Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.04.2009, 16:18   #1
HarryCane
 
staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt - Standard

staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt



Hallo, ich habe ueber mein Problem bisher kaum hilfreiche Hinweise im Netz gefunden. Ich hoffe, dass mir hier jemand helfen kann. Ich bin dienstlich in China und habe hier einen Laptop uebernommen. Auf dem laeuft Norton Antivirus. Ich habe Windows SP3 installiert.

Das Problem: Wenn ich eine Speicherkarte oder einen USB-Stick anschliesse werden alle darauf befindlichen Dateien auf "versteckt" gesetzt und jeweils 1376 KB grosse .exe-Dateien generiert, die den gleichen Namen und das gleiche Dateisymbol wie diese Dateien haben. Ausserdem werden zwei Autostart-Eintraege erstellt, die man nicht lesen kann (Fragezeichen und Nullen-vlt. chinesisch). Diese Eintraege im Kontextmenue stehen ganz oben ueber Oeffnen.

Ausserdem gehen staendig unerwartet IE-Fenster mit irgendwelchen (immer denselben) chinesischen Seiten auf, ohne dass ich etwas mache. Wenn diese Seiten offen sind, funktioniert scrollen manchmal nicht mehr. Habe die Url im IE passwortgeschuetzt. Seitdem geht das Passwortfenster auf, mit den gleichen Folgen.
Der Norton Antivirus findet nichts. Er laesst sich auch neuerdings nicht mehr updaten, was vorher ging. Habe CCleaner und Malwarebytes-Anti-Malware geladen und scannen lassen.

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 3

24.04.2009 21:57:30
mbam-log-2009-04-24 (21-57-30).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 127373
Laufzeit: 46 minute(s), 30 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\Source\FlashGet\fgf160.exe (Adware.Cydoor) -> Quarantined and deleted successfully.
         
Was ist das fuer ein Tierchen und wie bekomme ich es wieder runter?

Ich zaehle auf euch.

HC

Alt 27.04.2009, 16:25   #2
HarryCane
 
staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt - Standard

staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt



Hijack This habe ich auch durchlaufen lassen.:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:57:38, on 24.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Lenovo\ATK Hotkey\GFNEXSrv.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Program Files\Lenovo\ATK Hotkey\LFKAS.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Lenovo\ATK Hotkey\LCONTROL.exe
C:\Program Files\Lenovo\ATK Hotkey\LFKA.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Lenovo\HOTKEY\LVOSDSVC.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Lenovo\HOTKEY\TPONSCR.exe
C:\Program Files\Lenovo\Zoom\TpScrex.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ACF7EF\74BE16.EXE
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\ThinkPad\Utilities\PWMDBSVC.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\5A8DCC\SV-7668.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\x-kj\prog\HiJackThis.exe

O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - C:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [LCONTROL] "C:\Program Files\Lenovo\ATK Hotkey\LCONTROL.exe"
O4 - HKLM\..\Run: [LFKA] "C:\Program Files\Lenovo\ATK Hotkey\LFKA.exe"
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [TPHOTKEY] C:\Program Files\Lenovo\HOTKEY\LVOSDSVC.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
O4 - HKLM\..\Run: [74BE16] C:\WINDOWS\system32\ACF7EF\74BE16.EXE
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - Startup: 74BE16.lnk = C:\WINDOWS\system32\ACF7EF\74BE16.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ????5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra 'Tools' menuitem: ????5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: HP ???? - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED679F38-BD8C-47E4-B90D-BCF87E0A457B}: NameServer = 192.168.255.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8B358EA-4573-4645-B5BC-E7564BCA706C}: NameServer = 61.134.1.4
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Atheros Configuration Service (acs) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\Lenovo\ATK Hotkey\GFNEXSrv.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Google Update Service (gupdate1c9aef164ddbe98) (gupdate1c9aef164ddbe98) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: ThinkPad PM Service for SL Series (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Service of LFKA (LFKAS) - Unknown owner - C:\Program Files\Lenovo\ATK Hotkey\LFKAS.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: Power Manager DBC Service - Unknown owner - C:\Program Files\ThinkPad\Utilities\PWMDBSVC.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

--
End of file - 10349 bytes
         
Boehmische Doerfer fuer mich...

HC
__________________


Alt 27.04.2009, 19:40   #3
Ghost1975
 
staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt - Standard

staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt



Hi HarryCane

da hast aufjedenfall ein großes Problem:
Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8B358EA-4573-4645-B5BC-E7564BCA706C}: NameServer = 61.134.1.4
irgendwas hat Dir ne Umleitung via China eingerichtet.
Starte HijackThis nochmal->"Do a System Scan only" Vor Die oben genannte Zeile ein Häckchen rein durch anklicken.
Dann auf Fix Checked klicken(evtl startet Rechner neu).

Lade Dir dann noch Blacklight runter,laße die Software nach Rootkits suchen

Danach Versuche mal Folgendes an Virustotal zu senden:

Zitat:
C:\WINDOWS\system32\5A8DCC\SV-7668.EXE
und
C:\WINDOWS\system32\ACF7EF\74BE16.EXE
Poste die kompletten Logdateien der Scans


Starte dann mal Malwarebytes versuche ob das Update geht(Neuste Version ist 2049 ), wenn ja wieder kompletten Suchlauf


MfG

Ghost1975
__________________

Geändert von Ghost1975 (27.04.2009 um 19:52 Uhr)

Alt 28.04.2009, 04:49   #4
HarryCane
 
staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt - Standard

staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt



Danke erstmal fuer die Auswertung @ Ghost1975.

Blacklight hat nix gefunden.

