Hallo,

ich habe seit einigen Tagen einen Trojaner/Wurm auf meinem PC. Ich verwende Windows XP. Das Problem ist, dass mein PC immer ausgeht, wenn ich ihn scannen/überprüfen lasse, egal mit welchem Programm (z.B. CCleaner, Kaspersky). Der PC geht dann einfach aus (ohne den Vorgang "Windows wird heruntergefahren"), fährt aber auch direkt wieder normal hoch. In der Taskleiste kam immer die Meldung "Trojan-Spy.Win32@mx" und danach kam noch eine Meldung mit einem Virus, dessen Bezeichnung ich nicht mehr weiß. Als das mit dem Trojaner angefangen hat, haben sich öfters Webseiten geöffnet wie z.B. "Ihre Festplatte wird nun gescannt" und immer öffnen sich, wenn der PC wieder hochfährt, dass ich ein Prgramm namens "Locussoftcorp LTD" runterladen soll. Also Hauptproblem ist wie gesagt, dass der PC immer einfach ausgeht, wenn ich die Festplatte scannen oder bereinigen lassen möchte. Und mittlerweile kommt dann immer eine Nachricht, wenn der PC ausgeht, die blau hinterlegt ist.

Unter rechtsklick Arbeitsplatz, Erweitert habe ich das Häckchen bei der Einstellung "Automatisch Neustart durchführen" auch schon entfernt. Hat auch noch nichts geholfen.


Hier habe ich eine Log-File mit HijackThis erstellen lassen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:42:55, on 26.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {6860A44B-5D3E-433D-A7B5-D517F810D0E7} - C:\Programme\NetProject\sbmdl.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Internet Service - {DB9FBA9D-AB1B-4CC6-9745-F3B549D64E40} - C:\Programme\NetProject\wamdl.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EEventManager] C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NI.UGA6P_0001_N122M2802] "c:\dokumente und einstellungen\from autumn to ashes\anwendungsdaten\install_en[1].exe"
O4 - HKLM\..\Run: [NI.UGES_0001_N122M2602] "c:\dokumente und einstellungen\from autumn to ashes\anwendungsdaten\setup_en[1].exe"
O4 - HKLM\..\Run: [SM_IAN] C:\Programme\AdvancedCleaner Free\ian_monitor.exe
O4 - HKLM\..\Run: [] C:\Programme\WinPCDoctor\SysRep.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\NetProject\scit.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\NetProject\sbmntr.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.iefixgate.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.iefixgate.com/redirect.php (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe

--
End of file - 8450 bytes


Ich hoffe mir kann jemand weiterhelfen und bedanke mich im Voraus.

mann mann mann...da hab ich aber schon bessere logs gesehen ;-)

eins vorneweg : der pc ist überfüllt mit adware !
also müssen wir jetzt herausbekommen, wer (oder was) dafür verantwortlich ist....


obwohl meinerseits die fast vollkommene sicherheit auf malware besteht, folgende dateien bitte trotzdem noch bei Online Malware scan auswerten lassen, und ergebnis hier umgehend posten!

Zitat:

c:\dokumente und einstellungen\from autumn to ashes\anwendungsdaten\install_en[1].exe
c:\dokumente und einstellungen\from autumn to ashes\anwendungsdaten\setup_en[1].exe
C:\Programme\AdvancedCleaner Free\ian_monitor.exe
C:\Programme\WinPCDoctor\SysRep.exe
C:\Programme\NetProject\scit.exe
C:\Programme\NetProject\sbmntr.exe

lg volker racho

Ich habe jetzt die 3 folgenden Dateien überprüfen lassen, habe allerdings diese 4 Dateien nicht finden können:

C:\Programme\AdvancedCleaner Free\ian_monitor.exe
C:\Programme\WinPCDoctor\SysRep.exe (statt dieser Datei von WinPCDoctor wurde mir nur die erste ausgewertete Datei angezeigt: strpmon.exe)
C:\Programme\NetProject\scit.exe
C:\Programme\NetProject\sbmntr.exe


Datei: strpmon.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-
Bit9 rapportiert: File not found

A-Squared
Keine Viren gefunden
AntiVir
TR/Crypt.CFI.Gen gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
CPsecure
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Ikarus
Keine Viren gefunden
Kaspersky Anti-Virus
not-a-virus:FraudTool.Win32.ErrClean.a gefunden
NOD32
Win32/Adware.AVSystemCare application gefunden
Norman Virus Control
Keine Viren gefunden
Panda Antivirus
Keine Viren gefunden
Rising Antivirus
Keine Viren gefunden
Sophos Antivirus
Sus/ComPack-C gefunden (mögliche Variante)
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden



Datei: setup_en[1].exe Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
-
Bit9 rapportiert: Not analyzed yet (more info) A-Squared
Riskware.Downloader.Win32.WinFixer.ec gefunden
AntiVir
SPR/Fake.Syscontrol gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Downloader.Purityscan.AC gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
CPsecure
Downloader.W32.WinFixer.cn gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
not-a-virusownloader.Win32.WinFixer.ec (6, 2, 603) gefunden
Fortinet
Download/WinFixer gefunden
Ikarus
Win32.SuspectCrc gefunden
Kaspersky Anti-Virus
not-a-virusownloader.Win32.WinFixer.ec gefunden
NOD32
Win32/Adware.WinFixer application gefunden
Norman Virus Control
W32/DLoader.FQUK gefunden
Panda Antivirus
Keine Viren gefunden
Rising Antivirus
Keine Viren gefunden
Sophos Antivirus
Sus/ComPack-C gefunden (mögliche Variante)
VirusBuster
Keine Viren gefunden
VBA32
Downloader.Win32.WinFixer.ec gefunden



Datei: install_en[1].exe Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
-
Bit9 rapportiert: High threat detected (more info) A-Squared
Riskware.Downloader.Win32.WinFixer.au gefunden
AntiVir
SPR/Fake.Syscontrol gefunden
ArcaVir
Riskware.Downloader.Winfixer.Au gefunden
Avast
Keine Viren gefunden
AVG Antivirus
WinFixer.AJC gefunden
BitDefender
Trojan.Generic.73705 gefunden
ClamAV
Adware.Fakealert-39 gefunden
CPsecure
Downloader.W32.WinFixer.au gefunden
Dr.Web
Trojan.DownLoader.36408 gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
not-a-virusownloader.Win32.WinFixer.au (6, 2, 603) gefunden
Fortinet
Keine Viren gefunden
Ikarus
Keine Viren gefunden
Kaspersky Anti-Virus
not-a-virusownloader.Win32.WinFixer.au gefunden
NOD32
Win32/Adware.AVSystemCare application gefunden
Norman Virus Control
W32/WinFixer.AYK gefunden
Panda Antivirus
Application/AVSystemCare gefunden
Rising Antivirus
Trojan.DL.Win32.WinFixer.au gefunden
Sophos Antivirus
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Downloader.Win32.WinFixer gefunden

hi

bitte lasse folgende datei hier oder hier online scannen:


O4 - HKLM\..\Run: [] C:\Programme\WinPCDoctor\SysRep.exe

diese einträge bitte fixen:

O2 - BHO: (no name) - {6860A44B-5D3E-433D-A7B5-D517F810D0E7} - C:\Programme\NetProject\sbmdl.dll (file missing)

O3 - Toolbar: Internet Service - {DB9FBA9D-AB1B-4CC6-9745-F3B549D64E40} - C:\Programme\NetProject\wamdl.dll file missing)


O4 - HKLM\..\Run: [SM_IAN] C:\Programme\AdvancedCleaner Free\ian_monitor.exe (zuerst im taskmanager prozess beenden)

O4 - HKLM\..\Run: [NI.UGES_0001_N122M2602] "c:\dokumente und einstellungen\from autumn to ashes\anwendungsdaten\setup_en[1].exe" (prozess beenden)

O4 - HKLM\..\Run: [NI.UGA6P_0001_N122M2802] "c:\dokumente und einstellungen\from autumn to ashes\anwendungsdaten\install_en[1].exe" (auch hier zuerst prozess beenden)

O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - h**p://www.iefixgate.com/redirect.php]IE Anti-Spyware (file missing)

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" (prozess vorher beenden)

O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - h**p://www.iefixgate.com/redirect.php]IE Anti-Spyware (file missing)





lade dir folgendes tool herunter ---> killbox

lösche nun folgende dateien mit killbox:

C:\Programme\NetProject ( den ganzen ordner!! Ich habe den Verdacht das dies die Ursache für all die Malware auf deinem system verantwortlich ist)

c:\dokumente und einstellungen\from autumn to ashes\anwendungsdaten\install_en[1].exe


c:\dokumente und einstellungen\from autumn to ashes\anwendungsdaten\setup_en[1].exe

C:\Programme\WinPCDoctor (ist ja nichts systemlastiges also ganzen ordner löschen!!!!)

