iexplorer.exe dauerhaft und doppelt im Taskmanager

janybuny9 · 15.01.2010, 18:39

Hi,

ich habe mir jetzt so einige Einträge bei Euch durchgelesen, das Problem scheint auch lösbar zu sein. Die iexplorer.exe die 2 mal im Taskmanager sind, ist auch mein Problem.

Eure Hilfebeschreibung ist super verständlich allerdings weiss ich nicht, welche Ordner ich im abgesicherten Modus löschen soll.

In meinem Hijack Auszug habe ich einige komische Einträge entdeckt (Beispiel:
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} -
(no file)
O2 - BHO: (no name) - {5D37821C-63CF-4BA9-AEB0-85702E69A150} - C:\WINDOWS\system32\drmcmien.dll), aber vll. kann mir einer von Euch sagen, welche ich löschen kann/soll. Da bin ich ehrlich gesagt etwas zu unsicher. Auch gibt es einige wie im Beispiel wo kein Pfad angezeigt wird (no file) was ist mit denen??

Hier ist mein Hijack Auszug:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:20:18, on 15.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
c:\programme\mcafee.com\agent\mcdetect.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Janna\Eigene Dateien\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.mywebsearch.com/mywebsearch/default.jhtml?ptnrS=ZJfox000&ptb=IhpTDFZG_2huaReMrT6oyg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/wdgt3/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\bar\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\bar\1.bin\MWSSRCAS.DLL
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {5D37821C-63CF-4BA9-AEB0-85702E69A150} - C:\WINDOWS\system32\drmcmien.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Internet Security Class - {A75E294E-C047-4D29-B07E-37B792881BEF} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Secure] C:\WINDOWS\WindowsUpdates.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL,UPF
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunOnce: [MessengerPlusLiveUninstall] "C:\DOKUME~1\Janna\LOKALE~1\Temp\MsgPlusUninstall.exe" /Cleanup
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (User 'SYSTEM')
O4 - .DEFAULT Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZJfox000
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://showcase.workplace.t-online.de/app/static/activex/msxml4.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://204.249.164.75/activex/AxisCamControl.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://www.askfm.com.tr/player/cab/ampx_en_dl.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Unknown owner - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe (file missing)
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: My Web Search Service (MyWebSearchService) - Unknown owner - C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe (file missing)
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Unknown owner - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe (file missing)
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O24 - Desktop Component 0: (no name) - http://www.google.com/ig/modules/datetime_content/b-blue.png

--
End of file - 13730 bytes

Ich danke Euch schon mal im Voraus und hoffe auf baldige Hilfe

cosinus · 15.01.2010, 22:20

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

janybuny9 · 16.01.2010, 19:31

Hi, ich arbeite gerade die u. g. Liste ab. Dort unter
2. c) Anleitung -> RSIT - Randoms System Information Tool
und wiederum unter
* Lade *hier* von random/random herunter
popt die RSIT.exe nicht zum download auf.

Ich kann sie nicht ausführen.

Fehlerbeschreibung:

Fehler: Server nicht gefunden
Der Server unter images.malwareremoval.com konnte nicht gefunden werden.

Liegt das an meinem Browser?

cosinus · 17.01.2010, 20:55

Hier gibts eine RSIT.exe in umbenannter Form (pluescheule.exe

)

janybuny9 · 17.01.2010, 23:38

Hi Arne,

vielen Dank für Deine Hilfe!!!

hat gefunzt...

hier den Link zu den gezippten Logfiles, ich hoffe ich hab alles richtig gemacht

Freu mich schon auf die nächsten Aufgaben

janybuny9 · 17.01.2010, 23:39

oh...hab den Link verloren...ne.., ah..hier...wieder gefunden

Also noch mal...zweiter Versuch, hier die gewünschten Logfiles

File-Upload.net - mbam-info_log_rsit.rar

cosinus · 18.01.2010, 08:38

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.

Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

registry values to delete:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar | {BA52B914-B692-46c4-B683-905236F6F655}

registry keys to delete:
HKLM\software\microsoft\shared tools\msconfig\startupreg\01 ooze
HKLM\software\microsoft\shared tools\msconfig\startupreg\My Web Search Bar Search Scope Monitor
HKLM\software\microsoft\shared tools\msconfig\startupreg\MyWebSearch Email Plugin
HKLM\software\microsoft\shared tools\msconfig\startupreg\MyWebSearch Plugin
HKLM\software\microsoft\shared tools\msconfig\startupreg\Proc Deaf Delete Peak

files to delete:
C:\WINDOWS\tasks\8C93AF63869857FB.job
C:\WINDOWS\system32\02.tmp

folders to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\file joy proc deaf
C:\DOKUME~1\Janna\ANWEND~1\NAMEER~1
C:\PROGRA~1\MYWEBS~1

drivers to delete:
mailKmd
Wbutton
gfnnnfe
hurnosnc
jzffsdrju
pmhrfiuwu
qvjpbm
xguhau

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

janybuny9 · 18.01.2010, 16:39

Arne..? Ich oute mich mal, keine Ahnung was der Hintergrundwächter vom Virenscanner ist...

cosinus · 18.01.2010, 16:47

Hintergrundwächter wird auch als Guard oder Echtzeitschutz bezeichnet

Du müsstet (weil Du McAfee hast) bei der Windows-Uhr so eine Art Schutzschild mit nem V sehen...da rechtsklicken und deaktivieren.

cosinus · 18.01.2010, 19:40

Na ist der IE immer noch da, auch wenn Du ihn nicht geöffnet hast?

Probier auch mal aus, ob Du jetzt wieder auf die Seiten kommst die vorhin nicht geklappt haben, ich meine da RSIT oder die Avenger-Seite

janybuny9 · 18.01.2010, 21:26

noch hab ich ihn nicht entdecken können

...glaub er ist weg

gut gemacht!! 1000 DANK

Noch eine klitze kleine kurze Frage

kann/darf bzw. habe ich prozesse im Taskmanager die beendet werden können damit mein Rechner endlich mal etwas schneller wird?

cosinus · 18.01.2010, 21:30

Kommst Du nun auf die Seiten von RSIT und Avenger? Das mit den Prozessen beenden ist erstmal Nebensache und außerdem hast Du die Prozesse nicht mal namentlich benannt. Bitte wende erstmal CF an:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

janybuny9 · 18.01.2010, 21:33

oh sorry, nein...auf die RSIT Seite komm ich nicht, mit der Avenger hatte ich keine Probs.

Ich fahr jetzt mal mit ComboFix fort.

LG

janybuny9 · 23.02.2010, 16:47

Hi Arne, sorry, hatte einen Monat keinen IE Zugang

Hab nun die Sache mit dem ComboFix erlädischt, was muss ich jetzt machen? Hier der Inhalt des Logfiles:

ComboFix 10-02-22.07 - Janna 23.02.2010 16:05:44.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.511.271 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Eigene Dateien\Downloads\cofi.exe.exe
FW: Personal Firewall Plus *enabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\***\Favoriten\Videos.url
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\tbfedi.dat
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\tbfedi.exe
c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\tbfedi_navps.dat
c:\windows\system32\pthreadVC.dll
c:\windows\system32\Thumbs.db

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES
-------\Legacy_MYWEBSEARCHSERVICE
-------\Legacy_NPF
-------\Service_Boonty Games
-------\Service_MyWebSearchService

((((((((((((((((((((((( Dateien erstellt von 2010-01-23 bis 2010-02-23 ))))))))))))))))))))))))))))))
.

2010-02-04 12:49 . 2010-02-04 13:04 -------- dc----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PCPitstop
2010-02-04 12:49 . 2010-02-04 15:33 -------- d-----w- c:\programme\PCPitstop

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-21 16:04 . 2010-01-21 16:03 -------- d-----w- c:\programme\pdf24
2010-01-16 15:43 . 2010-01-16 15:43 -------- dc----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2008-10-27 09:57 . 2008-12-15 09:11 76 -c--a-w- c:\programme\MTP_2-1.cue
2008-10-02 19:17 . 2008-12-15 21:07 5500000 -c--a-w- c:\programme\Read me.txt
2007-08-19 19:15 . 2008-12-15 21:07 1074832 -c--a-w- c:\programme\KGB_Archiever_win_gui_v1.2.0.23.exe
2004-02-27 19:35 . 2008-12-15 21:07 29 -c--a-w- c:\programme\Serial.txt
2006-08-16 19:58 . 2006-08-16 19:58 8192 -csha-w- c:\windows\o2cLicStore.bin
2009-03-21 14:06 . 2004-08-04 12:00 169043 --sha-r- c:\windows\system32\dkvrjb.dll
.