Hier sind die logs von Virustotal:

SV-7668.EXE:
Code:
ATTFilter
 Datei SV-7668.EXE empfangen 2009.04.28 04:51:45 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 21/40 (52.5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.101	2009.04.28	Trojan.Dloader!IK
AhnLab-V3	5.0.0.2	2009.04.27	-
AntiVir	7.9.0.156	2009.04.27	-
Antiy-AVL	2.0.3.1	2009.04.27	-
Authentium	5.1.2.4	2009.04.27	W32/Agent.CM.gen!Eldorado
Avast	4.8.1335.0	2009.04.27	Win32:Adware-gen
AVG	8.5.0.287	2009.04.27	-
BitDefender	7.2	2009.04.28	-
CAT-QuickHeal	10.00	2009.04.27	(Suspicious) - DNAScan
ClamAV	0.94.1	2009.04.27	-
Comodo	1138	2009.04.27	-
DrWeb	4.44.0.09170	2009.04.28	-
eSafe	7.0.17.0	2009.04.27	Win32.DLoader.Ldby
eTrust-Vet	31.6.6478	2009.04.27	-
F-Prot	4.4.4.56	2009.04.27	W32/Agent.CM.gen!Eldorado
F-Secure	8.0.14470.0	2009.04.28	W32/DLoader.LDBY
Fortinet	3.117.0.0	2009.04.28	W32/Flystudio!tr
GData	19	2009.04.28	Win32:Adware-gen
Ikarus	T3.1.1.49.0	2009.04.28	Trojan.Dloader
K7AntiVirus	7.10.717	2009.04.27	Trojan.Win32.Malware.1
Kaspersky	7.0.0.125	2009.04.28	not-a-virus:AdWare.Win32.FlyStudio.d
McAfee	5598	2009.04.27	Flystudio
McAfee+Artemis	5598	2009.04.27	Generic!Artemis
McAfee-GW-Edition	6.7.6	2009.04.27	-
Microsoft	1.4602	2009.04.27	-
NOD32	4038	2009.04.27	-
Norman	6.00.06	2009.04.27	W32/DLoader.LDBY
nProtect	2009.1.8.0	2009.04.28	-
Panda	10.0.0.14	2009.04.27	Trj/CI.A
PCTools	4.4.2.0	2009.04.27	-
Prevx1	3.0	2009.04.28	Medium Risk Malware
Rising	21.27.10.00	2009.04.28	-
Sophos	4.41.0	2009.04.28	Mal/EncPk-GF
Sunbelt	3.2.1858.2	2009.04.24	-
Symantec	1.4.4.12	2009.04.28	-
TheHacker	6.3.4.1.315	2009.04.27	-
TrendMicro	8.700.0.1004	2009.04.27	PAK_Generic.001
VBA32	3.12.10.3	2009.04.27	AdWare.Win32.FlyStudio.d
ViRobot	2009.4.27.1710	2009.04.27	Adware.FlyStudio.23552
VirusBuster	4.6.5.0	2009.04.27	-
weitere Informationen
File size: 23552 bytes
MD5...: 482204e0873b136be4fd3658bf544209
SHA1..: ea306930290844c05fda9308a42d4a14e99f093b
SHA256: db326cbc74fdb7e8d883fef843f33fe445a242e0cadbd00c9ee5110b3cc8ffb5
SHA512: 7cc8f6352fa3ed69d3106dc86b03ee2f2ba9ab1791edfb210e85585bb126d10e
b7fc89f319b7de6ed3342d6067449492c029fc9cb24c8b7847424ca3dd07355a
ssdeep: 384:3lIXmh9HE2iFIxsB+JhypNd82IvhSd7qAJDRzHjPRSHnPXcOYvGokH35HZ26
:yXahiuKYGYS8IDRzjRveNH35HZ
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.5%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13a3
timedatestamp.....: 0x59bffa3 (Mon Dec 25 05:33:23 1972)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x634 0x800 6.35 670de93abc41436c91f2e4974ff0f7f9
.rdata 0x2000 0x194 0x200 3.64 684bd04c4e90ebb1ac24b9d56ab5240e
.data 0x3000 0x4c00 0x4c00 6.98 b600dd4ec962fca6e87e3036c234a75e
.rsrc 0x8000 0x1e0 0x200 1.49 0df648b5941b012f5779e4733013bde2

( 3 imports )
> USER32.dll: MessageBoxA
> KERNEL32.dll: FreeLibrary, lstrcatA, GetModuleFileNameA, ExitProcess, LoadLibraryA, GetProcAddress, lstrlenA
> ADVAPI32.dll: RegQueryValueExA, RegCloseKey, RegOpenKeyExA

