Dieses Problem habe ich seit einger Zeit!
Leider finde ich keine Lösung!

Betriebssystem ist Windows XP mit SP3
Browser ist Mozilla Firefox 3.0.5

Ich habe via TuneUp lediglich folgende Datei im Autostart gefunden:

scceaqw.exe sitzt unter C:\windows\system32\scceaqw.exe

Ich hatte die Festplatte (nur diese Partition) bereits formatiert und habe das ganze Betriebssystem neu installiert! Leider ohne erfolg die ominöse Datei ist noch vorhanden (hieß vorher nur anders)!

Löschen läßt sich die Datei natürlich auch nicht da man sie im angegeben Verzeichnis nicht finden kann!

Ich bin wirklich ratlos/hilflos und um jede Hilfe Dankbar!


Vielen Dank im vorraus Cliff!

PS: Ich bitte um "einfache" Anweisungen da ich KFZ-Mechaniker und kein Computercrack bin ;-)!

Hier mal ne aktuelle Log-File!

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:04:15, on 13.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\CA\eTrust Antivirus\InoNmSrv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Multimedia Combo Set\MouseDrv.exe
C:\Programme\Multimedia Combo Set\PS2USBKbdDrv.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Wir\Desktop\HiJackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [WireLessMouse ] C:\Programme\Multimedia Combo Set\MouseDrv.exe
O4 - HKLM\..\Run: [WireLessKeyboard ] C:\Programme\Multimedia Combo Set\PS2USBKbdDrv.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Dokumente und Einstellungen\Wir\Startmenü\Programme\Zubehör\Meine Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Dokumente und Einstellungen\Wir\Startmenü\Programme\Zubehör\Meine Programme\ICQ6.5\ICQ.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus Admin Server (InoNmSrv) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoNmSrv.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Dokumente und Einstellungen\Wir\Startmenü\Programme\Zubehör\Meine Programme\WinStylerThemeSvc.exe

--
End of file - 4048 bytes
         

Hier mal nen TuneUp Sreenshot:

Was habe ich falsch gemacht?
Warum hilft mir keiner?
Habe ich irgendetwas vergessen?
Bitte, bitte ich brauche HILFE!

Hallo

Zitat:

Was habe ich falsch gemacht?

Nein, nicht wirklich

Zitat:

Warum hilft mir keiner?

Weil es mehr Leute mit Problemen als Helfer gibt...



Mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.

Kopiere bitte diesen Pfad ab

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\scceaqw.exe
         

und füge ihn auf einer dieser Seiten
Virustotal
virscan.org
Jotti
bei Durchsuchen ein und lass die Datei überprüfen.
Poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung,
bitte auch wenn nichts gefunden wurde.

Überprüfe anschließend bitte dein System mit Malwarebytes und http://www.trojaner-board.de/51871-a...tispyware.html ,poste die entstandenen Logs hierher, dann sehen wir weiter.

MFG

Hallo nochdigger!

Erstmal vielen Dank für Deine Hilfe!

Also die Windows Suche (nach Anleitung ;-)) endete so :


--------------------------------------------------------
Die Datei hochladen kann ich leider nicht, da ich sie im angegebenen Ordner (C:\WINDOWS\system32) nicht finden kann!
--------------------------------------------------------
Malware LOG:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1648
Windows 5.1.2600 Service Pack 3

13.01.2009 22:06:57
mbam-log-2009-01-13 (22-06-57).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|G:\|H:\|)
Durchsuchte Objekte: 100309
Laufzeit: 1 hour(s), 7 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

--------------------------------------------------------

SUPERAntiSpyware LOG:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 01/13/2009 at 11:23 PM

Application Version : 4.24.1004

Core Rules Database Version : 3707
Trace Rules Database Version: 1682

Scan type       : Complete Scan
Total Scan Time : 01:03:25

Memory items scanned      : 369
Memory threats detected   : 0
Registry items scanned    : 4045
Registry threats detected : 1
File items scanned        : 59970
File threats detected     : 19

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Wir\Cookies\wir@doubleclick[1].txt
	C:\Dokumente und Einstellungen\Wir\Cookies\wir@atdmt[1].txt
	C:\Dokumente und Einstellungen\Wir\Cookies\wir@sevenoneintermedia.112.2o7[1].txt
	C:\Dokumente und Einstellungen\Wir\Cookies\wir@apmebf[2].txt
	C:\Dokumente und Einstellungen\Wir\Cookies\wir@zbox.zanox[1].txt
	C:\Dokumente und Einstellungen\Wir\Cookies\wir@mediaplex[2].txt
	C:\Dokumente und Einstellungen\Wir\Cookies\wir@indextools[2].txt
	C:\Dokumente und Einstellungen\Wir\Cookies\wir@serving-sys[2].txt
	C:\Dokumente und Einstellungen\Wir\Cookies\wir@adserver.71i[1].txt
	C:\Dokumente und Einstellungen\Wir\Cookies\wir@www.zanox-affiliate[1].txt
	C:\Dokumente und Einstellungen\Wir\Cookies\wir@ad.zanox[2].txt
	C:\Dokumente und Einstellungen\Wir\Cookies\wir@2o7[1].txt
	C:\Dokumente und Einstellungen\Wir\Cookies\wir@msnportal.112.2o7[1].txt
	C:\Dokumente und Einstellungen\Wir\Cookies\wir@atwola[1].txt
	C:\Dokumente und Einstellungen\Wir\Cookies\wir@zanox[1].txt
	C:\Dokumente und Einstellungen\Wir\Cookies\wir@advertising[1].txt
	C:\Dokumente und Einstellungen\Wir\Cookies\wir@bs.serving-sys[2].txt
	C:\Dokumente und Einstellungen\Wir\Cookies\wir@adtech[1].txt
	C:\Dokumente und Einstellungen\Wir\Cookies\wir@statse.webtrendslive[2].txt

