|
Plagegeister aller Art und deren Bekämpfung: Zufallsprogramme im Temp-Ordner führen zum SystemabsturzWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.03.2008, 16:51 | #1 |
| Zufallsprogramme im Temp-Ordner führen zum Systemabsturz Hallo, ich habe folgendes Problem.. Beim Starten passiert noch nichts, doch nach einiger Zeit wird ein Zufallsprogramm z.B. 16MP1KSO.exe im Ordner C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp erstellt, der wiederum auf das Internet zugreifen möchte. Mit meiner Firewall "Sygate Personal Firewall" kann ich diesen Zugriff blockieren, was ich auch jedes mal gemacht habe. Im Task-Manager wird diese exe als Prozess angezeigt, welchen ich auch immer beendet habe. Hab schon eine Systemwiederherstellung ausprobiert, aber da heißt es, dass ich nichts am system verändert habe. Und nach jeder guten Stunde wird wieder so ein zufallsprogramm im temp ordner erstellt und ich komm nicht an die quelle ran. Mittlerweile hängt sich dadurch mein ganzes System auf, sodass ich den PC jedes mal neu starten muss. Habs auch schon mal durchsuchen lassen, von evtl. existierenden viren befreit, doch hat auch nichts gebracht. Bin mit meinem Latein am Ende. ----------------------------------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:57:20, on 11.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AlienGUIse\wbload.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\Lexmark 6300 Series\lxcdmon.exe C:\Programme\Lexmark 6300 Series\ezprint.exe C:\WINDOWS\system32\lxcdcoms.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [LXCDCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCDtime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [lxcdmon.exe] "C:\Programme\Lexmark 6300 Series\lxcdmon.exe" O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 6300 Series\ezprint.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [WiseFTP] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe O4 - HKLM\..\Run: [SAITEKAUTOCONFIGURE] C:\Programme\Saitek\ST\Drv\saicnfig.exe /autorun O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [ObjectDock] - O4 - HKCU\..\Run: [WinRoll] C:\Programme\WinRoll\winroll.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1 O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Alienware Dock.lnk = C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\***\Startmenü\Programme\IMVU\Run IMVU.lnk O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab53083.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/popcaploader_v10.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: lxcd_device - Unknown owner - C:\WINDOWS\system32\lxcdcoms.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe -- End of file - 8373 bytes |
27.03.2008, 16:56 | #2 |
Administrator > Competence Manager | Zufallsprogramme im Temp-Ordner führen zum SystemabsturzHallo Seacraft und Willkommen! Dein Hijacklog sieht fast unbedenklich aus, daher arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen: CCleaner Temporäre Dateien mit CCleaner bereinigen Download CCleaner und installiere ihn, (klicke die Toolbar weg!). Danach CCleaner starten und => unter options settings => german einstellen. Gehe auf den Button links oben "Cleaner", setze Häkchen unter Reiter "Windows" (alle außer "Eingabefeld Verlauf" und bei "Erweitert" nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner"). Wechsel zum Reiter "Anwendungen", dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten". Starte nun den CCleaner, indem Du unten auf den Button "Analysieren" klickst. Wenn die Analyse fertig ist, klicke auf den Button "Starte CCleaner". ComboFix -Lade dir das Tool hier herunter -> KLICK Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist: Anleitung Combofix
__________________ |
27.03.2008, 17:22 | #3 |
| Zufallsprogramme im Temp-Ordner führen zum Systemabsturz So.. hab mal Combofix drüber laufen lassen.. da kommen mir einige sachen merkwürdig vor..