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (Kaspersky): PE-Crypt.CF
         

74BE16.EXE:
Code:
ATTFilter
 Datei 74BE16.EXE empfangen 2009.04.28 05:05:36 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 23/40 (57.5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared	4.0.0.101	2009.04.28	Trojan.Peed!IK
AhnLab-V3	5.0.0.2	2009.04.27	-
AntiVir	7.9.0.156	2009.04.27	TR/Dropper.Gen
Antiy-AVL	2.0.3.1	2009.04.27	-
Authentium	5.1.2.4	2009.04.27	W32/Nuj.A.gen!Eldorado
Avast	4.8.1335.0	2009.04.27	Win32:Trojan-gen {Other}
AVG	8.5.0.287	2009.04.27	SHeur2.ACBC
BitDefender	7.2	2009.04.28	Dropped:Trojan.Peed.Gen
CAT-QuickHeal	10.00	2009.04.27	Win32.Trojan-Dropper.Flystud.ko.5.Pack
ClamAV	0.94.1	2009.04.27	-
Comodo	1138	2009.04.27	-
DrWeb	4.44.0.09170	2009.04.28	-
eSafe	7.0.17.0	2009.04.27	Win32.TRDropper
eTrust-Vet	31.6.6478	2009.04.27	-
F-Prot	4.4.4.56	2009.04.27	W32/Nuj.A.gen!Eldorado
F-Secure	8.0.14470.0	2009.04.28	-
Fortinet	3.117.0.0	2009.04.28	PossibleThreat
GData	19	2009.04.28	Dropped:Trojan.Peed.Gen
Ikarus	T3.1.1.49.0	2009.04.28	Trojan.Peed
K7AntiVirus	7.10.717	2009.04.27	Trojan.Win32.Malware.4
Kaspersky	7.0.0.125	2009.04.28	-
McAfee	5598	2009.04.27	W32/Autorun.worm.ev
McAfee+Artemis	5598	2009.04.27	W32/Autorun.worm.ev
McAfee-GW-Edition	6.7.6	2009.04.27	Trojan.Dropper.Gen
Microsoft	1.4602	2009.04.27	Backdoor:Win32/FlyAgent.F
NOD32	4038	2009.04.27	-
Norman	6.00.06	2009.04.27	-
nProtect	2009.1.8.0	2009.04.28	-
Panda	10.0.0.14	2009.04.27	Trj/CI.A
PCTools	4.4.2.0	2009.04.27	-
Prevx1	3.0	2009.04.28	High Risk Worm
Rising	21.27.10.00	2009.04.28	Trojan.Win32.ECode.ee
Sophos	4.41.0	2009.04.28	Mal/EncPk-GF
Sunbelt	3.2.1858.2	2009.04.24	Backdoor-Win32/FlyAgent.F
Symantec	1.4.4.12	2009.04.28	-
TheHacker	6.3.4.1.315	2009.04.27	-
TrendMicro	8.700.0.1004	2009.04.27	-
VBA32	3.12.10.3	2009.04.27	Trojan-Dropper.Win32.Flystud.ko
ViRobot	2009.4.27.1710	2009.04.27	-
VirusBuster	4.6.5.0	2009.04.27	-
weitere Informationen
File size: 1408615 bytes
MD5...: d5b9d8a9abad56d6eb7749d52dfede02
SHA1..: b2836237f7a480965f7beeb5f0265ccf05163279
SHA256: 8e0929294f70cfbaca17f75957e1fbd3844a7b2e4a0eb96ebf34703bcfc04f5c
SHA512: 8bf123159ec148f086a1d99cf9e475a7e266232e89a69e2ef657ad40a3b92dc5
0408cc7edc1a436d274fd2d9bf9608528f7228c0f486f5172c64e5723fe17ec2
ssdeep: 24576:o8SE2BO6B5qXXJMT/ch+Jo0SuaPVoHwP313DjF2ouvXQ:iEyO6rqXZMjcu
4BBd2Q
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (62.9%)
Win32 Executable Generic (14.2%)
Win32 Dynamic Link Library (generic) (12.6%)
Clipper DOS Executable (3.3%)
Generic Win/DOS Executable (3.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13ee
timedatestamp.....: 0x59bffa3 (Mon Dec 25 05:33:23 1972)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x51ec 0x6000 6.93 42c32c32497a3c84771989d4569cf923
.rdata 0x7000 0xa4a 0x1000 3.58 367b7ce38d0c4c17f01e370dc697df5b
.data 0x8000 0x1f58 0x2000 4.62 07f6f654a43a662715b6fb6bad092be3
.data 0xa000 0x22000 0x22000 7.81 cd9f816ed644d2f7d2416f2010462e2e
.rsrc 0x2c000 0x45b0 0x5000 3.65 223375ba53657b261ff1e6bb366d47e5

( 2 imports )
> KERNEL32.dll: GetProcAddress, LoadLibraryA, CloseHandle, WriteFile, CreateDirectoryA, GetTempPathA, ReadFile, SetFilePointer, CreateFileA, GetModuleFileNameA, GetStringTypeA, LCMapStringW, LCMapStringA, HeapAlloc, HeapFree, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, RtlUnwind, GetCPInfo, GetACP, GetOEMCP, MultiByteToWideChar, GetStringTypeW
> USER32.dll: MessageBoxA, wsprintfA

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
         
Malwarebytes update hat geklappt, scan laeuft. Melde mich dann wieder.
HC

Alt 28.04.2009, 05:08   #5
HarryCane
 
staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt - Standard

staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt



so, her is das log-file vom Malwarebytes:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2051
Windows 5.1.2600 Service Pack 3

28.04.2009 11:59:54
mbam-log-2009-04-28 (11-59-54).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 136417
Laufzeit: 30 minute(s), 11 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\x-kj\prog\Adobe Acrobat v8 Professional_D\cxxck\kexxen.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
         
denke mal, das gibt nicht viel her...


Alt 28.04.2009, 05:22   #6
HarryCane
 
staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt - Standard

staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt



Achso, und der eXec 3.0 - explorer zeigt mir noch, dass auch eine versteckte autorun.inf (1KB) und eine Recycle.exe (1376KB) erstellt werden.

Wo sitzt denn das Biest nur?

HC

Alt 29.04.2009, 09:03   #7
Ghost1975
 
staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt - Standard

staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt



Hi

Zitat:
D:\x-kj\prog\Adobe Acrobat v8 Professional_D\cxxck\kexxen.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
Evtl hast du da deinen Problemverursacher(so ein Zeugs ist heute zu 100% mit Schadsoftware verseucht),starte nochmal Hijachthis und Poste den Bericht.

