|
Plagegeister aller Art und deren Bekämpfung: A0043906.exe virus?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
05.07.2008, 22:47 | #1 |
| A0043906.exe virus? Hallo, Ich habe das Problem, dass sich Windows jedesmal wenn ich die Defragmentierung (Die langsam aber sicher nötig wird!) praktisch aufhängt. Es reagiert nur noch im Minutentakt und kann nicht mehr heruntergefahren werden. Seltsam ist, dass es sich jedes Mal bei der Verschiebung der Datei A0043906.exe aufhängt. Habe die Datei gesucht, konnte sie aber nicht finden, AntiVir findet auch nichts, Google spuckt ganze Zwei Ergebnisse aus die auf einen ernsten aber verbuggten Virus hindeuten: http://www.commentcamarche.net/forum/affich-4911547-virus-kill http://www.spywareinfoforum.com/lofiversion/index.php/t106293.html Hier der Hijack this Logfile Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:44:39, on 05.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\Dit.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\Winamp\winampa.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [KeyBoard] C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Programme\Free Download Manager\dlfvideo.htm O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe -- End of file - 8214 bytes Wenn euch weitere Logs helfen meldet euch bitte, ich bin für jede Hilfe Dankbar Gruß Garcia |
06.07.2008, 13:35 | #2 | |
/// TB-Ausbilder | A0043906.exe virus? Hi,
__________________dein Logfile ist sauber. Zitat:
Es wäre von Vorteil wenn du uns noch verraten könntest, wo die Datei liegt. Name und Links deuten aber daraufhin, dass es sich um eine Datei aus der Systemwiederherstellung handelt und das es sich wahrscheinlich nicht um einen Virus handelt. Die Systemwiederherstellung ist eine Art Sicherung, mit der du frühere Zustände deines Rechners wiederherstellen kannst. Malware kann sich auch in die Systemwiederherstellung eintragen, kann sich dabei aber mE nicht den Namen aussuchen, mit der er sich einträgt. Der Ordner/Die Dateien sind standardmäßig ausgeblendet und lassen sich als "normaler User" auch nicht löschen. Die einfachste Variante ist da, die Systemwiederherstellung komplett zu deaktivieren, dadurch werden die erstellten Systemwiederherstellungspunkte entfernt und die Dateien gelöscht. (Geht unter Start->Systemsteuerung->System->Systemwiederherstellung->Systemwiederherstellung auf allen Laufwerken deaktivieren) Ich würd in deinem Fall allerdings nicht davon ausgehen, dass dein Rechner infiziert ist. Du kannst zur Kontrolle noch einen Scan mit MBAM machen. lg myrtille
__________________ |
28.07.2008, 21:16 | #3 |
| A0043906.exe virus? tschuldigung ^^
__________________Also, ich starte die defragmentierung, es defragmentiert, bis es die Datei A0043906.exe verschieben will. Dann hängt sich windows praktisch sofort auf. Es hilft nur ein Neustart. Komisch finde ich nur das die Datei anscheinend nicht existiert, ich kann sie nicht finden, AntiVir findet auch nichts, und sonst läuft mein Windows eigentlich ganz normal. Ist ja eigentlich auch egal, solange es noch ohne Defragmentierung geht. Kennt ihr eventuell noch Tools die besser suchen als die Windows Suchfunktion? ----vielen Dank, Garcia PS: Wenn ich die Systemwiederherstellung deaktiviere muss ich nur neustarten, krieg einen Haufen Speicher frei und alles ist wie vorher oder? Und was ist MBAM? hab schon gegoogelt aber kein Tool mit dem Namen gefunden. |
29.07.2008, 08:23 | #4 |
| A0043906.exe virus? Hi, MAM=http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
31.07.2008, 15:09 | #5 |
| A0043906.exe virus? Okay, für alle die es noch interesiert: Ich habe die Systemwiederherstellung deaktiviert (ca 6 gb freibekommen!) und das Tool O&O Defrag drüberlaufen lassen. Das Tool ist ganz gut, weil es hat mir vorher angezeigt das die Datei A0043906.exe im restore ordner liegt --> sie kann nicht verschoben werden --> alles hängt sich auf. Jetzt ist sie gelöscht und alles läuft wieder. (Komischerweise kann man doch auf den restore ordner zugreifen, z.b. indem ich die Datei per Firefox "gedownloaded" habe...ich konnte sie dann nicht mehr vom Desktop löschen, erst als die Wiederherstellung deaktiviert war...) |
Themen zu A0043906.exe virus? |
adobe, antivir, avira, bho, bonjour, computer, ctfmon.exe, explorer, firefox, free download, google, helfen, helper, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet, internet explorer, langsam, mozilla, mozilla firefox, problem, rundll, software, system, virus, windows, windows xp |