------- Sigcheck -------

[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\atapi.sys
[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\atapi.sys
[-] 2004-08-03 21:59 . !HASH: COULD NOT OPEN FILE !!!!! . 95360 . . [------] . . c:\windows\system32\drivers\atapi.sys
[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\system32\ReinstallBackups\0004\DriverFiles\i386\atapi.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2}"= "c:\programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL" [2008-09-19 66912]

[HKEY_CLASSES_ROOT\clsid\{0579b4b6-0293-4d73-b02d-5ebb0ba0f0a2}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}]
2008-09-19 18:05 66912 ----a-w- c:\programme\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MCAgentExe"="c:\progra~1\mcafee.com\agent\mcagent.exe" [2005-09-22 303104]
"MCUpdateExe"="c:\progra~1\mcafee.com\agent\McUpdate.exe" [2006-01-11 212992]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2003-07-25 110592]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2003-07-25 618496]
"MPFExe"="c:\progra~1\McAfee.com\PERSON~1\MpfTray.exe" [2004-06-11 1380352]
"ShStatEXE"="c:\programme\Network Associates\VirusScan\SHSTAT.EXE" [2004-08-25 94208]
"McAfeeUpdaterUI"="c:\programme\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320]
"Network Associates Error Reporting Service"="c:\programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" [2003-10-07 147514]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-07-17 339968]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"LaunchAp"="c:\programme\Launch Manager\LaunchAp.exe" [2004-08-06 32768]
"HotkeyApp"="c:\programme\Launch Manager\HotkeyApp.exe" [2004-07-26 49152]
"CtrlVol"="c:\programme\Launch Manager\CtrlVol.exe" [2003-09-16 20480]
"LMgrOSD"="c:\programme\Launch Manager\OSD.exe" [2004-07-26 204800]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"Wbutton"="c:\programme\Launch Manager\Wbutton.exe" [2004-08-06 73728]
"VX3000"="c:\windows\vVX3000.exe" [2007-04-10 709992]
"SoundMan"="SOUNDMAN.EXE" [2004-02-26 65024]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-04-27 282624]
"PDFPrint"="c:\programme\pdf24\pdf24.exe" [2009-12-15 207504]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
InterVideo WinCinema Manager.lnk - c:\programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2004-12-26 212992]
Windows Search.lnk - c:\programme\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]

c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4035:TCP"= 4035:TCP:annwt

R0 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [26.11.2004 10:22 160640]
R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [26.11.2004 10:22 5248]
R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [14.10.2005 23:17 58016]
S2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe --> c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [?]
S2 vnyqn;Shell Time;c:\windows\system32\svchost.exe -k netsvcs [04.08.2004 13:00 14336]
S3 iblnbtccj;iblnbtccj;\??\c:\windows\system32\01.tmp --> c:\windows\system32\01.tmp [?]
S3 lcmjgpb;lcmjgpb;\??\c:\windows\system32\02.tmp --> c:\windows\system32\02.tmp [?]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS --> c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [?]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [27.03.2007 20:36 17152]
S3 nenum13E;nenum13E;\??\c:\dokume~1\***\LOKALE~1\Temp\nenum13E.sys --> c:\dokume~1\***\LOKALE~1\Temp\nenum13E.sys [?]
S3 nhycgcg;nhycgcg;\??\c:\windows\system32\02.tmp --> c:\windows\system32\02.tmp [?]
S3 sflwvgnoq;sflwvgnoq;\??\c:\windows\system32\01.tmp --> c:\windows\system32\01.tmp [?]
S3 TSMPacket;DSL-Manager Service;c:\windows\system32\DRIVERS\tsmpkt.sys --> c:\windows\system32\DRIVERS\tsmpkt.sys [?]
S3 VT001VID;VT VT001 Camera;c:\windows\system32\DRIVERS\VT001Vid.sys --> c:\windows\system32\DRIVERS\VT001Vid.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
tapisrv REG_MULTI_SZ Tapisrv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
vnyqn
.
Inhalt des "geplante Tasks" Ordners

2010-02-19 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2004\SystemOptimizer.exe [2004-03-02 10:53]