Kannst du dein Norton mal deaktivieren?
und dann mal Avira installieren und scannen lassen.(siehe Anleitung hier im Forum)

Alt 30.04.2009, 10:38   #8
HarryCane
 
staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt - Standard

staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt



Nihao,
Habe jetzt den bloeden Norton Antivirus deaktiviert und Avira nstalliert. Einmal offline mit SD-Karte und Speicherstick gescannt, dann ein gescheiterter Updateversuch und dann gleich nochmal gescannt. Beim zweiten scan hat er noch 447!!! Mistviecher gefunden. Das Schissding hat sich wahrscheinlich immer wieder irgendwohin kopiert. Malwarebytes hat dann noch ein paar aus dem Quarantaene-Ordner geloescht.

Avira - logfile:
Code:
ATTFilter
Avira AntiVir Personal
Report file date: Donnerstag, 30. April 2009  08:26

Scanning for 1371296 virus strains and unwanted programs.

Licensee        : Avira AntiVir Personal - FREE Antivirus
Serial number   : 0000149996-ADJIE-0000001
Platform        : Windows XP
Windows version : (Service Pack 3)  [5.1.2600]
Boot mode       : Normally booted
Username        : SYSTEM
Computer name   : THINKPAD-825391

Version information:
BUILD.DAT       : 9.0.0.394     17962 Bytes  17.04.2009 11:20:00
AVSCAN.EXE      : 9.0.3.5      466689 Bytes  17.04.2009 16:57:30
AVSCAN.DLL      : 9.0.3.0       40705 Bytes  27.02.2009 18:58:24
LUKE.DLL        : 9.0.3.2      209665 Bytes  20.02.2009 19:35:49
LUKERES.DLL     : 9.0.2.0       12033 Bytes  27.02.2009 18:58:52
ANTIVIR0.VDF    : 7.1.0.0    15603712 Bytes  27.10.2008 20:30:36
ANTIVIR1.VDF    : 7.1.2.12    3336192 Bytes  11.02.2009 04:33:26
ANTIVIR2.VDF    : 7.1.3.63    1588224 Bytes  16.04.2009 14:08:43
ANTIVIR3.VDF    : 7.1.3.131    232448 Bytes  29.04.2009 14:08:47
Engineversion   : 8.2.0.156
AEVDF.DLL       : 8.1.1.0      106868 Bytes  28.01.2009 01:36:42
AESCRIPT.DLL    : 8.1.1.77     381306 Bytes  30.04.2009 14:09:18
AESCN.DLL       : 8.1.1.10     127348 Bytes  30.04.2009 14:09:12
AERDL.DLL       : 8.1.1.3      438645 Bytes  30.10.2008 02:24:41
AEPACK.DLL      : 8.1.3.14     397685 Bytes  30.04.2009 14:09:10
AEOFFICE.DLL    : 8.1.0.36     196987 Bytes  27.02.2009 04:01:56
AEHEUR.DLL      : 8.1.0.122   1737080 Bytes  30.04.2009 14:09:05
AEHELP.DLL      : 8.1.2.2      119158 Bytes  27.02.2009 04:01:56
AEGEN.DLL       : 8.1.1.39     348532 Bytes  30.04.2009 14:08:53
AEEMU.DLL       : 8.1.0.9      393588 Bytes  09.10.2008 22:32:40
AECORE.DLL      : 8.1.6.9      176500 Bytes  30.04.2009 14:08:51
AEBB.DLL        : 8.1.0.3       53618 Bytes  09.10.2008 22:32:40
AVWINLL.DLL     : 9.0.0.3       18177 Bytes  12.12.2008 16:47:59
AVPREF.DLL      : 9.0.0.1       43777 Bytes  05.12.2008 18:32:15
AVREP.DLL       : 8.0.0.3      155905 Bytes  20.01.2009 22:34:28
AVREG.DLL       : 9.0.0.0       36609 Bytes  05.12.2008 18:32:09
AVARKT.DLL      : 9.0.0.3      292609 Bytes  24.03.2009 23:05:41
AVEVTLOG.DLL    : 9.0.0.7      167169 Bytes  30.01.2009 18:37:08
SQLITE3.DLL     : 3.6.1.0      326401 Bytes  28.01.2009 23:03:49
SMTPLIB.DLL     : 9.2.0.25      28417 Bytes  02.02.2009 16:21:33
NETNT.DLL       : 9.0.0.0       11521 Bytes  05.12.2008 18:32:10
RCIMAGE.DLL     : 9.0.0.21    2438401 Bytes  09.02.2009 19:45:45
RCTEXT.DLL      : 9.0.37.0      86785 Bytes  17.04.2009 18:19:48

Configuration settings for the scan:
Jobname.............................: Complete system scan
Configuration file..................: c:\program files\avira\antivir desktop\sysscan.avp
Logging.............................: low
Primary action......................: interactive
Secondary action....................: ignore
Scan master boot sector.............: on
Scan boot sector....................: on
Boot sectors........................: C:, D:, E:, 
Process scan........................: on
Scan registry.......................: on
Search for rootkits.................: on
Integrity checking of system files..: off
Scan all files......................: All files
Scan archives.......................: on
Recursion depth.....................: 20
Smart extensions....................: on
Macro heuristic.....................: on
File heuristic......................: medium
Deviating risk categories...........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Start of the scan: Donnerstag, 30. April 2009  08:26

