ja hallo,
hab da ein riesen problem mit meinem laptop von lg (windows vista)

hab seit langem einen virus aber kein virusprogramm findet ihn.
ich denke das es ein virus ist weil mein defender nicht mehr geht und das email programm öffnet sich ständig selbst und nach ca 30 mal geht dann der pc aus.

hab ihn mehrmals neu aufgesetzt habe auch fixmbr usw ... alles versucht doch sobald vista installiert ist öffnet sich dauernd das email programm.(selbst beim installieren von vista stürzt der pc öffters ab)

habe heute versuch meine festplatte lowlevel zu formatieren hab auch die richtige software vom hersteller als bootcd. aber nach ca 5 min. schaltet der pc einfach ab, habs mehr mals brobiert(auch mit der ultimate boot cd)

kann das noch ein virus sein???
oder ist vielleicht meine festplatte kaputt??
bitte um hilfe weiss echt nicht mehr weiter

danke

Hallo und Herzlich Willkommen!

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
- Lade dir RSIT - http://filepony.de/download-rsit/:
- an einen Ort deiner Wahl und führe die rsit.exe aus
- wird "Hijackthis" auch von RSIT installiert und ausgeführt
- RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten
**Kannst Du das Log in Textdatei speichern und hier anhängen (auf "Erweitert" klicken)

2.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

gruß
Coverflow

Danke, das mit den logfiles werde ich gleich nach der Arbeit machen. Aber davor noch eine kleine Anmerkung.ich habe mir bereits eine neue Festplatte rein, am Anfang war alles ok,konnte Windows auch ohne Probleme installieren aber als ich grad dabei war meine Driver zu installieren ist schonwieder dauernd das Email Programm aufgegangen und danach ist der pc ausgegangen. Das heist ja dann das der Virus im Arbeitsspeicher oder im BIOS ist,oder? Denn manchmal bootet der pc mein DVD laufwerk nich :couldnd find ntldr cd Boot.wo kann der Virus sein? Danke im vorraus

Code: Alles auswählenAufklappen

ATTFilter

Anhang 4238
         

Code: Alles auswählenAufklappen

ATTFilter

Anhang 4239
         

Code: Alles auswählenAufklappen

ATTFilter

Adobe Flash Player 10 ActiveX	Adobe Systems Incorporated	02.10.2009	
Agere Systems HDA Modem	Agere Systems	01.10.2009	
Atheros Driver Installation Program	Atheros	01.10.2009	4,00KB
ATI Catalyst Install Manager	ATI Technologies, Inc.	01.10.2009	13,9MB
CCleaner (remove only)	Piriform	03.10.2009	2,71MB
EzManual		01.10.2009	118,7MB
Google Toolbar for Internet Explorer	Google Inc.	03.10.2009	8,71MB
HijackThis 2.0.2	TrendMicro	03.10.2009	
LG Intelligent Update		01.10.2009	1,41MB
LG Smart Cam	LG Electronics Inc.	01.10.2009	1,89MB
LiveUpdate 3.2 (Symantec Corporation)	Symantec Corporation	02.10.2009	19,4MB
LiveUpdate Notice (Symantec Corporation)	Symantec Corporation	01.10.2009	7,59MB
Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation	01.10.2009	0,54MB
Norton AntiVirus (Symantec Corporation)	Symantec Corporation	01.10.2009	29,8MB
O2Micro Flash Memory Card Reader Driver Installer(x86)	O2Micro	01.10.2009	1,00MB
Realtek 8169, 8168, 8101E and 8102E Ethernet Network Card Driver for Windows Vista	Realtek	01.10.2009	0,80MB
Realtek High Definition Audio Driver	Realtek Semiconductor Corp.	01.10.2009	15,7MB
Synaptics Pointing Device Driver	Synaptics	01.10.2009	12,8MB
System Control Manager	LG	01.10.2009	4,88MB
         

