Hallo Leute!
Seit ein paar Tagen bekomme ich bei jedem Neustart komische Fehlermeldungen,die sich andauernd ändern.
Hatte auch beim Scan mit dem Spyware Doctor etwas gefunden der diese Fehlermeldungen erstellt.
Habe ihn auch gelöscht doch es ist trotzdem immer noch da.
Irgendwie läuft alles auch nicht sehr rund.
Ich hänge später die HijackThis logfile und die escan logfile an.
Ich muss sie erst erstellen.
Hoffe ihr könnt mir helfen.
mfg
Timo
Edit:
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.4.9
Sprache: German
Virus-Datenbank Datum: 11/28/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({0ba4ac17-3329-4d46-8cf7-40a8f1cb3dca})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({2a652f47-a8ce-414c-bbb4-203a59031056})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({30571f17-3201-47ed-a8ac-254f3d5c5b5c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({3c43bba2-9e93-4758-8669-adce56687e0c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4898d118-1d1e-4a2d-a8a3-4a75bf333cd5})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4acc4c22-2baf-46ca-8287-232e785e77ce})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({517f778c-078d-4d33-953b-afbf1720c947})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({76d230aa-fc0c-4dd4-bf9e-4032d60369f1})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({87b24642-366e-4393-851a-b6cec5d7e641})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({8c22668a-d7d8-42f5-99e8-4f30ed0d18b0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({963dfd8c-2e6a-4db4-bcb3-9d5c78142e41})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({9c1ab46a-1fe8-4953-be30-327e0d6f7d45})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a06d036f-984f-4482-ad5c-ebd11a638b4c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a434ac6f-7286-42c3-982b-20f00263501b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({c5a786b9-3bd6-4a4e-b4d7-9b752138dc4b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d044d89c-01e4-4722-8812-8df543680606})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d3e78b93-4b65-405d-9095-e82b78555173})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({dd55f5c5-de77-4de1-a139-1025c66acfb0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({e6857874-b535-46d7-a3eb-4103614e91fc})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({fbd42940-b837-40eb-bdb4-86ae00e1d0d1})! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\k-lite codec pack\tools
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\k-lite codec pack\tools
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobile.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 100401
Gefundene Viren: 25
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 102
Dauer des Scans bisher: 00:53:47
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 22:56:29,45
Batchende: 22:56:43,15

und noch die HijackThis Logfile
Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Hallo!
Sorry für den Doppelpost.
Habe eben mit dem Housecall Onlinevirenscan einen undefinierbaren Trojaner gefunden sein Name ist TROJ AAR.A kennt den jemand?
Man konnte ihn auch nicht löschen.
Hijackthis Logfile und Escan Logfile sind ja oben.
Danke im Vorraus.
mfg
Timo

Hallo Leute!
Brauche echt dringend eure Hilfe.
Mein Internet funzt fast gar nicht mehr!
Habe in der letzten Woche sowie auch heute mehrere Speedtests gemacht.
Ich habe von Arcor Dsl 6000.
Mein Upload liegt bei 629,88 kBit/s
Doch mein Download liegt bei 97,88 kBit/s !!!!
Mehrfach kam bei dem Speedtest die Meldung das Meine Verbindung stark schwankend ist und ich soll überprüfen ob ich gerade einen Download am laufen habe.
Irgendwas läuft anscheinend im Hintergrund.
Wie kann ich das aufspüren???
Hoffe habe nichts schlimmes drauf.
Vielen Dank im Vorraus!
mfg
Timo

Hallo

Zitat:

Habe eben mit dem Housecall Onlinevirenscan einen undefinierbaren Trojaner gefunden sein Name ist TROJ AAR.A kennt den jemand?

Nö, aber wo wurde der Bursche denn entdeckt (Pfad/Dateiname)?

Zitat:

Hijackthis Logfile und Escan Logfile sind ja oben.

Erstelle bitte mal ein neues HijackThis Log, dieses mal aber bitte nach den Regeln in GUAs link, benenne auch vor dem scannen die Hijackthis.exe um in z.B. This.exe.

Den bisherigen Meldungen von eScan würde ich nicht all zuviel Aufmerksamkeit schenken und ist der eScan bis zu ende durchgelaufen?