2010-02-19 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mSearch Bar = hxxp://us.rd.yahoo.com/customize/ie/defaults/sb/wdgt3/*http://www.yahoo.com/ext/search/search.html
IE: &Search
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
DPF: {070DC617-E3B7-468B-A29C-D4E84FAE938C} - hxxp://utilities.pcpitstop.com/Nirvana/controls/pcmatic.cab
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0q0so9tb.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ig
FF - component: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0q0so9tb.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
FF - component: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0q0so9tb.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0q0so9tb.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\programme\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\NPAskSBr.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("capability.policy.default.ClassID.CIDFE0BD779-44EE-4A4B-AA2E-743C63F2E5E6", "AllAccess");
c:\programme\Mozilla Firefox\defaults\pref\activex.js - pref("capability.policy.default.ClassID.CIDFE0BD779-44EE-4A4B-AA2E-743C63F2E5E6", "AllAccess");
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{74CC49F7-EB32-4A08-B204-948962A6E3DB} - (no file)
HKCU-Run-tbfedi - c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\tbfedi.exe
AddRemove-tbfedi - c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\tbfedi.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-23 16:17
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x82DBAC48]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf8710f28
\Driver\ACPI -> ACPI.sys @ 0xf863acb8
\Driver\atapi -> 0x82dbac48
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a8
ParseProcedure -> ntoskrnl.exe @ 0x8056c1d6
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a05a8
ParseProcedure -> ntoskrnl.exe @ 0x8056c1d6
NDIS: Intel(R) PRO/Wireless 2200BG Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xf84c8bb0
PacketIndicateHandler -> NDIS.sys @ 0xf84b7a0d
SendHandler -> NDIS.sys @ 0xf84cbb40
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iblnbtccj]
"ImagePath"="\??\c:\windows\system32\01.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lcmjgpb]
"ImagePath"="\??\c:\windows\system32\02.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\nhycgcg]
"ImagePath"="\??\c:\windows\system32\02.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\sflwvgnoq]
"ImagePath"="\??\c:\windows\system32\01.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vnyqn]
"ServiceDll"="c:\windows\system32\dkvrjb.dll"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG06.00.00.01WORKSTATION"="3ADCFCBD1D4D6E5F949A24B919451B1CA3FE2419AC7B8D53EDFC022BD2CE302AD28F7D23A263F2497208A4CEB6FEBC9E127BECC74CFEBC9E127B ECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E667FEBC9E127BECC74CA9C6AECB7A5D1407A2D97226D213B555F1DD950E503D73BE A41915F7E54DEC1880AA6ECAAC190A151C871C1975944B92B4FB1837DD15A46E1683711FA06727F4CA2397E7B40107E122E20B4D30B469ED88CCD4C391FE816B25804C21416409F7D25530 D2F5D4F8B8630E139F5A2B1FAA35988E898FB67DFE96634DA6F65578897A3E68214D9ED9C3FB4E86B99B1C1FD4368DDCDE6D179E35636273D66271F159D63C3F6D8B8F3AF2BFCA8A449052 2FBEB93E2BA334257FE0B7988D601D14845933930DD773FA3E7934119BF14AB9A579A49D3A3563844E17738241F4B0BCD3BE0B6AFA823D599F4D959088F34F6372DF0F071D79EA804C30AC 0507CA1D0D178491CC85931546A82AD09EF2821704178C4236BCD9B386D0C92BE32C1AD44C98E7AB2A7F361C013B100972525A90F4A6DF40CED3C2952846456A4C5122BE65B86CF1560F19 E56ECAC1142971BA9AB2CB7EBBD3F1A35F1CAAC61DCA6A23B5E76A57B2872D6E789660C5FD43EEE60BDDC3509AB0FA72D23B90382651C0E3898635B2EF5BA86C52A4186804263EA5AA3DDF 817AB1A72727049C469D3871ADFC1734CC5ECE21CE6268A0371918A44537B684022A0903BE05180C6351B8ECCDC6159538E7C58FD30D56BF86E3C5BD1361D8AC06AD4B6D3A0ABD2A43C171 781692A01FCBAA09BABDA906CDED3FC1F8E2CD556406BBF1999D495EDADFA3E4AB5C7EFAA59FF642425405B4374738FE980D967FCC3E405A90F0C8889375DDF874F89E0C1693D20396E15F BF7B3293D4B3EC47D11CAED9462D43826EDF868E7893CC785D6DC878BCFEB26C2CAE12C502B3E2E1E61B1ADD5B9FA163E4DCD785131DB6889F422654C6141D5323F90D7A2559D15B82A68A 52226AA44F653D71C658FA1C3D2539D4885E4475B06E1911104236A19C87304C730AE7E01B90C7A00DC0E8E87A6310446BA1D0979500DC4A19C3313E02003DED3161C1F611A5D5F742A677 8816F793260593D0E083E9A9AC5BF404965E96E745AD6079856F0BD64C88C60CEEDA9FA670139CAC35F5E5F5EFD186409EF31F5C69C11E6130E74B4BB53445DF0F893EC35D0787A1F9D5CE 51102C0C46CE7F8D5BB6781AA0A12094CA924DA8FE64D25A73EA0804C21B0524D8C94BFECDA12AF93CCC91B33506B3B60083105AC96C5F9ED65BED25F506D60A42A147BAE1179723669000 B2EC8D2FAA286C6EA87629CA5A9FB4C7E274AE94C8D5DFE881E0B2DB67D7AA6CBE6DEC940816F88BC68C1EA281164154194C8B78CC6F8DAFF4FDFC7FCCA10631652D"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3420)
c:\windows\system32\msls31.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\drivers\CDAC11BA.EXE
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Network Associates\Common Framework\FrameworkService.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\programme\Network Associates\VirusScan\Mcshield.exe
c:\programme\Network Associates\VirusScan\VsTskMgr.exe
c:\progra~1\mcafee.com\agent\mctskshd.exe
c:\progra~1\NETWOR~1\COMMON~1\naPrdMgr.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\progra~1\McAfee.com\PERSON~1\MPFSERVICE.exe
c:\windows\system32\oodag.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\System32\PAStiSvc.exe
c:\windows\system32\SearchIndexer.exe
c:\windows\SOUNDMAN.EXE
c:\progra~1\McAfee.com\PERSON~1\MpfAgent.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-02-23 16:28:42 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-02-23 15:28

