N'abend Leute,
ich hab mich hier im Forum angemeldet weil ich seit ca. 3 Tagen beim Windowsstart folgenden Fehler 4x bekomme: "proyecto1.exe funktioniert nicht mehr und muss geschlossen werden". "OK" denk ich, soll das mal schließen. Gestern, nachdem ein Skript "lol.vbs" alle möglichen Tasten gedrückt hat und mein Browser auf einmal den Namen von Pornoseiten hatte, ich diese aber gar nicht geöffnet hatte, habe ich dann mal danach gegoogelt und erschreckt festgestellt das proyecto1.exe schädlich ist und anscheinend irgendwas mit einem "WORM_GRUEL.D" zu tun hat.
Ich habe Adaware scannen lassen und es hat nichts gefunden. Was kann ich jetzt tun?! Ich habe gelesen das es anfängt Daten zu löschen und soweit will ich es nicht kommen lassen.

Grüße

Hallo und

Lade dir Lop S&D herunter.

Windows2000/XP: Führe Lop S&D.exe per Doppelklick aus.

Windows Vista und 7: Rechtsklick auf Lop S&D.exe => Ausführen als Admin!!

Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft® Windows Vista™ Home Premium ( v6.0.6002 ) Service Pack 2
x64-based PC ( Multiprocessor Free : AMD Phenom(tm) II X4 940 Processor )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : User ( Administrator )
BOOT : Normal boot
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:244 Go (Free:172 Go)
D:\ (Local Disk) - NTFS - Total:221 Go (Free:36 Go)
E:\ (Local Disk) - NTFS - Total:465 Go (Free:465 Go)
F:\ (CD or DVD)
G:\ (USB)
H:\ (USB)
I:\ (USB)
J:\ (USB)
K:\ (CD or DVD)
L:\ (CD or DVD)
M:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 12.03.2010|15:09 )

[ UAC => 0 ]

--------------------\\ Ordner Verzeichnis unter Local

[08.01.2010|17:09] C:\Users\User\AppData\Local\Ahead
[17.11.2009|17:35] C:\Users\User\AppData\Local\Anwendungsdaten
[16.12.2009|20:51] C:\Users\User\AppData\Local\Apple
[06.01.2010|01:38] C:\Users\User\AppData\Local\Apple Computer
[17.11.2009|18:03] C:\Users\User\AppData\Local\d3d9caps64.dat
[03.03.2010|20:15] C:\Users\User\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[14.02.2010|00:52] C:\Users\User\AppData\Local\dd_depcheckdotnetfx30.txt
[14.02.2010|00:52] C:\Users\User\AppData\Local\dd_dotnetfx3error.txt
[14.02.2010|00:52] C:\Users\User\AppData\Local\dd_dotnetfx3install.txt
[26.12.2009|22:31] C:\Users\User\AppData\Local\dd_vcredistMSI1A69.txt
[30.01.2010|18:50] C:\Users\User\AppData\Local\dd_vcredistMSI200F.txt
[26.12.2009|22:31] C:\Users\User\AppData\Local\dd_vcredistUI1A69.txt
[30.01.2010|18:50] C:\Users\User\AppData\Local\dd_vcredistUI200F.txt
[14.02.2010|11:44] C:\Users\User\AppData\Local\Fallout3
[28.02.2010|11:16] C:\Users\User\AppData\Local\GDIPFONTCACHEV1.DAT
[12.03.2010|00:17] C:\Users\User\AppData\Local\IconCache.db
[09.02.2010|16:18] C:\Users\User\AppData\Local\Microsoft
[06.12.2009|22:43] C:\Users\User\AppData\Local\Mozilla
[17.11.2009|20:12] C:\Users\User\AppData\Local\Opera
[11.03.2010|18:52] C:\Users\User\AppData\Local\PunkBuster
[12.03.2010|15:09] C:\Users\User\AppData\Local\Temp
[17.11.2009|17:35] C:\Users\User\AppData\Local\Temporary Internet Files
[11.03.2010|16:57] C:\Users\User\AppData\Local\TSVNCache
[14.02.2010|00:52] C:\Users\User\AppData\Local\uxeventlog.txt
[17.11.2009|17:35] C:\Users\User\AppData\Local\Verlauf
[29.11.2009|18:47] C:\Users\User\AppData\Local\VirtualStore
[12|Datei(en),] C:\Users\User\AppData\Local\Bytes
[16|Verzeichnis(se),] C:\Users\User\AppData\Local\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\Windows\Tasks

[12.03.2010 15:03][--ah-----] C:\Windows\tasks\SA.DAT
[12.03.2010 00:17][--a------] C:\Windows\tasks\SCHEDLGU.TXT