MFG

Hallo nochdigger!
Erstmal danke das du dich mir annimmst und cooler Nick.
Habe bei der letzten HijackThis logfile gedacht das ich alles richtig gemacht habe.
Naja habe wohl etwas übersehen.
Versuche es erneut.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:46:08, on 05.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Hama\Common\RaUI.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Timo\Desktop\This\This.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =h***://***.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h***://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h***://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h***://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.16\AsRunHelp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Hama Wireless LAN Utility.lnk = C:\Programme\Hama\Common\RaUI.exe
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IE7Pro\IE7Pro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwnsp.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h***://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Uninterruptible Power Supply (UPS) - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)

--
End of file - 5258 bytes


Ich hoffe diesmal habe ich es richtig gemacht.
Ich finde man sieht nix Aussergewöhnliches.
Komisch komisch komisch.
Und wie immer DANKE im Vorraus.
mfg
Timo

Hallo!
Da ich nicht editieren kann hier noch ein neuer Escan log.
Ich kann nur sagen langsam habe ich die Schnauze voll.
Dauernd neue Viren etc.
Es wäre schön wenn man einmal nix drauf hätte.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.4.9
Sprache: German
Virus-Datenbank Datum: 12/6/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "saminside Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({0ba4ac17-3329-4d46-8cf7-40a8f1cb3dca})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({2a652f47-a8ce-414c-bbb4-203a59031056})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({30571f17-3201-47ed-a8ac-254f3d5c5b5c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({3c43bba2-9e93-4758-8669-adce56687e0c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4898d118-1d1e-4a2d-a8a3-4a75bf333cd5})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4acc4c22-2baf-46ca-8287-232e785e77ce})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({517f778c-078d-4d33-953b-afbf1720c947})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({76d230aa-fc0c-4dd4-bf9e-4032d60369f1})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({87b24642-366e-4393-851a-b6cec5d7e641})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({8c22668a-d7d8-42f5-99e8-4f30ed0d18b0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({963dfd8c-2e6a-4db4-bcb3-9d5c78142e41})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({9c1ab46a-1fe8-4953-be30-327e0d6f7d45})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a06d036f-984f-4482-ad5c-ebd11a638b4c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a434ac6f-7286-42c3-982b-20f00263501b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({c5a786b9-3bd6-4a4e-b4d7-9b752138dc4b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d044d89c-01e4-4722-8812-8df543680606})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d3e78b93-4b65-405d-9095-e82b78555173})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({dd55f5c5-de77-4de1-a139-1025c66acfb0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({e6857874-b535-46d7-a3eb-4103614e91fc})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({fbd42940-b837-40eb-bdb4-86ae00e1d0d1})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\NirCmd.exe infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\k-lite codec pack\tools
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\k-lite codec pack\tools
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobile.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 87914
Gefundene Viren: 28
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 92
Dauer des Scans bisher: 00:42:07
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 5:17:07,28
Batchende: 5:17:18,89



Und noch ne Frage hatte irgendwas von Qooboox gelesen beim Dateien durchsuchen.
Was ist das????
Ich wollte auch wegen der infizierten Datei ein Programm durchlaufen lassen irgendwas mit px csi oder so doch das gab dauernd die Fehlermeldung:malicious reg host do you want to stop this blabla.
Habe das immer gemacht und einen neustart gemacht doch half nix.
Vielen Dank
mfg
Timo

Hallo

C:\WINDOWS\NirCmd.exe hast wissentlich installiert?
NirCmd - Freeware command-line tool

Hast du Smitfraudfix evtl. laufen lassen?

Zitat:

Zitat:

Nö, aber wo wurde der Bursche denn entdeckt (Pfad/Dateiname)?

Die Frage steht auch noch im Raum

Lass mal Combofix auf dein System los

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

MFG

EDIT Arrrr nicht gesehen du hast editiert wie ich schon im Beitrag war

Guten Morgen nochdigger.
Also ich habe das nicht wissentlich installiert.
Das doofe ist wegen dem Trojaner gibt es keine Logs und daher kann ich nicht sagen wo er gefunden wurde.
Habe ihn nochmal drüberlaufen lassen doch fand ihn nicht wieder.
Werde jetzt gleich Combofix runterladen und sofort den log posten.
Danke schön bin langsam echt am verzweifeln.
Wie ich gerade sehe kommt dieses NirCmd.exe von dem Combofix.
Mein Antivir ist gerade total abgegangen.
Habe einfach auf Zugriff verweigert gedrückt.
Kam trotzdem eine Logfile raus.

