Hallo!

Seid wochen wurde mein pc larm gelegt ich wusste bis vorhin nicht wieso,
dann hab ich bemerkt das ich bei TuneUp StartUp manager die datein *msa.exe b.exe rundll32.exe* selbst akktivieren vlt sind da auch mehr fehlern weiß ich net deswegen hier logfile --->

Ps: Ich kenn mich net mit HijackThis net aus kp obs richtig ist so ^^

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:36:06, on 07.10.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\TuneUp Utilities 2009\MemOptimizer.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\TuneUp Utilities 2009\Integrator.exe
C:\Programme\TuneUp Utilities 2009\RegistryDefrag.exe
C:\Programme\TuneUp Utilities 2009\OneClick.exe
C:\Programme\TuneUp Utilities 2009\RegistryCleaner.exe
C:\WINDOWS\System32\TuneUpDefragService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13187&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13187&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13187&gct=&gc=1&q=%s
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2009\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [WAB] C:\Dokumente und Einstellungen\Hamza93\Anwendungsdaten\Macromedia\Common\977cc01419.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe

--
End of file - 6500 bytes

Hallo und

Da fehlen aber etliche Updates für Dein System...
Windows hat nur das SP2 und beim IE sind wir mittlerweile bei Version 8! Mehr dazu aber später.

Betreibst Du Onlinebanking? Du hast wahrscheinlich den silentbanker drin:

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\Hamza93\Anwendungsdaten\Macromedia\Common\977cc01419.exe
         

Wenn Du Onlinebanking machst => Umgehend Deine bank informieren und das Onlinebanking sperren lassen!

Bitte danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hi!

Was?
Mein Name als Virus? *gg

du kannst b.exe einfach mit HJT fixen, dann Malwarebytes' Anti-Malware durchlaufen lassen.
Damit sollte es sich mit b.exe und msa.exe endgültig ausge-exe-t haben.
Was

Verwirr den TO jetzt bitte nicht. Die Anleitung für Neulinge ist nicht zum Spaß da!

Ich hatte das gleiche Problem, deswegen auch mein Name "b.exe"
Un dich habs so gemacht, wie ich es geschrieben habe. MBAM hat auch noch a.exe, c.exe, d.exe und e.exe gelöscht.
Wenn das für Verwirrung gesorgt hat, tuts mir leid.

Wenn Du meinen ersten beitrag in diesem Strang gelesen hättest, wüsst Du auch, dass der TO ein viel massiveres Problem hat...

Den habe ich gelesen. Aber wenn der TO sich sein Anliegen zu Herzen nimmt, wird er sich sicher auch deinen Beitrag zu Herzen nehmen.
Ich hab gesagt, was ich sagen wollte, bin damit raus

Gruß,
b.exe

so hier ist der link
http://ww w.file-upload.net/download-1932767/infos.rar.html

müsste richtig sein ich weiß net :S

langsam spinnt mein pc mehr :S

Hast Du mit Malwarebytes die Funde garnicht löschen lassen?

doch danach hab ich nochma damit prüfen lassen der hat 47 sachen gefunden hab dann übernacht löschen lassen um 7 hat mein mutter pc ausgemacht kp obs jz weg ist

Betreibst Du nun Onlinebanking ja oder nein? Wenn ja, Bank anrufen und das Onlinebanking sperren lassen!

Außerdem: Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

Code: Alles auswählenAufklappen

ATTFilter

--------------------\\  Cracks & Keygens ..

   C:\DOKUME~1\Hamza93\Desktop\Neuer Ordner\Sony.ACID.Pro.v6.0d.Incl.Keygen-SSG
   C:\DOKUME~1\Hamza93\Desktop\Neuer Ordner\Sony.ACID.Pro.v6.0d.Incl.Keygen-SSG\file_id.diz
   C:\DOKUME~1\Hamza93\Desktop\Neuer Ordner\Sony.ACID.Pro.v6.0d.Incl.Keygen-SSG\keygen.exe
   C:\DOKUME~1\Hamza93\Desktop\Neuer Ordner\Sony.ACID.Pro.v6.0d.Incl.Keygen-SSG\ssg.nfo
   C:\DOKUME~1\Hamza93\Eigene Dateien\ACID Pro 7.0 Projects\Keygen Acid Pro 7.0
   C:\DOKUME~1\Hamza93\Eigene Dateien\ACID Pro 7.0 Projects\Keygen Acid Pro 7.0\Coleccion musical mia.rar
         

Nun ist Ende im Gelände. Die (Be)nutzung von Cracks, Serials und Keygens ist illegal, somit gibt es im Trojaner-Board keinen weiteren Support mehr.

Für Dich geht es hier weiter => Neuaufsetzen des Systems
Bitte auch alle Passwörter abändern (für E-Mail-Konten, StudiVZ, Ebay...einfach alles!) da nicht selten in dieser dubiosen Software auch Keylogger und Backdoorfunktionen stecken.

Danach nie wieder sowas anrühren!

Ok geht klar, danke cheff