Vor Suchlauf: 8.289.984.512 Bytes frei
Nach Suchlauf: 8.204.148.736 Bytes frei

- - End Of File - - 78857C97D21710C055DD17C43492D65E

cosinus · 23.02.2010, 17:00

Ich denke da ist noch ein Rootkit aktiv.

Lad Dir diese saubere atapi.sys (von meinem WinXP-Rechner) am besten direkt herunter auf c:, danach müssen wir so ran:

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens isses /dev/sda1
6. Benenne auf sda1 die Datei /windows/system32/drivers/atapi.sys um in atapi.bad
7. kopiere die saubere atapi.sys nach system32/drivers (da wo die atapi.bad auch ist)
8. Starte den Rechner neu und boote Windows
9. Die in Linux umbenannte Datei atapi.bad bei Virustotal.com auswerten lassen und Ergebnislink posten
10. Probier einen Durchlauf mit GMER und poste das Log
11. Mach auch noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.

17.01.2010, 20:55	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	iexplorer.exe dauerhaft und doppelt im Taskmanager Hier gibts eine RSIT.exe in umbenannter Form (pluescheule.exe ) __________________ Logfiles bitte immer in CODE-Tags posten

18.01.2010, 16:47	#9
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	iexplorer.exe dauerhaft und doppelt im Taskmanager Hintergrundwächter wird auch als Guard oder Echtzeitschutz bezeichnet Du müsstet (weil Du McAfee hast) bei der Windows-Uhr so eine Art Schutzschild mit nem V sehen...da rechtsklicken und deaktivieren. __________________ Logfiles bitte immer in CODE-Tags posten

18.01.2010, 19:40	#10
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	iexplorer.exe dauerhaft und doppelt im Taskmanager Na ist der IE immer noch da, auch wenn Du ihn nicht geöffnet hast? Probier auch mal aus, ob Du jetzt wieder auf die Seiten kommst die vorhin nicht geklappt haben, ich meine da RSIT oder die Avenger-Seite __________________ Logfiles bitte immer in CODE-Tags posten

iexplorer.exe dauerhaft und doppelt im Taskmanager

Log-Analyse und Auswertung: iexplorer.exe dauerhaft und doppelt im Taskmanager