ComboFix 07-12-02.7 - Timo 2007-12-06 6:22:14.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1062 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Timo\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-06 bis 2007-12-06 ))))))))))))))))))))))))))))))
.

2007-12-06 04:44 . 2007-12-06 04:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx
2007-12-06 04:43 . 2007-12-06 05:34 <DIR> d-------- C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\PrevxCSI
2007-12-05 13:55 . 2007-12-05 13:55 <DIR> d-------- C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\gtopala
2007-12-05 13:30 . 2007-12-05 13:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2007-12-05 09:54 . 2007-12-06 05:10 0 --a------ C:\23990098.$$$
2007-12-05 09:49 . 2007-12-05 09:49 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-12-05 09:49 . 2007-12-05 09:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2007-12-05 07:59 . 2007-10-12 15:14 3,734,536 --a------ C:\WINDOWS\system32\d3dx9_36.dll
2007-12-05 07:59 . 2007-10-12 15:14 1,374,232 --a------ C:\WINDOWS\system32\D3DCompiler_36.dll
2007-12-05 07:59 . 2007-10-02 09:56 444,776 --a------ C:\WINDOWS\system32\d3dx10_36.dll
2007-12-05 07:59 . 2007-10-22 03:39 267,272 --a------ C:\WINDOWS\system32\xactengine2_10.dll
2007-12-03 21:20 . 2007-12-04 02:23 <DIR> d-------- C:\Programme\Call of Duty
2007-12-01 03:59 . 2007-12-01 03:59 <DIR> d-------- C:\Programme\directx
2007-12-01 03:58 . 2007-12-01 03:58 <DIR> d-------- C:\Programme\Rockstar Games
2007-11-30 05:00 . 2007-11-30 05:00 87,552 --a------ C:\WINDOWS\system32\fldrclnr.dll
2007-11-29 21:51 . 2007-12-03 20:41 <DIR> d-------- C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien
2007-11-27 04:38 . 2007-11-27 04:38 316 --a------ C:\WINDOWS\game.ini
2007-11-25 20:08 . 2007-12-03 21:13 <DIR> d-------- C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\Hamachi
2007-11-25 20:08 . 2007-11-28 14:32 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2007-11-25 15:03 . 2007-11-25 15:03 <DIR> d-------- C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\InstallShield
2007-11-24 16:22 . 2007-12-05 15:08 <DIR> d-------- C:\Programme\WarRock
2007-11-19 06:23 . 2007-11-19 06:31 <DIR> d-------- C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\SecondLife
2007-11-12 03:15 . 2007-11-12 03:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2007-11-12 03:01 . 2007-11-12 03:01 <DIR> d-------- C:\Programme\Avira
2007-11-12 02:23 . 2007-11-12 02:23 <DIR> d-------- C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\RouterControl
2007-11-11 23:58 . 2007-11-11 23:58 81 --a------ C:\Neuer Ordner.aes
2007-11-08 12:52 . 2007-11-12 02:38 138,220 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2007-11-08 04:08 . 2007-11-28 20:52 <DIR> d-------- C:\Fraps