hier nochmal die logfile und infofile hatte sie ausversehen als link rein

Code: Alles auswählenAufklappen

ATTFilter

Logfile of random's system information tool 1.06 (written by random/random)
Run by Alina at 2009-10-04 20:56:40
Microsoft® Windows Vista™ Home Premium  
System drive C: has 217 GB (91%) free of 237 GB
Total RAM: 2047 MB (56% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:57:02, on 04.10.2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16546)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\lg_swupdate\GiljabiStart.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\LG Software\System Control Manager\MGSysCtrl.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10c.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Google\Google Toolbar\GoogleToolbarUser_32.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Alina\Desktop\RSIT.exe
C:\Program Files\trend micro\Alina.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [LG Intelligent Update] "C:\Program Files\lg_swupdate\giljabistart.exe" Gilautouc
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\LG Software\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O13 - Gopher Prefix: 
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Evil Driver Daemon (NishService) - Unknown owner - C:\Program Files\LG Software\System Control Manager\edd.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 6398 bytes
         

und hier nochmal die infofile

Code: Alles auswählenAufklappen

ATTFilter

info.txt logfile of random's system information tool 1.06 2009-10-04 20:57:03

======Uninstall list======

Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Agere Systems HDA Modem-->agrsmdel
AppCore-->MsiExec.exe /I{EFB5B3B5-A280-4E25-BE1C-634EEFE32C1B}
Atheros Driver Installation Program-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{28006915-2739-4EBE-B5E8-49B25D32EB33}\setup.exe" -l0x7  -removeonly
AV-->MsiExec.exe /I{F4DB525F-A986-4249-B98B-42A8066251CA}
Catalyst Control Center - Branding-->MsiExec.exe /I{3F3328F3-79EE-4B2C-A5E2-13D5787ADAC1}
ccCommon-->MsiExec.exe /I{3CCAD2EF-CFF2-4637-82AA-AABF370282D3}
EzManual-->"C:\Program Files\EzManual\UnInstall.exe"
Google Toolbar for Internet Explorer-->"C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarManager_E582EA556D8DE101.exe" /uninstall
Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
Internet Worm Protection-->MsiExec.exe /I{2908F0CB-C1D4-447F-97A2-CFC135C9F8D4}
LG Intelligent Update-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{81717D01-32F6-449C-85E1-41AFD678E545}\SETUP.EXE" 
LG Smart Cam-->C:\Program Files\InstallShield Installation Information\{9455E8B0-4D73-4A9D-BFA3-D2C213BFD28F}\setup.exe -runfromtemp -l0x0007 -removeonly
LiveUpdate 3.2 (Symantec Corporation)-->"C:\Program Files\Symantec\LiveUpdate\LSETUP.EXE" /U
LiveUpdate Notice (Symantec Corporation)-->MsiExec.exe /X{DBA4DB9D-EE51-4944-A419-98AB1F1249C8}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
Norton AntiVirus (Symantec Corporation)-->"C:\Program Files\Common Files\Symantec Shared\SymSetup\{830D8CBD-C668-49e2-A969-C2C2106332E0}_14_1_0_27\{830D8CBD-C668-49e2-A969-C2C2106332E0}.exe" /X
Norton AntiVirus Help-->MsiExec.exe /I{34EEB1F5-E939-40A1-A6BA-957282A4B2C8}
Norton AntiVirus Parent MSI-->MsiExec.exe /I{E5EE9939-259F-4DE2-8023-5C49E16A4F43}
Norton AntiVirus SYMLT MSI-->MsiExec.exe /I{D1FF75E7-DD42-4CFD-B052-20B3FFF4EDB8}
Norton AntiVirus-->MsiExec.exe /X{830D8CBD-C668-49e2-A969-C2C2106332E0}
Norton Protection Center-->MsiExec.exe /I{9A129ABC-A53A-4209-A21E-D5DEDFB7CCA8}
O2Micro Flash Memory Card Reader Driver Installer(x86)-->MsiExec.exe /X{78764173-3805-4916-B3CE-B433702B8870}
Realtek 8169, 8168, 8101E and 8102E Ethernet Network Card Driver for Windows Vista-->C:\Program Files\InstallShield Installation Information\{8833FFB6-5B0C-4764-81AA-06DFEED9A476}\Setup.exe -runfromtemp -l0x0007 -removeonly
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\SETUP.exe" -l0x7  -removeonly
SPBBC 32bit-->MsiExec.exe /I{77772678-817F-4401-9301-ED1D01A8DA56}
Symantec-->MsiExec.exe /I{228F6876-A313-40A3-91C0-C3CBE6997D09}
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
System Control Manager-->C:\Program Files\InstallShield Installation Information\{ED9C5D25-55DF-48D8-9328-2AC0D75DE5D8}\setup.exe -runfromtemp -l0x0009 -removeonly