Starting search for hidden objects.
'36081' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'msmsgs.exe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'unsecapp.exe' - '1' Module(s) have been scanned
Scan process 'SymWSC.exe' - '1' Module(s) have been scanned
Scan process 'PWMDBSVC.exe' - '1' Module(s) have been scanned
Scan process 'searchindexer.exe' - '1' Module(s) have been scanned
Scan process 'uCamMonitor.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'NPROTECT.EXE' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'NAVAPSVC.EXE' - '1' Module(s) have been scanned
Scan process 'MDM.EXE' - '1' Module(s) have been scanned
Scan process 'FolderSizeSvc.exe' - '1' Module(s) have been scanned
Scan process 'acs.exe' - '1' Module(s) have been scanned
Scan process 'ACService.exe' - '1' Module(s) have been scanned
Scan process 'WindowsSearch.exe' - '1' Module(s) have been scanned
Scan process 'TeaTimer.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'ArcCon.ac' - '1' Module(s) have been scanned
Scan process 'GrooveMonitor.exe' - '1' Module(s) have been scanned
Scan process 'ACDaemon.exe' - '1' Module(s) have been scanned
Scan process 'AAWTray.exe' - '1' Module(s) have been scanned
Scan process 'hpwuSchd2.exe' - '1' Module(s) have been scanned
Scan process 'TpScrex.exe' - '1' Module(s) have been scanned
Scan process 'TPONSCR.exe' - '1' Module(s) have been scanned
Scan process 'ccApp.exe' - '1' Module(s) have been scanned
Scan process 'winampa.exe' - '1' Module(s) have been scanned
Scan process 'SynTPEnh.exe' - '1' Module(s) have been scanned
Scan process 'SynTPLpr.exe' - '1' Module(s) have been scanned
Scan process 'EZEJMNAP.EXE' - '1' Module(s) have been scanned
Scan process 'LVOSDSVC.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'LFKA.exe' - '1' Module(s) have been scanned
Scan process 'LControl.exe' - '1' Module(s) have been scanned
Scan process 'igfxsrvc.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'igfxpers.exe' - '1' Module(s) have been scanned
Scan process 'hkcmd.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'GoogleUpdate.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'LFKAS.exe' - '1' Module(s) have been scanned
Scan process 'AAWService.exe' - '1' Module(s) have been scanned
Scan process 'GFNEXSrv.exe' - '1' Module(s) have been scanned
Scan process 'ccEvtMgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'ibmpmsvc.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
63 processes with 63 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
    [INFO]      No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
    [INFO]      No virus was found!
Boot sector 'D:\'
    [INFO]      No virus was found!
Boot sector 'E:\'
    [INFO]      No virus was found!

Starting to scan executable files (registry).
The registry was scanned ( '83' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
    [WARNING]   The file could not be opened!
    [NOTE]      This file is a Windows system file.
    [NOTE]      This file cannot be opened for scanning.
C:\Program Files\Norton AntiVirus\Quarantine\002C01F6.tmp
  [0] Archive type: HIDDEN
    --> FIL\\\?\C:\Program Files\Norton AntiVirus\Quarantine\002C01F6.tmp
      [DETECTION] Contains a recognition pattern of the (harmful) BDS/Hupigon.eqlo.17 back-door program
C:\Program Files\Norton AntiVirus\Quarantine\006C7CA9.tmp
  [0] Archive type: HIDDEN
    --> FIL\\\?\C:\Program Files\Norton AntiVirus\Quarantine\006C7CA9.tmp
      [DETECTION] Is the TR/Agent.53760.O Trojan
C:\Program Files\Norton AntiVirus\Quarantine\009277FE.tmp
  [0] Archive type: HIDDEN
    --> FIL\\\?\C:\Program Files\Norton AntiVirus\Quarantine\009277FE.tmp
      [DETECTION] Is the TR/Agent.53760.O Trojan
C:\Program Files\Norton AntiVirus\Quarantine\00D45CEB.tmp
  [0] Archive type: HIDDEN
    --> FIL\\\?\C:\Program Files\Norton AntiVirus\Quarantine\00D45CEB.tmp
      [DETECTION] Is the TR/Agent.53760.O Trojan

Etliche aehnliche Eintraege aus platzgruenden entfernt.

    --> FIL\\\?\C:\System Volume Information\_restore{1C428335-32D2-4C24-9857-EECF6508A96D}\RP202\A0043148.exe
      [DETECTION] Is the TR/Agent.53760.O Trojan
Begin scan in 'D:\'
D:\System Volume Information\_restore{1C428335-32D2-4C24-9857-EECF6508A96D}\RP202\A0043066.exe
    [DETECTION] Is the TR/Agent.53760.O Trojan
D:\System Volume Information\_restore{1C428335-32D2-4C24-9857-EECF6508A96D}\RP202\A0043067.exe
    [DETECTION] Is the TR/Dropper.Gen Trojan
D:\System Volume Information\_restore{1C428335-32D2-4C24-9857-EECF6508A96D}\RP202\A0043068.exe
    [DETECTION] Is the TR/Dropper.Gen Trojan
D:\System Volume Information\_restore{1C428335-32D2-4C24-9857-EECF6508A96D}\RP202\A0043153.exe
    [DETECTION] Is the TR/Trash.Gen Trojan
D:\System Volume Information\_restore{1C428335-32D2-4C24-9857-EECF6508A96D}\RP202\A0043154.exe
    [DETECTION] Is the TR/Agent.31856.B Trojan
D:\x-kj\prog\Adobe Acrobat v8 Professional_D\Adobe Acrobat 8 Professional\Data1.cab
  [0] Archive type: CAB (Microsoft)
    --> A_ProductLicense_MD_N.bmp
      [WARNING]   No further files can be extracted from this archive. The archive will be closed
    [WARNING]   No further files can be extracted from this archive. The archive will be closed
D:\x-kj\prog\MS.Office.2007.Enterprise.German\Enterprise.WW\EnterWW.cab
  [0] Archive type: CAB (Microsoft)
    --> POWERPNT.EXE
      [WARNING]   No further files can be extracted from this archive. The archive will be closed
    [WARNING]   No further files can be extracted from this archive. The archive will be closed
Begin scan in 'E:\'