Trojan.DNSChanger-Codec
	HKU\S-1-5-21-1957994488-2052111302-1801674531-1004\Software\fcn
         

Ich kann mit den Logs leider nichts anfangen !

Moin

die Ergebnisse der Programme sind eher unbefriedigend, aber evtl. hab ich das richtige gefunden.

Deaktiviere für diese Überprüfung bitte sämtliche Hintergrundwächter (Guards) von Antiviren- und Antispyprogrammen.
Anschließend überprüfe dein System bitte mit Navilog

Zitat:

Bitte lade Dir
Navilog
von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

poste das entstandene Log hierher.

MFG

Mahlzeit nochdigger!

Navilog hat auf jeden Fall schon mal die Datei/en gefunden hier das Log:

Code: Alles auswählenAufklappen

ATTFilter

Search Navipromo version 3.7.1 began on 14.01.2009 at 21:49:54,67

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 02.01.2009 at 19h00 by IL-MAFIOSO

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free :                 Intel(R) Celeron(R) CPU 2.66GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Wir ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:9 Go (Free:3 Go)
D:\ (Local Disk) - NTFS - Total:7 Go (Free:6 Go)
E:\ (Local Disk) - NTFS - Total:19 Go (Free:14 Go)
F:\ (CD or DVD)
G:\ (Local Disk) - NTFS - Total:4 Go (Free:1 Go)
H:\ (Local Disk) - NTFS - Total:4 Go (Free:3 Go)


Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Wir\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\Wir\lokale~1\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\Wir\startm~1\progra~1" *** 


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

Hidden file(s) :

C:\WINDOWS\system32\scceaqw.dat
C:\WINDOWS\system32\scceaqw.exe
C:\WINDOWS\system32\scceaqw_nav.dat
C:\WINDOWS\system32\scceaqw_navps.dat


*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Wir\lokale~1\anwend~1" * 



*** Search files *** 



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"scceaqw"="\"c:\\windows\\system32\\scceaqw.exe\" scceaqw"


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Wir\lokale~1\anwend~1" : 


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
Montorgueil certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 14.01.2009 at 21:52:38,25 ***
         

Wie werden wir (ich) das Biest jetzt los ?

MfG Michael

Hallo nochdigger!

Vielen Dank erstmal für Deine sehr,sehr kompetente Hilfe!
------------------------------------
Die lästigen Werbefenster-PopUps sind weg !

Leider hast Du auf meine letzte Frage nicht mehr geantwortet!

Ist auch egal.

Vielen leben Dank nochmal von mir, mach weiter so!

Moin

Zitat:

00487810 HackTool/Aircrack HackTools ... D:\STICK\Aircrack\aircrack-ng-0.9.3-win.zip[aircrack-ng-0.9.3-win/bin/airodump-ng.exe]

Zitat:

Sag mal was dass ab Teil 2 des Panda Scans heißen soll!?!

VULNERABILITIES - BabelFish - Verwundbarkeit ?

könnte sein, ich habe diese Meldung noch auf keinem meiner Rechner bekommen.
Hast du denn alle MS-Updates eingespielt?

MFG

Zitat:

Zitat von nochdigger

könnte sein, ich habe diese Meldung noch auf keinem meiner Rechner bekommen.
Hast du denn alle MS-Updates eingespielt?

MFG

Nö
Ist ja auch nur nen Reservebetriebssystem falls von der anderen Platte nix mehr geht! Dann brauch ich mir keinen zweiten Rechner dazustellen, sondern nur im Bios die Startplatte umstellen!

PS: Aircrack ist ein Programm mit dem man WLAN-Netzwerkschlüssel "knacken" können soll habs vier Tage mit nem anderen Rechner auf mein WLAN "gehetzt" entweder ist mein WLAN sicher oder das Programm scheiße!

MfG Michael

Mahlzeit nochdigger!

Ich hatte dasselbe Problem schon wieder (war nur ein anderer Dateiname) aber Dank Deiner tollen step by step Anleitung konnte ich mir dieses Mal selber helfen!

Nochmal vielen Dank, da Du mir jetzt ja quasi schon zum zweiten Mal geholfen hast!

MfG Cliff

Moin

Zitat:

Nochmal vielen Dank, da Du mir jetzt ja quasi schon zum zweiten Mal geholfen hast!

und das ohne einen Finger zu rühren:aplaus:

Ein Schädling weniger

Zitat:

Zitat von nochdigger

Moin


und das ohne einen Finger zu rühren:aplaus:

Ich hatte heute schon wieder so einen Plagegeist!
Und Du hast ihn schon wieder wegradiert !