======Security center information======

AV: Norton AntiVirus
FW: Norton AntiVirus
AS: Windows-Defender (disabled)
AS: Norton AntiVirus

======System event log======

Computer Name: Alina-PC
Event Code: 4383
Message: Windows-Wartung hat das Update 958624-7_neutral_LDR aus Paket KB958624 (Security Update) in den Status Wird aufgelöst(Resolving) gesetzt.
Record Number: 5506
Source Name: Microsoft-Windows-Servicing
Time Written: 20091004185654.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: Alina-PC
Event Code: 4383
Message: Windows-Wartung hat das Update 958624-8_neutral_GDR aus Paket KB958624 (Security Update) in den Status Wird aufgelöst(Resolving) gesetzt.
Record Number: 5507
Source Name: Microsoft-Windows-Servicing
Time Written: 20091004185654.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: Alina-PC
Event Code: 4372
Message: Windows-Wartung setzt das Paket KB958624(Security Update) in den Status Wird bereitgestellt(Staging).
Record Number: 5508
Source Name: Microsoft-Windows-Servicing
Time Written: 20091004185703.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: Alina-PC
Event Code: 4372
Message: Windows-Wartung setzt das Paket KB958624(Security Update) in den Status Wird bereitgestellt(Staging).
Record Number: 5509
Source Name: Microsoft-Windows-Servicing
Time Written: 20091004185705.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

Computer Name: Alina-PC
Event Code: 4372
Message: Windows-Wartung setzt das Paket KB958624(Security Update) in den Status Wird bereitgestellt(Staging).
Record Number: 5510
Source Name: Microsoft-Windows-Servicing
Time Written: 20091004185705.000000-000
Event Type: Informationen
User: NT-AUTORITÄT\SYSTEM

=====Application event log=====

Computer Name: Alina-PC
Event Code: 8194
Message: Der Wiederherstellungspunkt wurde erfolgreich erstellt (Prozess = C:\Windows\servicing\TrustedInstaller.exe; Beschreibung = ).
Record Number: 682
Source Name: System Restore
Time Written: 20091004185517.000000-000
Event Type: Informationen
User: 

Computer Name: Alina-PC
Event Code: 8194
Message: Der Wiederherstellungspunkt wurde erfolgreich erstellt (Prozess = C:\Windows\servicing\TrustedInstaller.exe; Beschreibung = Windows-Modulinstallation).
Record Number: 683
Source Name: System Restore
Time Written: 20091004185540.000000-000
Event Type: Informationen
User: 

Computer Name: Alina-PC
Event Code: 8224
Message: Der VSS-Dienst wird aufgrund eines Leerlaufzeitlimits heruntergefahren. 
Record Number: 684
Source Name: VSS
Time Written: 20091004185552.000000-000
Event Type: Informationen
User: 

Computer Name: Alina-PC
Event Code: 8194
Message: Der Wiederherstellungspunkt wurde erfolgreich erstellt (Prozess = C:\Windows\servicing\TrustedInstaller.exe; Beschreibung = ).
Record Number: 685
Source Name: System Restore
Time Written: 20091004185613.000000-000
Event Type: Informationen
User: 

Computer Name: Alina-PC
Event Code: 8194
Message: Der Wiederherstellungspunkt wurde erfolgreich erstellt (Prozess = C:\Windows\system32\svchost.exe -k netsvcs; Beschreibung = Windows Update).
Record Number: 686
Source Name: System Restore
Time Written: 20091004185613.000000-000
Event Type: Informationen
User: 

=====Security event log=====

Computer Name: Alina-PC
Event Code: 4907
Message: Die Überwachungseinstellungen für ein Objekt wurden geändert:

Antragsteller:
	Sicherheits-ID:		S-1-5-18
	Kontoname:		ALINA-PC$
	Kontodomäne:		WORKGROUP
	Anmelde-ID:		0x3e7

Objekt:
	Objektserver:	Security
	Objekttyp:	File
	Objektname:	C:\Windows\ehome\ehkeyctl.dll
	Handle-ID:	0x514

Prozessinformationen:
	Prozess-ID:	0x1228
	Prozessname:	C:\Windows\servicing\TrustedInstaller.exe

Überwachungseinstellungen:
	Originalsicherheitsbeschreibung:	
	Neue Sicherheitsbeschreibung:		S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Record Number: 731
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091004185348.405305-000
Event Type: Überwachung erfolgreich
User: 

Computer Name: Alina-PC
Event Code: 4648
Message: Anmeldeversuch mit expliziten Anmeldeinformationen.