Beginning disinfection:
C:\Program Files\Norton AntiVirus\Quarantine\002C01F6.tmp
    [NOTE]      The file was moved to '4a2c1662.qua'!
C:\Program Files\Norton AntiVirus\Quarantine\006C7CA9.tmp
    [NOTE]      The file was moved to '4a301663.qua'!
C:\Program Files\Norton AntiVirus\Quarantine\009277FE.tmp
    [NOTE]      The file was moved to '4a331663.qua'!
C:\Program Files\Norton AntiVirus\Quarantine\00D45CEB.tmp
    [NOTE]      The file was moved to '4a3e1663.qua'!
C:\Program Files\Norton AntiVirus\Quarantine\00EB4C90.tmp
    [NOTE]      The file was moved to '4a3f1663.qua'!
C:\Program Files\Norton AntiVirus\Quarantine\011A22D4.tmp
    [NOTE]      The file was moved to '4a2b1664.qua'!
 
Etliche derartige Eintraege aus Platzgruenden entfernt.


    [NOTE]      The file was moved to '4a2a1695.qua'!
C:\Program Files\Norton AntiVirus\Quarantine\7F322311.tmp
    [NOTE]      The file was moved to '4a2d1695.qua'!
C:\Program Files\Norton AntiVirus\Quarantine\7FEB7C98.tmp
    [NOTE]      The file was moved to '4a3f1695.qua'!
C:\System Volume Information\_restore{1C428335-32D2-4C24-9857-EECF6508A96D}\RP202\A0043143.exe
    [NOTE]      The file was moved to '431ef428.qua'!
C:\System Volume Information\_restore{1C428335-32D2-4C24-9857-EECF6508A96D}\RP202\A0043144.exe
    [NOTE]      The file was moved to '431ffcf0.qua'!
C:\System Volume Information\_restore{1C428335-32D2-4C24-9857-EECF6508A96D}\RP202\A0043145.exe
    [NOTE]      The file was moved to '431ce420.qua'!
C:\System Volume Information\_restore{1C428335-32D2-4C24-9857-EECF6508A96D}\RP202\A0043146.exe
    [NOTE]      The file was moved to '4fbc2ff8.qua'!
C:\System Volume Information\_restore{1C428335-32D2-4C24-9857-EECF6508A96D}\RP202\A0043147.exe
    [NOTE]      The file was moved to '4a2a1680.qua'!
C:\System Volume Information\_restore{1C428335-32D2-4C24-9857-EECF6508A96D}\RP202\A0043148.exe
    [NOTE]      The file was moved to '43101f79.qua'!
D:\System Volume Information\_restore{1C428335-32D2-4C24-9857-EECF6508A96D}\RP202\A0043066.exe
    [DETECTION] Is the TR/Agent.53760.O Trojan
    [NOTE]      The file was moved to '43154621.qua'!
D:\System Volume Information\_restore{1C428335-32D2-4C24-9857-EECF6508A96D}\RP202\A0043067.exe
    [DETECTION] Is the TR/Dropper.Gen Trojan
    [NOTE]      The file was moved to '43687179.qua'!
D:\System Volume Information\_restore{1C428335-32D2-4C24-9857-EECF6508A96D}\RP202\A0043068.exe
    [DETECTION] Is the TR/Dropper.Gen Trojan
    [NOTE]      The file was moved to '43175791.qua'!
D:\System Volume Information\_restore{1C428335-32D2-4C24-9857-EECF6508A96D}\RP202\A0043153.exe
    [DETECTION] Is the TR/Trash.Gen Trojan
    [NOTE]      The file was moved to '436a4ee9.qua'!
D:\System Volume Information\_restore{1C428335-32D2-4C24-9857-EECF6508A96D}\RP202\A0043154.exe
    [DETECTION] Is the TR/Agent.31856.B Trojan
    [NOTE]      The file was moved to '436b76b1.qua'!


End of the scan: Donnerstag, 30. April 2009  14:21
Used time:  4:51:28 Hour(s)

The scan has been done completely.

   4651 Scanned directories
 521863 Files were scanned
    447 Viruses and/or unwanted programs were found
      0 Files were classified as suspicious
      0 files were deleted
      0 Viruses and unwanted programs were repaired
    447 Files were moved to quarantine
      0 Files were renamed
      1 Files cannot be scanned
 521415 Files not concerned
   2837 Archives were scanned
      5 Warnings
    448 Notes
  36081 Objects were scanned with rootkit scan
      0 Hidden objects were found
         
Fortsetzung folgt...