__________________ComboFix 08-03-26.1 - Matthias 2008-03-27 17:15:43.1 - FAT32x86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.609 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\msettings.ini C:\WINDOWS\start.exe C:\WINDOWS\system32\uninstall.exe C:\WINDOWS\Web\default.htt . ((((((((((((((((((((((( Dateien erstellt von 2008-02-27 bis 2008-03-27 )))))))))))))))))))))))))))))) . 2008-03-27 17:02 . 2008-03-27 17:02 <DIR> d-------- C:\Programme\CCleaner 2008-03-27 16:19 . 2008-03-27 16:19 <DIR> d-------- C:\WINDOWS\LastGood 2008-03-27 16:16 . 2008-03-27 16:16 <DIR> d-------- C:\Freigabe 2008-03-27 16:16 . 2008-03-27 16:16 <DIR> d-------- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Webroot 2008-03-27 15:54 . 2008-03-27 15:54 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Webroot 2008-03-26 12:28 . 2006-12-14 14:45 981,760 --------- C:\WINDOWS\SYSTEM32\dllcache\mfc42u.dll 2008-03-26 12:10 . 2008-03-26 12:11 <DIR> d-------- C:\Logs 2008-03-25 15:38 . 2006-12-19 22:49 8,494,592 --------- C:\WINDOWS\SYSTEM32\dllcache\shell32.dll 2008-03-25 15:38 . 2006-12-19 22:49 135,168 --------- C:\WINDOWS\SYSTEM32\dllcache\shsvcs.dll 2008-03-23 08:30 . 2006-08-21 10:14 128,896 --------- C:\WINDOWS\SYSTEM32\dllcache\fltmgr.sys 2008-03-23 08:30 . 2006-08-21 10:14 23,040 --------- C:\WINDOWS\SYSTEM32\dllcache\fltmc.exe 2008-03-23 08:30 . 2006-08-21 13:26 16,896 --------- C:\WINDOWS\SYSTEM32\dllcache\fltlib.dll 2008-03-22 22:35 . 2007-02-28 17:02 2,182,656 --------- C:\WINDOWS\SYSTEM32\dllcache\ntoskrnl.exe 2008-03-22 22:35 . 2007-02-28 17:02 2,138,624 --------- C:\WINDOWS\SYSTEM32\dllcache\ntkrnlmp.exe 2008-03-22 22:35 . 2007-02-28 17:02 2,059,904 --------- C:\WINDOWS\SYSTEM32\dllcache\ntkrnlpa.exe 2008-03-22 22:35 . 2007-02-28 17:02 2,018,304 --------- C:\WINDOWS\SYSTEM32\dllcache\ntkrpamp.exe 2008-03-18 08:02 . 2006-03-17 01:38 28,672 --------- C:\WINDOWS\SYSTEM32\verclsid.exe 2008-03-17 10:32 . 2007-06-26 07:08 1,104,896 --------- C:\WINDOWS\SYSTEM32\dllcache\msxml3.dll 2008-03-14 20:13 . 2007-10-29 23:42 1,293,312 --------- C:\WINDOWS\SYSTEM32\dllcache\quartz.dll 2008-03-13 19:57 . 2007-02-09 12:10 574,464 --------- C:\WINDOWS\SYSTEM32\dllcache\ntfs.sys 2008-03-11 18:14 . 2008-03-11 18:14 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Webroot 2008-03-11 18:14 . 2008-01-04 20:34 163,696 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\ssidrv.sys 2008-03-11 18:14 . 2008-01-04 20:34 23,920 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\sskbfd.sys 2008-03-11 18:14 . 2008-01-04 20:34 21,872 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\sshrmd.sys 2008-03-11 18:14 . 2008-01-04 20:34 20,336 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\SSFS0BB9.sys 2008-03-11 18:13 . 2008-03-11 18:13 <DIR> d-------- C:\Programme\Webroot 2008-03-11 18:13 . 2008-03-11 18:13 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Webroot 2008-03-11 18:13 . 2008-03-11 18:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Webroot 2008-03-11 18:13 . 2008-01-04 20:56 1,526,640 --a------ C:\WINDOWS\WRSetup.dll 2008-03-11 18:00 . 2008-03-11 18:00 164 --a------ C:\install.dat 2008-03-11 00:57 . 2008-03-11 00:57 <DIR> d-------- C:\Programme\Trend Micro 2008-03-10 16:55 . 2007-06-05 10:56 44,928 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\SDTHOOK.SYS 2008-03-10 16:53 . 2007-06-08 09:44 8,576 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\sjfbobsiqqjf.sys 2008-03-10 16:43 . 