Antragsteller:
	Sicherheits-ID:		S-1-5-18
	Kontoname:		ALINA-PC$
	Kontodomäne:		WORKGROUP
	Anmelde-ID:		0x3e7
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Konto, dessen Anmeldeinformationen verwendet wurden:
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Zielserver:
	Zielservername:	localhost
	Weitere Informationen:	localhost

Prozessinformationen:
	Prozess-ID:		0x24c
	Prozessname:		C:\Windows\System32\services.exe

Netzwerkinformationen:
	Netzwerkadresse:	-
	Port:			-

Dieses Ereignis wird bei einem Anmeldeversuch durch einen Prozess generiert, wenn ausdrücklich die Anmeldeinformationen des Kontos angegeben werden.  Dies ist normalerweise der Fall in Batch-Konfigurationen, z. B. bei geplanten Aufgaben oder wenn der Befehl "runas" verwendet wird.
Record Number: 732
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091004185355.362905-000
Event Type: Überwachung erfolgreich
User: 

Computer Name: Alina-PC
Event Code: 4624
Message: Ein Konto wurde erfolgreich angemeldet.

Antragsteller:
	Sicherheits-ID:		S-1-5-18
	Kontoname:		ALINA-PC$
	Kontodomäne:		WORKGROUP
	Anmelde-ID:		0x3e7

Anmeldetyp:			5

Neue Anmeldung:
	Sicherheits-ID:		S-1-5-18
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3e7
	Anmelde-GUID:		{00000000-0000-0000-0000-000000000000}

Prozessinformationen:
	Prozess-ID:		0x24c
	Prozessname:		C:\Windows\System32\services.exe

Netzwerkinformationen:
	Arbeitsstationsname:	
	Quellnetzwerkadresse:	-
	Quellport:		-

Detaillierte Authentifizierungsinformationen:
	Anmeldeprozess:		Advapi  
	Authentifizierungspaket:	Negotiate
	Übertragene Dienste:	-
	Paketname (nur NTLM):	-
	Schlüssellänge:		0

Dieses Ereignis wird beim Erstellen einer Anmeldesitzung generiert. Es wird auf dem Computer generiert, auf den zugegriffen wurde.

Die Antragstellerfelder geben das Konto auf dem lokalen System an, von dem die Anmeldung angefordert wurde. Dies ist meistens ein Dienst wie der Serverdienst oder ein lokaler Prozess wie "Winlogon.exe" oder "Services.exe".

Das Anmeldetypfeld gibt den jeweiligen Anmeldetyp an. Die häufigsten Typen sind 2 (interaktiv) und 3 (Netzwerk).

Die Felder für die neue Anmeldung geben das Konto an, für das die Anmeldung erstellt wurde, d. h. das angemeldete Konto.

Die Netzwerkfelder geben die Quelle einer Remoteanmeldeanforderung an. der Arbeitsstationsname ist nicht immer verfügbar und kann in manchen Fällen leer bleiben.

Die Felder für die Authentifizierungsinformationen enthalten detaillierte Informationen zu dieser speziellen Anmeldeanforderung.
	 - Die Anmelde-GUID ist ein eindeutiger Bezeichner, der verwendet werden kann, um dieses Ereignis mit einem KDC-Ereignis zu korrelieren.
	- Die übertragenen Dienste geben an, welche Zwischendienste an der Anmeldeanforderung beteiligt waren.
	- Der Paketname gibt das in den NTLM-Protokollen verwendete Unterprotokoll an.
	- Die Schlüssellänge gibt die Länge des generierten Sitzungsschlüssels an. Wenn kein Sitzungsschlüssel angefordert wurde, ist dieser Wert 0.
Record Number: 733
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091004185355.362905-000
Event Type: Überwachung erfolgreich
User: 

Computer Name: Alina-PC
Event Code: 4672
Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.