Alt 30.04.2009, 10:40   #9
HarryCane
 
staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt - Standard

staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt



Fortsetzung:


hijackthis - logfile nach 2. Avira-scan:


Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:37:51, on 30.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Lenovo\ATK Hotkey\GFNEXSrv.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Program Files\Lenovo\ATK Hotkey\LFKAS.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Lenovo\ATK Hotkey\LCONTROL.exe
C:\Program Files\Lenovo\ATK Hotkey\LFKA.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Lenovo\HOTKEY\LVOSDSVC.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Lenovo\HOTKEY\TPONSCR.exe
C:\Program Files\Lenovo\Zoom\TpScrex.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ArcCon.ac
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\FolderSize\FolderSizeSvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\ThinkPad\Utilities\PWMDBSVC.EXE
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Messenger\msmsgs.exe
D:\x-kj\prog\HiJackThis.exe

O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - C:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Program Files\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [LCONTROL] "C:\Program Files\Lenovo\ATK Hotkey\LCONTROL.exe"
O4 - HKLM\..\Run: [LFKA] "C:\Program Files\Lenovo\ATK Hotkey\LFKA.exe"
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [TPHOTKEY] C:\Program Files\Lenovo\HOTKEY\LVOSDSVC.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - Startup: 74BE16.lnk = C:\WINDOWS\system32\ACF7EF\74BE16.EXE
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: ????5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra 'Tools' menuitem: ????5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: HP ???? - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED679F38-BD8C-47E4-B90D-BCF87E0A457B}: NameServer = 192.168.255.14
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Atheros Configuration Service (acs) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\Lenovo\ATK Hotkey\GFNEXSrv.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Program Files\FolderSize\FolderSizeSvc.exe
O23 - Service: Google Update Service (gupdate1c9aef164ddbe98) (gupdate1c9aef164ddbe98) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: ThinkPad PM Service for SL Series (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Service of LFKA (LFKAS) - Unknown owner - C:\Program Files\Lenovo\ATK Hotkey\LFKAS.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: Power Manager DBC Service - Unknown owner - C:\Program Files\ThinkPad\Utilities\PWMDBSVC.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: CamMonitor (uCamMonitor) - ArcSoft, Inc. - C:\Program Files\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe

--
End of file - 11396 bytes
         
Ich hoffe, dass ich es jetzt los bin. Was sagen die log's?

Auf meinem USB-Stick wurden jedenfalls jetzt keine .exe - Dateien mehr erstellt, es wurde nichts mehr schreibgeschuetzt und nichts versteckt. Auch das Kontextmenue bleibt sauber. Die beiden Eintraege werden nicht mehr erzeugt. Was die Verbindungsgeschwindigkeit betrifft, habe ich noch keine Erfahrungen gemacht. Mal sehen, ob die Kiste jetzt etwas schneller im Netz ist.

Auf jeden Fall bedanke ich mich schonmal fuer die Unterstuetzung bis hierher.
Hoffentlich freue ich mich nicht zu frueh.

Warum hat denn der Herr Norton nichts gefunden? Ist der blind, oder geschickt hinter's Licht gefuehrt worden? Ich werde den jetzt jedenfalls besser auslassen, und mich (wie auch schon zu Hause erfolgreich bewaehrt) lieber auf Avira Antivir verlassen.

Gruesse HC

Alt 30.04.2009, 17:43   #10
Ghost1975
 
staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt - Standard

staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt



Hi HarryCane

Aufgrund der Funde in zB:
C:\System Volume Information\_restore

rate ich dir erstmal die Systemwiederherstellung zu deaktivieren.
Systemsteuerung->System->Systemwiederherstellung->Hacken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" rein und Übernehmen anklicken.
Dann Rechner neu Starten.

Aber Ehrlichgesagt würde ich an deiner Stelle Überlegen,den Rechner zu Formatieren und Neu zu Installieren.
Grund:Menge des Befalls->Wer weiß was du noch alles drauf hast und was alles abgeändert wurde..
Ich weiß auch nicht ob du von dem Rechner aus Onlinebanking gemacht hast,
bzw machen willst,wäre mir jenachdem zu unsicher.


Allerdings werde ich mal jemanden Fragen der was mehr Ahnung hat was der Empfehlen tut.


MfG

Ghost1975

Alt 03.05.2009, 18:08   #11
HarryCane
 
staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt - Standard

staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt



Danke, erstmal fuer die Muehe. Weiterer Rat kann nur gut sein.

Mit Neuinstallation sieht es ganz schlecht aus, weil ich keine Programme und kein Image oder restore-CD hierhabe. Und die IT-Abteilung sitzt in D-Land. Warum soll ich die Systemwiederherstellung deaktivieren? Erklaer mir bitte die Gefahren.

Onlinebanking mache ich von dieser Seuchenkiste natuerlich nicht. Aber mein e-mailkonto haette ich natuerlich auch gerne fuer mich alleine. Macht es eigentlich einen Unterschied, ob ich Passwoerter im Browser speichere? Oder ist es sicherer, die immer einzugeben?

good night

HC

Alt 03.05.2009, 18:13   #12
HarryCane
 
staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt - Standard

staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt



Achso, die Verbindungsgeschwindigkeit ist immernoch sehr niedrig. Eigentlich soll ich ein gutes Netz haben. (2000er DSL) aber meistens komme ich nicht ueber 40 kbps. Sehr muehsam. Ist das ein Hinweis auf eine evtl. noch bestehende Umleitung mit Daten abfangen und so?

Gruss

HC

Alt 03.05.2009, 19:10   #13
Ghost1975
 
staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt - Standard

staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt



Hi

Zitat:
Warum soll ich die Systemwiederherstellung deaktivieren? Erklaer mir bitte die Gefahren.
hier gibt es Infos zum Grund *KLICK*


dann Update mal Malwarebytes und Avira starte den Rechner im Abgesicherten Modus(F8 beim Start des Rechners drücken).
Laß dann beide Scannen und Poste die Logdatein+Hijackthis(den aber unter dem normalen Windows ausführen.)