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-06 02:48 --------- d-----w C:\Programme\BitTorrent
2007-12-06 02:19 22,328 -c--a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-12-06 01:54 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-12-06 01:04 --------- d-----w C:\Programme\Spyware Doctor
2007-12-05 11:49 --------- d-----w C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\teamspeak2
2007-12-03 20:43 11,973 -c--a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-12-01 16:52 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-01 00:27 --------- d-----w C:\Programme\Xfire
2007-11-30 20:28 --------- d-----w C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\Xfire
2007-11-30 04:01 9,216 -csha-w C:\Programme\Thumbs.db
2007-11-30 03:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-26 18:32 --------- d-----w C:\Programme\EA Games
2007-11-14 23:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-11-14 23:30 --------- d-----w C:\Programme\IrfanView
2007-11-12 02:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-10-31 18:20 --------- d-----w C:\Programme\eMule
2007-10-29 18:50 28,672 -c--a-w C:\WINDOWS\system32\drivers\CO_Mon.sys
2007-10-28 23:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2007-10-28 18:52 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2007-10-28 11:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
2007-10-28 11:51 --------- d-----w C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\Azureus
2007-10-28 11:47 --------- d-----w C:\Programme\Ashampoo
2007-10-28 11:44 --------- d-----w C:\Programme\Winamp
2007-10-25 20:41 --------- d-----w C:\Programme\Vokabeltrainer für Windows
2007-10-25 15:16 --------- d-----w C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\BitTorrent
2007-10-20 16:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-10-20 16:02 --------- d-----w C:\Programme\Kaspersky Lab
2007-10-20 15:05 --------- d-----w C:\Programme\BearShare
2007-10-16 08:51 --------- d-----w C:\Programme\a-squared Free
2007-10-16 03:44 --------- d-----w C:\Programme\Uniblue
2007-10-16 03:18 --------- d-----w C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\Uniblue
2007-10-15 04:48 --------- d-----w C:\Programme\Google
2007-10-15 04:46 --------- d-----w C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\PC Tools
2007-10-15 00:07 --------- d-----w C:\Programme\Lavasoft
2007-10-14 01:06 --------- d-----w C:\Dokumente und Einstellungen\Timo\Anwendungsdaten\ICQ
2007-10-11 18:43 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-10-11 06:55 --------- d-----w C:\Programme\Trend Micro
2007-10-11 06:29 --------- d-----w C:\Programme\Azureus
2007-04-28 13:51 25,214 -c--a-w C:\Programme\B.ico
2007-04-28 13:51 25,214 -c--a-w C:\Programme\A.ico
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2002-12-31 14:00]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 15:46]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AsusStartupHelp"="C:\Programme\ASUS\AASP\1.00.16\AsRunHelp.exe" [2006-11-14 07:25]
"RTHDCPL"="RTHDCPL.EXE" [2006-11-14 10:21 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 11:04 C:\WINDOWS\SkyTel.exe]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-08-07 20:18]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-08-07 20:18]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-08-07 20:17]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-11-12 03:03]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 14:00]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Hama Wireless LAN Utility.lnk - C:\Programme\Hama\Common\RaUI.exe [2007-07-23 16:59:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalService REG_MULTI_SZ LmHosts upnphost SSDPSRV

.
**************************************************************************
Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-06 6:23:25
C:\ComboFix2.txt ... 2007-12-05 13:12
.
--- E O F ---

Wenn das nicht reicht kann ich die NirCmd.exe auch auf ignorieren setzen.
Danke Danke Danke!
mfg
Timo

Hallo Leute!
Habe eben bei meinem Internet Provider nochmal angerufen und mir wurde gesagt das der Speed bis zu meinem Modem normal ist.
Oh man das heisst also das es am Pc liegt.
mfg
Timo

Hallo

Zitat:

Habe eben bei meinem Internet Provider nochmal angerufen und mir wurde gesagt das der Speed bis zu meinem Modem normal ist.

fixe mit HijackThis mal diesen Eintrag :

Zitat:

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

(dieser Eintrag hat schon für Schwierigkeiten dahingehend gesorgt)


Du hast ja ne menge Antivirenprogramme installiert AntiVir, Kaspersky und PrevX, deinstalliere 2 davon bleibe bei einem, wo wir grad dabei sind schick doch diese hier
BitTorrent
eMule
Azureus
auch gleich in Rente, die bringen viel Müll auf die Rechner

Zitat:

Wie ich gerade sehe kommt dieses NirCmd.exe von dem Combofix.
Mein Antivir ist gerade total abgegangen.

Ich denke eher Antivir ist angesprungen wie Combofix drüber gelaufen ist, versuch das Programm über Start -> Einstellungen -> Systemsteuerung -> Software zu deinstallieren (wenn überhaupt möglich).

In den letzten Logs hab ich von Schädlingen nix gesehen.

MFG

Hallo nochdigger!
Danke für die Hilfe.
Ich habe den Eintrag gefixt und habe dieses NirCmd.exe gelöscht.
Leider keine Besserung.
Irgendworan muss es ja liegen.
Wenn jemand noch eine Idee hat bitte schreiben.
mfg
Timo

Hallo

führe bitte mal Blacklight aus

F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit Blacklight ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
bitte während des Scans nichts am Rechner machen (Datei direkt auf C:\ speichern).
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C:\ abgelegt werden.)


Dann erstelle bitte noch ein Log mit Silentrunners

Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

MFG