2008-03-10 16:43 <DIR> d-------- C:\WINDOWS\SYSTEM32\ActiveScan 2008-03-10 16:43 . 2008-03-10 16:43 30,590 --a------ C:\WINDOWS\SYSTEM32\pavas.ico 2008-03-10 16:43 . 2008-03-10 16:43 2,550 --a------ C:\WINDOWS\SYSTEM32\Uninstall.ico 2008-03-10 16:43 . 2008-03-10 16:43 1,406 --a------ C:\WINDOWS\SYSTEM32\Help.ico . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-10 16:01 155,648 ----a-w C:\WINDOWS\SYSTEM32\NeroCheck.exe 2008-02-13 17:00 --------- d-----w C:\Programme\ElsterFormular 2008-02-08 06:46 28,224 ----a-w C:\WINDOWS\SYSTEM32\Yj03C563.exe 2007-11-28 20:44 47,968 ----a-w C:\Dokumente und Einstellungen\***\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2006-08-09 16:09 266 --sh--w C:\Programme\desktop.ini 2006-08-09 16:09 11,253 ---h--w C:\Programme\folder.htt . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SlowFile Icon Overlay] @={7D688A77-C613-11D0-999B-00C04FD655E1} [HKEY_CLASSES_ROOT\CLSID\{7D688A77-C613-11D0-999B-00C04FD655E1}] 2006-12-19 22:49 8494592 --a------ C:\WINDOWS\SYSTEM32\SHELL32.DLL [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ObjectDock"="-" [] "WinRoll"="C:\Programme\WinRoll\winroll.exe" [2004-04-07 09:00 15360] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 21:09 1211176] "MJStarter"="" [] "Steam"="" [] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-12-18 14:14 3144800] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SystemTray"="SysTray.Exe" [2001-08-23 12:00 3072 C:\WINDOWS\SYSTEM32\systray.exe] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43 83608] "LXCDCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCDtime.dll" [2005-07-11 16:35 69632] "lxcdmon.exe"="C:\Programme\Lexmark 6300 Series\lxcdmon.exe" [2005-06-24 17:17 200704] "EzPrint"="C:\Programme\Lexmark 6300 Series\ezprint.exe" [2005-07-05 11:51 94208] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2008-03-10 17:01 155648] "CloneCDElbyCDFL"="C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2002-11-02 08:33 45056] "RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2008-03-10 17:16 30208] "LanguageShortcut"="C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [2008-03-10 17:16 49152] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-08-13 15:07 282624] "tuloxFreeWBS"="" [] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-10-22 15:50 185896] "ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-12-18 14:14 3144800] "SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 16:36 2372760] "NvCplDaemon"="RUNDLL32.exe" [2004-08-04 00:58 33792 C:\WINDOWS\SYSTEM32\rundll32.exe] "nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\SYSTEM32\nwiz.exe] "NvMediaCenter"="RunDLL32.exe" [2004-08-04 00:58 33792 C:\WINDOWS\SYSTEM32\rundll32.exe] "DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [2004-08-22 17:05 81920] "WiseFTP"="C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe" [2008-03-10 17:26 1031680] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792] "SpySweeper"="C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe" [2008-01-04 20:56 5367664] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] C:\Dokumente und Einstellungen\***\Startmen\Programme\Autostart\ Alienware Dock.lnk - C:\Programme\AlienGUIse\AlienwareDock\ObjectDock.exe [2007-01-05 23:41:37 2074360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360] Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-08-14 18:51:00 110592] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB] C:\Programme\AlienGUIse\fastload.dll 2001-12-20 23:34 24576 C:\Programme\AlienGUIse\fastload.