Zitat:
Achso, die Verbindungsgeschwindigkeit ist immernoch sehr niedrig. Eigentlich soll ich ein gutes Netz haben. (2000er DSL) aber meistens komme ich nicht ueber 40 kbps. Sehr muehsam. Ist das ein Hinweis auf eine evtl. noch bestehende Umleitung mit Daten abfangen und so?
Der Downloadspeed von Dateien sagt nicht unbedingt viel aus,manche Seiten drosseln den Download,halbwegs sichere Infos bringen so Seiten wie Speedmeter allerdings ob die bei dir in China klappt und mit voller Geschwindigkeit


MfG

Ghost1975

Alt 03.05.2009, 22:14   #14
Ghost1975
 
staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt - Standard

staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt



Bin eben auf das ein oder andere Hingewiesen worden

Zitat:
Und die IT-Abteilung sitzt in D-Land
Dein Rechner ist also Firmen-PC,das ist ein Problem,da aus Rechtlichen- & Haftungsgründen bei so Sachen hier nicht geholfen werden kann+darf!

Versuche mal ob du von den It-Menschen die Orginal/Restore-CD zugeschickt bekommen kannst.Der Rechner muß auf jedenfall Formatiert+Neuinstalliert werden.Da führt kein Weg dran vorbei.

Bis zum Neuaufsetzen solltest du den Rechner auf keinenfall mehr Nutzen,da nicht sicher ist ob der Rechner nicht doch noch befallen ist.

Von einem sauberen PC solltest du deine Passwörter von E-Mail usw ändern nicht das deine Daten missbraucht werden!

MfG

Ghost1975

Alt 05.05.2009, 11:54   #15
HarryCane
 
staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt - Standard

staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt



Code:
ATTFilter
Dein Rechner ist also Firmen-PC,das ist ein Problem,da aus Rechtlichen- & Haftungsgründen bei so Sachen hier nicht geholfen werden kann+darf!
         
Oh, das war mir entgangen. Sorry. Trotzdem Danke fuer die Muehe.

Code:
ATTFilter
Versuche mal ob du von den It-Menschen die Orginal/Restore-CD zugeschickt bekommen kannst.Der Rechner muß auf jedenfall Formatiert+Neuinstalliert werden.Da führt kein Weg dran vorbei.
         
Werde den Hinweis aufnehmen.

Zur Info: Speedmeter geht von hier aus nicht. Aber Internet-Verbindung Geschwindigkeits-Test funktioniert. Allerdings dauert manchmal der Test so lange, dass die Verbindung unterbrochen wird.

Gruss
HC

Antwort

Themen zu staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt
.exe-dateien, adware.cydoor, ccleaner, center, code, dateien, disabled.securitycenter, erstellt, folge, funktioniert, laptop, malwarebytes' anti-malware, microsoft, namen, norton, offen, problem, registrierungsschlüssel, scan, scannen, security, seite, seiten, software, sp3, speicherkarte, update, updaten, usb-stick, version, windows




Ähnliche Themen: staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt


  1. Schwarzes Feld als Pop-Up (exe) erscheint staendig und Word/Internet ist sehr langsam, obwohl der Laptop recht neu ist
    Plagegeister aller Art und deren Bekämpfung - 26.11.2015 (13)
  2. Computer reagiert nicht und öffnet staendig Werbeseiten
    Plagegeister aller Art und deren Bekämpfung - 01.04.2015 (11)
  3. windows 7: staendig unbekannter datendownload
    Log-Analyse und Auswertung - 30.11.2014 (13)
  4. Es werden immer dateien von meinem PC Geklöscht
    Plagegeister aller Art und deren Bekämpfung - 08.07.2014 (1)
  5. BAK Trojaner - System wieder zurückgestellt jedoch Dateien immer noch verschlüsselt
    Diskussionsforum - 12.07.2012 (1)
  6. Panda zeigt staendig Fehlermeldung : It is advisable to restart to keep your computer protectet
    Log-Analyse und Auswertung - 15.06.2012 (25)
  7. System hat immer mindestens 5% CPU - Avira meldet versteckte Dateien
    Plagegeister aller Art und deren Bekämpfung - 23.01.2012 (1)
  8. Hijackthis Auswertung Virus erstellt immer neue Dateien
    Log-Analyse und Auswertung - 30.11.2011 (3)
  9. PC ist so sehr langsam, steht staendig
    Log-Analyse und Auswertung - 23.08.2010 (5)
  10. Trojaner - kann meine Dateien nicht immer öffnen
    Log-Analyse und Auswertung - 30.05.2010 (1)
  11. Immer wenn ich größere Dateien runterlade, (Rapidshare) bricht die Verbindung ab
    Alles rund um Windows - 20.12.2009 (4)
  12. Browser stuerzen staendig ab
    Log-Analyse und Auswertung - 06.01.2008 (2)
  13. .exe dateien werden immer mit struktogramm geöffnet
    Alles rund um Windows - 14.12.2007 (2)
  14. staendig up-und download!
    Log-Analyse und Auswertung - 08.01.2007 (6)
  15. HILFE, staendig popups...
    Log-Analyse und Auswertung - 26.12.2005 (1)
  16. Immer noch Fragen zum Anhängen von Dateien
    Log-Analyse und Auswertung - 28.02.2005 (1)
  17. staendig pop ups - hjt log
    Log-Analyse und Auswertung - 05.07.2004 (2)

Zum Thema staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt - Hallo, ich habe ueber mein Problem bisher kaum hilfreiche Hinweise im Netz gefunden. Ich hoffe, dass mir hier jemand helfen kann. Ich bin dienstlich in China und habe hier einen - staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt...
Archiv
Du betrachtest: staendig .exe-dateien auf Speicherkmedien (immer 1376 KB).txt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.