nicht. Außerdem soll ich ein Kästchen anklicken, dass ihn nur für diese Nutzer freigibt, das ist aber nicht anklickbar. Ich dachte immer, freigegebene Ordner wären mit einer Hand gekennzeichnet, das ist er aber nicht. Gekennzeichnet sind nur 2 Ordner unter Windows\System32 und zwar Druckertreiber und Remote-IPC, ist das ok?

Zitat:

Zitat von myrtille

Auszug aus der Anleitung:


In welchem Ordner hast du denn Silentrunners installiert?

das Programm ist in c:\Dokumente\User\lokale~1\temp gelandet ... Der Ordner ist aber leer?!



bitte posting Nr. 51 noch beachten und abarbeiten.
lg myrtille

bin dabei

Nein, lass den Ordner wo er ist. Ich wollte nur wissen ob er freigegeben ist. Ist er nicht. Das heißt allerdings leider auch, dass die Datei dort nicht von außerhalb hingeschrieben wurde. Und das der Wurm bei dir aktiv sein dürfte.
Auch die beiden freigegebenen Ordner deuten darauf hin.
Remote-IPC dürfte ein Programm sein um deinen Rechner aus der Ferne zu steuern. Hast du das Programm selbst installiert und nutzt es selbst, kann es durchaus normal sein. In deinem Fall vermute ich den Backdoor dahinter.

Da es sich um ein normales Programm handelt, wird es von keinem Scanner erkannt werden und du würdest nach einer Bereinigung glauben sauber zu sein, obwohl Fremde weiterhin Zugriff auf deinen Rechner haben. Da ich nicht weiß/nicht wissen kann, welche weiteren Programme bei dir noch installiert worden, kann ich dir nur das Neuaufsetzen empfehlen.

Mein anfänglicher Verdacht, dass dir jemand die setup.exe dort hingelegt hat, damit du dich infizierst hat sich nicht bestätigt. Die Datei wurde sozusagen von dir dort hin gelegt um weitere Leute zu infizieren. Sorry.

Falls es dich noch interessiert:
Einträge fixen kannst du hier nachlesen:
unter Einsetzen von Hijackthis-Einträge fixen.

lg myrtille

EDIT:
Bei Silentrunners dürfte das Problem sein, dass du die Datei nicht entpackt hast, sondern direkt ausm Archiv gestartet hast. Entpacke die Datei und lass Silentrunner dann nochmal laufen, danach dürfte auch das Log erscheinen.
Auch wenn das jetzt nicht mehr viel Bedeutung hat.

So ein Mist!
Das mit dem Fixen hatte ich doch gefunden und schon gemacht. ich mache jetzt trotzdem das Log mit Siletrunners. Soll ich dann neuaufsetzen?

Da ist es:

"Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"TOSCDSPD" = "C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" ["TOSHIBA"]
"Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]
"Octoshape Streaming Services" = ""C:\Programme\Octoshape Streaming Services\User\OctoshapeClient.exe" -inv:bootrun" [file not found]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"igfxtray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"igfxhkcmd" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"igfxpers" = "C:\WINDOWS\system32\igfxpers.exe" ["Intel Corporation"]
"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]
"Apoint" = "C:\Programme\Apoint2K\Apoint.exe" ["Alps Electric Co., Ltd."]
"CeEKEY" = "C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" ["COMPAL ELECTRONIC INC."]
"(Default)" = "(empty string)" [file not found]
"TPNF" = "C:\Programme\TOSHIBA\TouchPad\TPTray.exe" ["COMPAL ELECTRONIC INC."]
"HWSetup" = "C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP" ["TOSHIBA CO.,LTD."]
"SVPWUTIL" = "C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL" ["TOSHIBA"]
"Zooming" = "ZoomingHook.exe" ["TOSHIBA"]
"TCtryIOHook" = "TCtrlIOHook.exe" ["TOSHIBA"]
"TPSMain" = "TPSMain.exe" ["TOSHIBA Corporation"]
"SmoothView" = "C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" ["TOSHIBA Corporation"]
"TFncKy" = "TFncKy.exe" ["TOSHIBA Corporation"]
"Tvs" = "C:\Programme\TOSHIBA\Tvs\TvsTray.exe" ["TOSHIBA Corporation"]
"NDSTray.exe" = "NDSTray.exe" ["TOSHIBA CORPORATION"]
"dla" = "C:\WINDOWS\system32\dla\tfswctrl.exe" ["Sonic Solutions"]
"PadTouch" = "C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe" ["TOSHIBA"]
"ShStatEXE" = ""C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE" ["Network Associates, Inc."]
"McAfeeUpdaterUI" = ""C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey" ["Network Associates, Inc."]
"NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."]
"Adobe Photo Downloader" = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"" ["Adobe Systems Incorporated"]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"COMODO Firewall Pro" = ""C:\Programme\Comodo\Firewall\CPF.exe" /background" ["COMODO"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar Helper"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll" ["Yahoo! Inc."]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{22BF413B-C6D2-4d91-82A9-A0F997BA588C}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SkypeIEHelper Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Skype\toolbars\SKYPEF~1\SKYPE_~1.DLL" ["Skype Technologies S.A."]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{5CA3D70E-1895-11CF-8E15-001234567890}\(Default) = (no title provided)
-> {HKLM...CLSID} = "DriveLetterAccess"
\InProcServer32\(Default) = "C:\WINDOWS\system32\dla\tfswshx.dll" ["Sonic Solutions"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{9ED66769-A198-41FE-8615-601691C68846}" = "TouchPad Property Sheet"
-> {HKLM...CLSID} = "TouchPad PropSheet Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\TPprop.dll" ["COMPAL ELECTRONIC INC."]
"{5CA3D70E-1895-11CF-8E15-001234567890}" = "DriveLetterAccess"
-> {HKLM...CLSID} = "DriveLetterAccess"
\InProcServer32\(Default) = "C:\WINDOWS\system32\dla\tfswshx.dll" ["Sonic Solutions"]
"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"
-> {HKLM...CLSID} = "RecordNow! SendToExt"
\InProcServer32\(Default) = "C:\Programme\Sonic\RecordNow!\shlext.dll" [null data]
"{E91B2703-013E-4A99-AD33-2B6FB00AA356}" = "RecordNow! ContextMenuExt"
-> {HKLM...CLSID} = "RecordNow! ContextMenuExt"
\InProcServer32\(Default) = "C:\Programme\Sonic\RecordNow!\shlext.dll" [null data]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{5464D816-CF16-4784-B9F3-75C0DB52B499}" = "Yahoo! Mail"
-> {HKLM...CLSID} = "YMailShellExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]
"{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> igfxcui\DLLName = "igfxdev.dll" ["Intel Corporation"]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
VirusScan\(Default) = "{cda2863e-2497-4c49-9b89-06840e070a87}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Network Associates\VirusScan\shext.dll" ["Network Associates, Inc."]
Yahoo! Mail\(Default) = "{5464D816-CF16-4784-B9F3-75C0DB52B499}"
-> {HKLM...CLSID} = "YMailShellExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
VirusScan\(Default) = "{cda2863e-2497-4c49-9b89-06840e070a87}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Network Associates\VirusScan\shext.dll" ["Network Associates, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AADiffDocContext\(Default) = "{B64E66EA-4F55-4F12-91B0-645D8E09B139}"
-> {HKLM...CLSID} = "DiffDocContext.clsContextMenu"
\InProcServer32\(Default) = "C:\Programme\Softinterface, Inc\DiffDoc\DiffDocContext.dll" ["SoftInterface, Inc. and Cypress Technology Solutions, Inc."]
VirusScan\(Default) = "{cda2863e-2497-4c49-9b89-06840e070a87}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Network Associates\VirusScan\shext.dll" ["Network Associates, Inc."]

HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
AADiffDocContext\(Default) = "{B64E66EA-4F55-4F12-91B0-645D8E09B139}"
-> {HKLM...CLSID} = "DiffDocContext.clsContextMenu"
\InProcServer32\(Default) = "C:\Programme\Softinterface, Inc\DiffDoc\DiffDocContext.dll" ["SoftInterface, Inc. and Cypress Technology Solutions, Inc."]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Startup items in "User" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\User\Startmenü\Programme\Autostart
"Microsoft Office OneNote 2003 Schnellstart" -> shortcut to: "C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE /tsr" [MS]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{B13721C7-F507-4982-B2E5-502A71474FED}"
-> {HKLM...CLSID} = "Skype™ For Internet Explorer"
\InProcServer32\(Default) = "C:\Programme\Skype\toolbars\Skype for Internet Explorer\skype_toolbar.dll" ["Skype Technologies S.A."]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{B13721C7-F507-4982-B2E5-502A71474FED}"
-> {HKLM...CLSID} = "Skype™ For Internet Explorer"
\InProcServer32\(Default) = "C:\Programme\Skype\toolbars\Skype for Internet Explorer\skype_toolbar.dll" ["Skype Technologies S.A."]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{B13721C7-F507-4982-B2E5-502A71474FED}" = (no title provided)
-> {HKLM...CLSID} = "Skype™ For Internet Explorer"
\InProcServer32\(Default) = "C:\Programme\Skype\toolbars\Skype for Internet Explorer\skype_toolbar.dll" ["Skype Technologies S.A."]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll" ["Yahoo! Inc."]