C:\Programme\AdvancedCleaner Free (auch hier ganzen


danach neues logfile posten

ich hoffe habe alles notwendige gesagt

lade dir das hier herunter und folge der darunterliegenden Beschreibung


ps. bitte gehe auch noch in den abgesicherten modus und lasse dein system komplett scannen

...und wieder wird einem ahnungslosen glaubhaft erklärt, wie er so eine Windows-Büchse ohne Neuaufsetzen wieder auf Vordermann bekommt.

Na denn........

Zitat:

Zitat von DocBrown

...und wieder wird einem ahnungslosen glaubhaft erklärt, wie er so eine Windows-Büchse ohne Neuaufsetzen wieder auf Vordermann bekommt.

Na denn........

eigentlich weiss ich nicht was dein Beitrag hier helfen soll

Das Neuaufsetzen fast immer die beste lösung ist bei Malwarebefall ist ja relativ klar

ABER: die malware die dieser user drauf hat sollte man mit ein bisschen geduld wegkriegen

ps. nimm dem user nicht die Hoffnung

ich kann die programme AdvancedCleaner Free und NetProject unter den angegebenen Pfaden nicht finden. habe auch die versteckten dateien anzeigen lassen.
außerdem wird bei mir nicht die datei SysRep.exe von dem programm WinPCDoctor angezeigt, sondern nur strpmon.exe. dann habe ich noch einen ordner mit WinPCDoctor, aber da sind nur 3 dateien enthalten, die alle 0 kbyte verbrauchen.

ich würde ja mein pc formatieren, aber ich benötige noch dateien, die ich übers netzwerk auf einen anderen pc schicken will und am end sind die viren dann auf dem pc. wenn die viren weg sind, formatiere ich sowieso.

weiß jetzt nicht ob sich hier irgendwas geändert hat. ich habe bei dem programm jetzt bei den genannten dateien ein häckchen gemacht und bin dann auf fix checkt (?) gegangen und hoffe mal jetzt hat sich schonmal was geändert.

danke auf jeden fall schonmal.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:33:10, on 27.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {6860A44B-5D3E-433D-A7B5-D517F810D0E7} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EEventManager] C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [] C:\Programme\WinPCDoctor\SysRep.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\NetProject\scit.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\NetProject\sbmntr.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe

--
End of file - 8089 bytes

Tja , netproject zu empfehlen.........

Zitat:

Tja , netproject zu empfehlen.........

was ist denn damit jetzt wieder gemeint?

@DocBrown
ich weiss ja nicht was deine Beiträge sollen aber wenn du aufmerksamkeit brauchst bist du hier an der falschen Adresse also bitte hör auf unnötiges zeug zu posten danke

@DJ86

bitte downloade dir combofix
und poste danach das logfile danke
hier findest du noch nützliche infos zum tool und gebrauch


lass die datein die dir angezeigt wird (strpmon.exe) hier oder hier scannen

bitte fixe auch folgende einträge:

O2 - BHO: (no name) - {6860A44B-5D3E-433D-A7B5-D517F810D0E7} - (no file)

O4 - HKLM\..\Run: [] C:\Programme\WinPCDoctor\SysRep.exe

O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\NetProject\scit.exe

O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\NetProject\sbmntr.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')

danach neues logfile posten

Tja, dann will ich mal was nützliches posten!!

Da ich Prog. bei Dell bin (seit 12 J.) kann ich Dirvielleicht einen Tip geben ,wie die Geschichte ausgehen wird.

Die empfehlen Dir andere Prog. die Dir helfen sollen den Mist aufzuspüren. Über die Progr. weiss man GAR NICHTS..sie sollen helfen aber wie sie es genau machen weiss kein Hund.

Du kannst Glück haben das nach dieser ganzen Prozedur OBERFLÄCHLICH alles "gelöscht" ist, aber unten tief im Wasser lauert noch immer der Hai. glaubs mir. Von den Notebooks und Desktops die bei uns , wegen Serviceleistung, zurück kommen sind ca. alle verseucht( Windows). Obwohl alle natürlich von Gdata bis Symantec(lach) die "neusten" Helfer drauf haben. Alle basierend auf Virensignaturen..........2008 ist das zu wenig!!!!

Um wirklich eine Malware entfernen zu können ,müsste man dieses,wenn überhaupt, MANUELL machen in der registry...........ich bezweifele, ob man da alles finde würde, selbst wenn man weiss wonach man sucht.

