hallo zusammen,
mein problem s. titel
mein notebook läuft ansonst ganz ok braucht ziemlich lang um hochzufahren jedoch keine weiteren störenden probleme.
trotzdem will ich meinen ordner wieder haben!!!!!

dank im voraus!


Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Hallo

lass bitte mal diese Dateien :

C:\WINDOWS\System32\zdablpu.exe
C:\WINDOWS\System32\dirservice.exe
C:\WINDOWS\System32\mspd.exe
C:\WINDOWS\System32\diagcrypt.exe
C:\WINDOWS\dll\rundll32.exe <-- bitte Pfad beachten

hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 33 AntiVirus Engine, Last Update(070917)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

hi,
erstmal danke für deine hilfe "nochdigger" !
also folgende auswertung für

C:\WINDOWS\System32\mspd.exe :

File size: 389632 bytes
MD5: a5ae20750b3cd9f16e851da7827250e1
SHA1: 5f22116cc75a9f0c926426e48be0587978ac2385

und kein ergebniss

das war auch die einzige datei die ich finden konnte, der rest scheint zumindest für mich nicht sichtbar.
über die suche hab ich noch den dll ordner finden können ( warum erscheint der nur über die suchfunktion, pfad:com/ms/dll ) aber keine rundll32 drin. aber habe eine rundll32 im system32 ordner gefunden und mal prüfen lassen viell. hilfts

C:\WINDOWS\system32\rundll32.exe :

File size: 33792 bytes
MD5: 9082ad264d95541ddc7cb2ac6513dc0d
SHA1: 59b60f0633c283feb42e5d30aea54d6c4555d176

kein ergebniss

soll ich die mspd.exe löschen und den rest fixen???

gruß kris

* versteckte Ordner und Dateien anzeigen lassen

Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
- Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
- Geschützte Systemdateien ausblenden -> Haken weg
- Inhalte von Systemordnern anzeigen -> Haken setzen
(diese Option ist bei Windows 2000 nicht vorhanden)
- Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

@cleriker: schon alles getan, geht ja nur noch ums regedit!!!

asoo,
konnte dein Hijackfile nich mehr sehen,

* Anleitung Avenger
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
Files to delete

C:\WINDOWS\System32\mspd.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Gehe in den Ordner c:\avenger. Dort findest du im Idealfall ein gezipptes Backup. Entzippe und versuche erneut den upload beider Dateien aus dem Archiv.
6.) Poste ausserdem den Inhalt der C:\avenger.txt

Wie die Einträge der anderen Prozesse aussehen,
kann ich ja leider nicht mehr erkennen. In der
Reg-Bereinigung nimmt dir aber CCleaner einiges ab.

* CCleaner
- Lade dir den CCleaner runter
- Setze bei der Ausführung die Häkchen mindestens Cookies und Internet Files
- optional kannst du die gelöschten Einträge aus dem Fenster abkopieren und posten

Poste anschließend bitte noch ein Hijackthislog nach Anleitung
und am besten einen escan hinterher.

* HijackThis - Scan
- Lade dir das Tool hier runter -> Hijackthis 2.02 Final
- Entpacke es in einen seperaten Ordner und benenne es um
(z.b. C:\Programme\HijackThis\pruefung.com)
- Führe die Datei aus und bestätige die Warnung mit "ok"
- Wähle die Option "Do a System Scan and save a logfile"
- poste den kompletten Inhalt des entstehenden LogFiles
->Entferne persönliche Informationen sowie aktive Links

* MWAV (eScan) - Free Antivirus
-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

mfg Cleriker

moin,

@cleriker:
sooo folgendes: habe die datei C:\WINDOWS\System32\mspd.exe manuell aus dem ordner gelöscht, schon bevor ich das mit dem avenger gelesen hab, ist aber noch im papierkorb.

die dateien
C:\WINDOWS\System32\zdablpu.exe
C:\WINDOWS\System32\dirservice.exe
C:\WINDOWS\System32\mspd.exe
C:\WINDOWS\System32\diagcrypt.exe
C:\WINDOWS\dll\rundll32.exe

habe ich gefixed, jetzt taucht nur die rundll32.exe immer wieder auf.

den CCleaner hab ich auch drüberlaufen lassen,leider auch bevor ich deinen beitrag gelesen hab, deswegen kein post der gelöschten einträge mehr möglich ( oder doch ?? )

dann hab ich wie beschrieben den escan gemacht ( ganze 4 stunden ), wo find ich denn jetzt diese find.bat, hab nach ihr gesucht aber nichts gefunden.

jetzt nochmal den aktuellen logfile :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:21:55, on 28.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Progra~1\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] REM C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143713999287
O17 - HKLM\System\CCS\Services\Tcpip\..\{C635F595-83C5-4EF6-B9EE-D31960C5EF07}: NameServer = 192.168.2.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Windows DLL Loader (RunDll32) - Unknown owner - C:\WINDOWS\dll\rundll32.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 4943 bytes

weiss garnicht wo dieser yahoo mist auf einmal herkommt! böses internet!

danke im voraus