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{4528BBE0-4E08-11D5-AD55-00010333D0AD}\(Default) = (no title provided)
-> {HKLM...CLSID} = "&Yahoo! Messenger"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{029F4681-0900-4227-A3CB-52F1ED4A8529}\(Default) = (no title provided)
-> {HKLM...CLSID} = "My Skype™ Contacts"
\InProcServer32\(Default) = "C:\PROGRA~1\Skype\toolbars\SKYPEF~1\SKYPE_~1.DLL" ["Skype Technologies S.A."]
{4528BBE0-4E08-11D5-AD55-00010333D0AD}\(Default) = (no title provided)
-> {HKLM...CLSID} = "&Yahoo! Messenger"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."]

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{D7783732-69C6-4A28-BE53-618CC4609617}\
"ButtonText" = "eBay"
"Exec" = "C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe" [null data]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{77BF5300-1474-4EC7-9980-D32B190E9B07}\
"ButtonText" = "Skype™ For Internet Explorer"
"MenuText" = "Skype™ For Internet Explorer"
"CLSIDExtension" = "{77BF5300-1474-4EC7-9980-D32B190E9B07}"
-> {HKLM...CLSID} = "EasyHideBtn Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Skype\toolbars\SKYPEF~1\SKYPE_~1.DLL" ["Skype Technologies S.A."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll" ["Yahoo! Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Comodo Application Agent, CmdAgent, "C:\Programme\Comodo\Firewall\cmdagent.exe" ["COMODO"]
ConfigFree Service, CFSvcs, "C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe" ["TOSHIBA CORPORATION"]
iPod Service, iPod Service, ""C:\Programme\iPod\bin\iPodService.exe"" ["Apple Computer, Inc."]
McAfee Framework Service, McAfeeFramework, "C:\Programme\Network Associates\Common Framework\FrameworkService.exe /ServiceStart" ["Network Associates, Inc."]
Network Associates McShield, McShield, ""C:\Programme\Network Associates\VirusScan\mcshield.exe"" ["Network Associates, Inc."]
Network Associates Task Manager, McTaskManager, ""C:\Programme\Network Associates\VirusScan\vstskmgr.exe"" ["Network Associates, Inc."]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
PDFCreator\Driver = "redmonnt.dll" [null data]
Toshiba Bluetooth Monitor\Driver = "tbtmon.dll" ["Toshiba America Business Solutions, Inc."]


---------- (launch time: 2007-08-24 15:49:28)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 48 seconds.
---------- (total run time: 73 seconds)

Zitat:

Zitat von myrtille

Mein anfänglicher Verdacht, dass dir jemand die setup.exe dort hingelegt hat, damit du dich infizierst hat sich nicht bestätigt. Die Datei wurde sozusagen von dir dort hin gelegt um weitere Leute zu infizieren. Sorry.

Und wie habe ich das gemacht?


Also jetzt neuaufsetzen?

Zitat:

Soll ich dann neuaufsetzen?

Ja, das wäre das beste.

Zitat:

Und wie habe ich das gemacht?

Nun ja, du hast das natürlich nicht direkt gemacht.
Was ich sagen wollte war, dass von deinem Account aus diese Datei wohl erstellt wurde um andere dazu zu verleiten, sie auch anzuklicken und nicht von woanders aus die Datei erstellt wurde um dich zu verleiten die Datei anzuklicken.

Horst verbreitet sich meist über Netzwerke und über Wechseldatenträger, so wirst du ihn wahrscheinlich auch bekommen haben. (und derzeit auch weitergeben )

Nicht traurig sein!
lg myrtille

EDIT:
Bei Silentrunners sieht man übrigens auch nicht, das ist ein gut versteckter kleiner Bastard!

Gut, oder nicht gut. Auf jeden Fall vielen, vielen Dank für Deine Hilfe. Ich werde mich dann also heute abend ans Neuaufsetzen machen.

Noch eine Frage: habe ich das richtig verstanden, dass das nicht über Webseiten oder Programme wie Skybe oder Mails kommt, sondern über einen USB-Stick (halte ich für unwahrscheinlich) oder ein Netzwerk, wie das Wohnheimnetz hier. Wäre es also wichtig den Administrator hier aufzuspüren?

Und noch eine zweite: In der Anleitung steht nur Passwörter ändern. Welche Passwörter muß ich ändern? Sind nur die Eingangspasswörter hier ins Netz gemeint? Könnte sich aktuell jemand mit meinen Passwörtern in das Netz hier einloggen, d.h. müßte das Haus hier den Zugang meines Zimmers ändern? oder geht das sowiet, dass wenn sich jemand über meinen Pc z.B. in ein Mailprogramm eingeloggt hat (hotmail etc.), dass so ein Passwort dann auch geändert werden muß?

Viele Grüße und nochmals danke
Chal