Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: A0043906.exe virus?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.07.2008, 22:47   #1
Garcia
 
A0043906.exe virus? - Standard

A0043906.exe virus?



Hallo,
Ich habe das Problem, dass sich Windows jedesmal wenn ich die Defragmentierung (Die langsam aber sicher nötig wird!) praktisch aufhängt. Es reagiert nur noch im Minutentakt und kann nicht mehr heruntergefahren werden.
Seltsam ist, dass es sich jedes Mal bei der Verschiebung der Datei A0043906.exe aufhängt. Habe die Datei gesucht, konnte sie aber nicht finden, AntiVir findet auch nichts, Google spuckt ganze Zwei Ergebnisse aus die auf einen ernsten aber verbuggten Virus hindeuten:

http://www.commentcamarche.net/forum/affich-4911547-virus-kill
http://www.spywareinfoforum.com/lofiversion/index.php/t106293.html



Hier der Hijack this Logfile
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:44:39, on 05.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KeyBoard] C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Programme\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 8214 bytes






Wenn euch weitere Logs helfen meldet euch bitte,
ich bin für jede Hilfe Dankbar

Gruß Garcia

Alt 06.07.2008, 13:35   #2
myrtille
/// TB-Ausbilder
 
A0043906.exe virus? - Standard

A0043906.exe virus?



Hi,
dein Logfile ist sauber.

Zitat:
dass sich Windows jedesmal wenn ich die Defragmentierung (Die langsam aber sicher nötig wird!) praktisch aufhängt.
Leider hats dir da ein wenig den Satz verhauen, weswegen mir nicht ganz klar wann sich dein BS aufhängt.

Es wäre von Vorteil wenn du uns noch verraten könntest, wo die Datei liegt. Name und Links deuten aber daraufhin, dass es sich um eine Datei aus der Systemwiederherstellung handelt und das es sich wahrscheinlich nicht um einen Virus handelt.

Die Systemwiederherstellung ist eine Art Sicherung, mit der du frühere Zustände deines Rechners wiederherstellen kannst. Malware kann sich auch in die Systemwiederherstellung eintragen, kann sich dabei aber mE nicht den Namen aussuchen, mit der er sich einträgt.
Der Ordner/Die Dateien sind standardmäßig ausgeblendet und lassen sich als "normaler User" auch nicht löschen.

Die einfachste Variante ist da, die Systemwiederherstellung komplett zu deaktivieren, dadurch werden die erstellten Systemwiederherstellungspunkte entfernt und die Dateien gelöscht.
(Geht unter Start->Systemsteuerung->System->Systemwiederherstellung->Systemwiederherstellung auf allen Laufwerken deaktivieren)

Ich würd in deinem Fall allerdings nicht davon ausgehen, dass dein Rechner infiziert ist.

Du kannst zur Kontrolle noch einen Scan mit MBAM machen.

lg myrtille
__________________

__________________

Alt 28.07.2008, 21:16   #3
Garcia
 
A0043906.exe virus? - Standard

A0043906.exe virus?



tschuldigung ^^
Also, ich starte die defragmentierung, es defragmentiert, bis es die Datei
A0043906.exe verschieben will. Dann hängt sich windows praktisch sofort auf. Es hilft nur ein Neustart. Komisch finde ich nur das die Datei anscheinend nicht existiert, ich kann sie nicht finden, AntiVir findet auch nichts, und sonst läuft mein Windows eigentlich ganz normal.
Ist ja eigentlich auch egal, solange es noch ohne Defragmentierung geht.
Kennt ihr eventuell noch Tools die besser suchen als die Windows Suchfunktion?

----vielen Dank,
Garcia

PS:
Wenn ich die Systemwiederherstellung deaktiviere muss ich nur neustarten, krieg einen Haufen Speicher frei und alles ist wie vorher oder?

Und was ist MBAM? hab schon gegoogelt aber kein Tool mit dem Namen gefunden.
__________________

Alt 29.07.2008, 08:23   #4
Chris4You
 
A0043906.exe virus? - Standard

A0043906.exe virus?



Hi,
MAM=http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html
chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 31.07.2008, 15:09   #5
Garcia
 
A0043906.exe virus? - Standard

A0043906.exe virus?



Okay, für alle die es noch interesiert:
Ich habe die Systemwiederherstellung deaktiviert (ca 6 gb freibekommen!) und das Tool O&O Defrag drüberlaufen lassen.
Das Tool ist ganz gut, weil es hat mir vorher angezeigt das die Datei A0043906.exe im restore ordner liegt
--> sie kann nicht verschoben werden
--> alles hängt sich auf.
Jetzt ist sie gelöscht und alles läuft wieder.

(Komischerweise kann man doch auf den restore ordner zugreifen, z.b. indem ich die Datei per Firefox "gedownloaded" habe...ich konnte sie dann nicht mehr vom Desktop löschen, erst als die Wiederherstellung deaktiviert war...)


Antwort

Themen zu A0043906.exe virus?
adobe, antivir, avira, bho, bonjour, computer, ctfmon.exe, explorer, firefox, free download, google, helfen, helper, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet, internet explorer, langsam, mozilla, mozilla firefox, problem, rundll, software, system, virus, windows, windows xp





Zum Thema A0043906.exe virus? - Hallo, Ich habe das Problem, dass sich Windows jedesmal wenn ich die Defragmentierung (Die langsam aber sicher nötig wird!) praktisch aufhängt. Es reagiert nur noch im Minutentakt und kann nicht - A0043906.exe virus?...
Archiv
Du betrachtest: A0043906.exe virus? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.