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=wbsys.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\setup\disabledrunkeys] "LoadPowerProfile"=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\BitComet\\BitComet.exe"= "C:\\Programme\\Soldier of Fortune II - Double Helix\\SoF2MP.exe"= "C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "C:\\Programme\\eDonkey2000\\edonkey2000.exe"= "C:\\Programme\\Microsoft Games\\Halo\\halo.exe"= "C:\\Programme\\Stormregion\\S.W.I.N.E\\swine.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\Programme\\Wolfenstein - Enemy Territory\\ET.exe"= "C:\\Programme\\Azureus\\Azureus.exe"= "C:\\Programme\\AceBIT\\WISE-FTP\\wise_ftp.exe"= "C:\\Programme\\Sierra\\FEAR\\FEAR.exe"= "C:\\Programme\\Anno 1701\\Anno1701.exe"= "C:\\Programme\\Sierra\\FEAR\\FPUpdate.exe"= "C:\\Programme\\Canon\\DV Messenger\\DV Messenger.exe"= "C:\\Programme\\Real\\RealPlayer\\realplay.exe"= "C:\\WINDOWS\\System32\\dpvsetup.exe"= "C:\\WINDOWS\\System32\\rundll32.exe"= "C:\\Programme\\Codemasters\\IGI 2\\pc\\igi2.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "7985:TCP"= 7985:TCP:BitComet 7985 TCP "7985:UDP"= 7985:UDP:BitComet 7985 UDP "4682:TCP"= 4682:TCP:BitComet 4682 TCP "4682:UDP"= 4682:UDP:BitComet 4682 UDP "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2002-11-28 12:43] R0 Usc;Usc;C:\WINDOWS\system32\DRIVERS\usc.sys [2002-09-12 12:15] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dba0fa36-f1a0-11dc-8bce-00e018f34bc3}] \Shell\AutoRun\command - K:\Autorun.exe /run \Shell\Shell00\Command - K:\Autorun.exe /run \Shell\Shell01\Command - K:\Autorun.exe /action \Shell\Shell02\Command - K:\Autorun.exe /uninstall [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e6277870-5a67-11dc-a278-00e018f34bc3}] \Shell\AutoRun\command - K:\laucher.exe . Inhalt des "geplante Tasks" Ordners "2008-03-01 22:00:02 C:\WINDOWS\Tasks\Programmstart beschleunigen.job" "2008-03-26 23:00:04 C:\WINDOWS\Tasks\At1.job" - C:\WINDOWS\system32\Yj03C563.exe "2008-03-27 00:00:02 C:\WINDOWS\Tasks\At2.job" - C:\WINDOWS\system32\Yj03C563.exe "2008-03-19 01:00:04 C:\WINDOWS\Tasks\At3.job" - C:\WINDOWS\system32\Yj03C563.exe "2008-03-19 02:00:04 C:\WINDOWS\Tasks\At4.job" - C:\WINDOWS\system32\Yj03C563.exe "2008-03-17 03:00:08 C:\WINDOWS\Tasks\At5.job" - C:\WINDOWS\system32\Yj03C563.exe "2007-09-08 04:00:32 C:\WINDOWS\Tasks\At6.job" - C:\WINDOWS\system32\Yj03C563.exe "2007-09-02 05:00:32 C:\WINDOWS\Tasks\At7.job" - C:\WINDOWS\system32\Yj03C563.exe "2008-03-25 06:00:02 C:\WINDOWS\Tasks\At8.job" - C:\WINDOWS\system32\Yj03C563.exe "2008-03-25 07:00:10 C:\WINDOWS\Tasks\At9.job" - C:\WINDOWS\system32\Yj03C563.exe "2008-03-25 08:00:26 C:\WINDOWS\Tasks\At10.job" - C:\WINDOWS\system32\Yj03C563.exe "2008-03-25 09:00:06 C:\WINDOWS\Tasks\At11.job" - C:\WINDOWS\system32\Yj03C563.exe "2008-03-27 10:00:04 C:\WINDOWS\Tasks\At12.job" - C:\WINDOWS\system32\Yj03C563.exe "2008-03-27 11:00:02 C:\WINDOWS\Tasks\At13.job" - C:\WINDOWS\system32\Yj03C563.exe "2008-03-27 12:00:12 C:\WINDOWS\Tasks\At14.job" - C:\WINDOWS\system32\Yj03C563.exe "2008-03-27 13:00:50 C:\WINDOWS\Tasks\At15.job" - C:\WINDOWS\system32\Yj03C563.exe "2008-03-27 14:00:06 C:\WINDOWS\Tasks\At16.job" - C:\WINDOWS\system32\Yj03C563.exe "2008-03-27 15:00:02 C:\WINDOWS\Tasks\At17.job" - C:\WINDOWS\system32\Yj03C563.exe "2008-03-27 16:00:02 C:\WINDOWS\Tasks\At18.job" - C:\WINDOWS\system32\Yj03C563.exe "2008-03-26 17:00:12 C:\WINDOWS\Tasks\At19.job" - C:\WINDOWS\system32\Yj03C563.exe "2008-03-26 18:00:10 C:\WINDOWS\Tasks\At20.job" - C:\WINDOWS\system32\Yj03C563.exe "2008-03-26 19:00:08 C:\WINDOWS\Tasks\At21.job" - C:\WINDOWS\system32\Yj03C563.exe "2008-03-26 20:00:10 C:\WINDOWS\Tasks\At22.job" - C:\WINDOWS\system32\Yj03C563.exe "2008-03-26 21:00:08 C:\WINDOWS\Tasks\At23.job" - C:\WINDOWS\system32\Yj03C563.exe "2008-03-25 22:00:06 C:\WINDOWS\Tasks\At24.job" - C:\WINDOWS\system32\Yj03C563.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-27 17:17:35 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-03-27 17:18:12 ComboFix-quarantined-files.txt 2008-03-27 16:18:10 20 Verzeichnis(se), 16,697,360,384 Bytes frei 25 Verzeichnis(se), 16,688,578,560 Bytes frei . 2008-03-27 09:35:28 --- E O F --- |
27.03.2008, 17:47 | #4 | |
Administrator > Competence Manager | Zufallsprogramme im Temp-Ordner führen zum SystemabsturzMir kommen da auch einige Sachen komisch vor, vor allem wenn ich diesen ganzen Schrott hier lese: Zitat:
Obwohl das System schon infiziert ist, lädst du dir immer noch mehr "Müll" nach. Am liebsten würde ich hier meinen support einstellen! Cureit Dr.Web
Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Online-Viren-Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
27.03.2008, 17:56 | #5 |
| Zufallsprogramme im Temp-Ordner führen zum Systemabsturz Diese Programme sind schon lange auf dem pc, da mein Bruder vorher mit dem Pc gearbeitet hat. Jetzt hat er sich einen neuen PC gekauft. Ich benutz diese Programme nicht. Die Ports sind zwar im Router gespeichert, jedoch nicht aktiv. Ist WISE-FTP nicht ein normaler FTP-Client? Geändert von Seacraft (27.03.2008 um 18:02 Uhr) |
27.03.2008, 18:16 | #6 |
Administrator > Competence Manager | Zufallsprogramme im Temp-Ordner führen zum Systemabsturz Schon, aber ich sehe (hatte!) diese Software im Zusammenhang mit den anderen.
__________________ --> Zufallsprogramme im Temp-Ordner führen zum Systemabsturz |
27.03.2008, 18:24 | #7 |
| Zufallsprogramme im Temp-Ordner führen zum Systemabsturz nene.. das war auf der Start CD von 1&1 drauf.. und hab mich damit auf dem Server von einem Freund eingeloggt. Hat also nichts mit den Download Programmen zu tun. Ich bin mir schon im klaren, dass diese Filesharing sachen nichts Gutes bringen und mir dadurch nur was einfangen würde, deswegen kann man filesharing in meinem Fall ausschließen. Ich probier gerade das Dr. Web CureIT, aber Win bringt mir dauernd Fehler und bricht diagnose ab. muss mal schaun.. |
27.03.2008, 18:43 | #8 | |
Administrator > Competence Manager | Zufallsprogramme im Temp-Ordner führen zum SystemabsturzZitat:
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
31.03.2008, 22:59 | #9 |
| Zufallsprogramme im Temp-Ordner führen zum Systemabsturz Irgendwie hat sie das Problem sozusagen in Luft aufgelöst.. ich weiß nicht warum, aber seit samstag hängt sich mein pc nicht mehr auf.. Es aktiviert sich kein unerwünschtes Programm mehr.. umso besser ^^ ich danke trotzdem für die Hilfe |
Themen zu Zufallsprogramme im Temp-Ordner führen zum Systemabsturz |
adobe, bho, ctfmon.exe, dll, drivers, einstellungen, excel, explorer, firefox, firewall, hijack, hijackthis, hkus\s-1-5-18, hängt, internet, internet explorer, mozilla, mozilla firefox, neu starten, nvidia, pdf, programme, prozess, rundll, software, starten, task-manager, temp ordner, temp-ordner, viren, windows, windows xp |