Meine Empfehlung:

1. Nutze als GRUNDSYSTEM IMMER EINE LINUX-DISTRIBUTION!!!

2. viele können oder wollen noch nicht auf Windows verzichten........deshalb installiere dir Windows in eine VIRTUELLE BOX und nicht als Dualboot-System.

Da gehört Windows nämlich hin.Und nur dahin.

Keine Angst....die meisten Linux-Systeme (Fedora, Ubuntu.etc) sind mittlerweile selbsterklärend. Beim ersten mal sollte man sich aber vielleicht Hilfe in den entsprechenden Foren holen.

Ich verspreche Dir das die WAHRSCHEINLICHKEIT von malware befallen zu werden auf ein MINIMUM reduziert wird.

Viel Erfolg!!

Zitat:

Tja, dann will ich mal was nützliches posten!!

Da ich Prog. bei Dell bin (seit 12 J.) kann ich Dirvielleicht einen Tip geben ,wie die Geschichte ausgehen wird.

Die empfehlen Dir andere Prog. die Dir helfen sollen den Mist aufzuspüren. Über die Progr. weiss man GAR NICHTS..sie sollen helfen aber wie sie es genau machen weiss kein Hund.

Du kannst Glück haben das nach dieser ganzen Prozedur OBERFLÄCHLICH alles "gelöscht" ist, aber unten tief im Wasser lauert noch immer der Hai. glaubs mir. Von den Notebooks und Desktops die bei uns , wegen Serviceleistung, zurück kommen sind ca. alle verseucht( Windows). Obwohl alle natürlich von Gdata bis Symantec(lach) die "neusten" Helfer drauf haben. Alle basierend auf Virensignaturen..........2008 ist das zu wenig!!!!

Um wirklich eine Malware entfernen zu können ,müsste man dieses,wenn überhaupt, MANUELL machen in der registry...........ich bezweifele, ob man da alles finde würde, selbst wenn man weiss wonach man sucht.

Meine Empfehlung:

1. Nutze als GRUNDSYSTEM IMMER EINE LINUX-DISTRIBUTION!!!

2. viele können oder wollen noch nicht auf Windows verzichten........deshalb installiere dir Windows in eine VIRTUELLE BOX und nicht als Dualboot-System.

Da gehört Windows nämlich hin.Und nur dahin.

Keine Angst....die meisten Linux-Systeme (Fedora, Ubuntu.etc) sind mittlerweile selbsterklärend. Beim ersten mal sollte man sich aber vielleicht Hilfe in den entsprechenden Foren holen.

Ich verspreche Dir das die WAHRSCHEINLICHKEIT von malware befallen zu werden auf ein MINIMUM reduziert wird.

Viel Erfolg!!

Tragische Geschichte.............interessiert mich bloß nicht.

ich folge erstmal den anweisungen von "virus" und entscheide dann! außerdem war deine nachricht jetzt auch nicht so hilfreich, also melde dich doch am besten gar nicht mehr in dem forum, dich kann hier eh glaube niemand gebrauchen mit deinen dämlichen kommentaren. musst ja ein sehr schlauer fuchs sein, wenn du für so eine big firma arbeitest. weißt bestimmt am besten bescheid.

also, ich habe jetzt versucht mit combofix das problem zu lösen, aber das hat auch nicht funktioniert, weil der computer wieder mal einfach ausgegangen ist. wieso geht der denn immer aus, sobald ich ein programm starte, das die festplatte reinigen (z.b. ccleaner) oder scannen soll?? das einzige was probelmlos funktioniert ist HijackThis und der Online-Scan.


hier ist die auswertung der datei "strpmon.exe" von WinPCDoctor:

Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
PE_PATCH
Bit9 rapportiert: File not found

A-Squared
Keine Viren gefunden
AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Generic10.BNR gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
CPsecure
Keine Viren gefunden
Dr.Web
Trojan.Fakealert.482 gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
not-a-virus:FraudTool.Win32.ErrClean.a (6, 2, 616) gefunden
Fortinet
Keine Viren gefunden
Ikarus
DroppedWin32.Worm.Stration.EM gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Win32/Adware.AVSystemCare application gefunden
Norman Virus Control
Keine Viren gefunden
Panda Antivirus
Keine Viren gefunden
Rising Antivirus
Keine Viren gefunden
Sophos Antivirus
Sus/ComPack-C gefunden (mögliche Variante)
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

...und wann glaubs Du meine Geschichte?? Es wird so ausgehen wie beschrieben!