Antragsteller:
	Sicherheits-ID:		S-1-5-18
	Kontoname:		SYSTEM
	Kontodomäne:		NT-AUTORITÄT
	Anmelde-ID:		0x3e7

Berechtigungen:		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
Record Number: 734
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091004185355.362905-000
Event Type: Überwachung erfolgreich
User: 

Computer Name: Alina-PC
Event Code: 4907
Message: Die Überwachungseinstellungen für ein Objekt wurden geändert:

Antragsteller:
	Sicherheits-ID:		S-1-5-18
	Kontoname:		ALINA-PC$
	Kontodomäne:		WORKGROUP
	Anmelde-ID:		0x3e7

Objekt:
	Objektserver:	Security
	Objekttyp:	File
	Objektname:	C:\Program Files\Common Files\System\msadc\msadce.dll
	Handle-ID:	0x3e4

Prozessinformationen:
	Prozess-ID:	0x1228
	Prozessname:	C:\Windows\servicing\TrustedInstaller.exe

Überwachungseinstellungen:
	Originalsicherheitsbeschreibung:	
	Neue Sicherheitsbeschreibung:		S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
Record Number: 735
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20091004185607.963305-000
Event Type: Überwachung erfolgreich
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 6, GenuineIntel
"PROCESSOR_REVISION"=1706
"NUMBER_OF_PROCESSORS"=2
"configsetroot"=%SystemRoot%\ConfigSetRoot

-----------------EOF-----------------
         

hi

1.

• lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
• schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
• nichts am Pc machen während der Scan läuft![/b]
• starte in diesem Ordner fsbl.exe
• klicke auf "I accept the agreement" → "next" → "Scan"
• wenn der Scan beendet ist, wähle Close.
• der Bericht ist fsbl-XXX.log und befindet sich im Blacklight Verzeichnis. (anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten). Den Inhalt dieser Datei bitte posten.

Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

2.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird GMER beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

3.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "Arbeitsplatz" aus:
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

**Versuche Norton für die Zeit bis Kspersky läuft deaktivieren! Danach nicht vergessen ihn wieder zu aktivieren!

hi,
habe versucht die oben angegeben programme auszuführen, aber der pc startet die programme nicht, das email programm öffnet sich dauernd und dann schaltet sich der pc aus.das blacklight programm geht gar nicht zeigt an ich bin nicht der administrator(bin ich aber)
gmer programm scannt bricht aber nach kurzer zeit ab weil das programm nicht mehr funktioniert.

wie gesagt habe bereits vor 2tagen meine festplatte durch eine neue ersetzt der virus ist aber noch da, kann es sein das er im arbeitsspeicher oder im Bios ist?

würde den ein Bios reset reichen um den virus dort zu entfernen, und wäre es sinnvoll wenn ich den Arbeitsspeicher auch durch einen neuen ersetze???
Danke

>Hast Du gesicherten Daten zurückgespielt?

Hallo, nein ich habe keine gesicherten Daten auf die neue Platte, desshalb vermute ich das der Virus im Arbeitsspeicher oder im BIOS ist. Seit gestern bootet mein pc das DVD Laufwerk nicht mehr als erstes(cd Boot couldnt find ntldr.) könnte denn ein BIOS reset helfen? Bin echt mit meinem Latein am Ende .

hi

1.
Master Boot Record überprüfen:

• Lade Dir die MBR.exe von GMER herunter
• Speichere auf deinem Desktop
• Per Doppelklick starten.
• wenn das Programm fertig ist, das erhaltene Log mbr.log hier posten

2.
- kommst Du in den abgesicherten Modus wenn du beim Hochfahren des PC's [F8] drückst? Dort Du folgende Auswahlmöglichkeiten hast:
- Abgesicherter Modus
- Abgesicherter Modus mit Netzwerktreibern
- Abgesicherter Modus mit Eingabeaufforderung

hi,

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR 
kernel: error reading MBR
         

bekomme ich eine Antwort?

Zitat:

Zitat von Coverflow

- kommst Du in den abgesicherten Modus wenn du beim Hochfahren des PC's [F8] drückst? Dort Du folgende Auswahlmöglichkeiten hast:
- Abgesicherter Modus
- Abgesicherter Modus mit Netzwerktreibern
- Abgesicherter Modus mit Eingabeaufforderung

ja ich komme im abesicherten modus rein aber selbst da spinnt der pc, auch da geht ganze zeit das email programm auf. und die anderen programme lassen sich auch nicht starten