--------------------\\ Ordner Verzeichnis unter C:\ProgramData

[01.02.2010|04:39] C:\ProgramData\{BC9FCCF7-E686-494B-8C9B-55C9A39A7CA9}
[27.01.2010|18:29] C:\ProgramData\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}
[20.02.2010|17:31] C:\ProgramData\2DBoy
[17.11.2009|17:33] C:\ProgramData\Anwendungsdaten
[16.12.2009|20:51] C:\ProgramData\Apple
[17.12.2009|21:44] C:\ProgramData\Apple Computer
[02.11.2006|16:42] C:\ProgramData\Application Data
[22.11.2009|01:14] C:\ProgramData\Blizzard
[29.12.2009|04:27] C:\ProgramData\Blizzard Entertainment
[08.01.2010|17:33] C:\ProgramData\DAEMON Tools Lite
[02.11.2006|16:42] C:\ProgramData\Desktop
[02.11.2006|16:42] C:\ProgramData\Documents
[17.11.2009|17:33] C:\ProgramData\Dokumente
[17.11.2009|17:33] C:\ProgramData\Favoriten
[02.11.2006|16:42] C:\ProgramData\Favorites
[01.02.2010|04:41] C:\ProgramData\Lavasoft
[17.11.2009|20:21] C:\ProgramData\Microsoft
[17.11.2009|18:43] C:\ProgramData\Nero
[17.02.2010|17:27] C:\ProgramData\Norton
[17.11.2009|17:40] C:\ProgramData\NortonInstaller
[12.03.2010|15:04] C:\ProgramData\NVIDIA
[12.03.2010|15:03] C:\ProgramData\nvModes.001
[12.03.2010|15:03] C:\ProgramData\nvModes.dat
[09.02.2010|18:33] C:\ProgramData\SecuROM
[29.11.2009|13:36] C:\ProgramData\Skype
[17.11.2009|17:55] C:\ProgramData\SonicFocus
[02.11.2006|16:42] C:\ProgramData\Start Menu
[17.11.2009|17:33] C:\ProgramData\Startmenü
[20.11.2009|17:10] C:\ProgramData\Symantec
[02.11.2006|16:42] C:\ProgramData\Templates
[27.01.2010|18:38] C:\ProgramData\TuneUp Software
[17.11.2009|17:33] C:\ProgramData\Vorlagen
[2|Datei(en),] C:\ProgramData\Bytes
[32|Verzeichnis(se),] C:\ProgramData\Bytes frei


----------------------
Danke für das Willkommen und ich hoffe ihr könnt damit was anfangen,

MfG

Das Log sieht nicht ganz vollständig aus. Mit STRG+A alles markieren könnte helfen

Das ist alles was bei mir in der .txt steht. Hab den Test noch 2x gemacht und kam nix anderes bei rauß. Wenn ich Option1 wähle kommt unten ein Fehler(?) "Parameterformat falsch 850". Liegt es vllt daran?

Hm ok. Dann bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

http://www.file-upload.net/download-...scans.rar.html
Der von Malwarebytes und die beiden von RSIT.

Hinweis: Du nutzt ein 64-Bit-Windows. Viele Tools, die wir hier als Hilfsmittel zum Bereinigen einsetzen, sind mit nem 64-Bit-Windows nicht kompatibel - das macht eine Bereinigung schwerer als sie ohnehin schon ist.

Mach bitte noch einen Durchgang mit SUPERAntiSpyware und poste auch das Log.

Das log:

SUPERAntiSpyware Scann-Protokoll
http://www.superantispyware.com

Generiert 03/14/2010 bei 03:46 AM

Version der Applikation : 4.34.1000

Version der Kern-Datenbank : 4671
Version der Spur-Datenbank : 2483

Scan Art : kompletter Scann
Totale Scann-Zeit : 02:01:13

Gescannte Speicherelemente : 572
Erfasste Speicher-Bedrohungen : 0
Gescannte Register-Elemente : 6537
Erfasste Register-Bedrohungen : 0
Gescannte Datei-Elemente : 197574
Erfasste Datei-Elemente : 0



---------------
Ich hab erfahren dass das was auf meinem Computer ist von nem' Bekannten aus einem Spiel ist. Er hat meinen model edited und danach den Computer neugestartet, anscheinend kann er mit meinen Dateien und mit meinem PC machen was er will, beängstigend.
Und beim Windowsstart kommt nicht mehr "Proyecto1.exe funktioniert nicht mehr" sondern "Windows Updater funktioniert nicht mehr".

mfg

Zitat:

Ich hab erfahren dass das was auf meinem Computer ist von nem' Bekannten aus einem Spiel ist. Er hat meinen model edited und danach den Computer neugestartet, anscheinend kann er mit meinen Dateien und mit meinem PC machen was er will, beängstigend.

Welches Spiel, welche Quelle?

Das Spiel ist World of Warcraft, den Mist habe ich aber über einen link per skype bekommen. Er macht sowas schon länger, da ich ihn aber mehr oder weniger privat kenne denke ich nicht dass er meinen PC zerstören wird. Trotzdem möchte ich es gerne loswerden, da Sachen wie Tasten-drückende Skripts ziemlich nervig sind.

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Wieder bei file-upload hochgeladen:
http://www.file-upload.net/download-2348654/OTL-scans.zip.html

Ich hab da einige Einträge gesehen. Poste bitte mal ein HijackThis Logfile, dann kannst Du das einfacher fixen. Hijackthis bitte über Rechtsklick => als Admin ausführen!

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 14:31:11, on 16.03.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files (x86)\Analog Devices\SoundMAX\SoundTray.exe
D:\Winamp\winampa.exe
C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
C:\Windows\SysWOW64\explorer.exe
C:\Windows\SysWOW64\explorer.exe
C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files (x86)\Skype\Phone\Skype.exe
C:\Program Files (x86)\Skype\Plugin Manager\skypePM.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Steam\Steam.exe
C:\Program Files (x86)\ICQ6.5\ICQ.exe
C:\Program Files (x86)\hijackthis\TrendMicro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - D:\Hotspot Shield\hssie\HssIE.dll
O3 - Toolbar: (no name) - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - (no file)
O3 - Toolbar: FrostWire Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [SoundTray] "C:\Program Files (x86)\Analog Devices\SoundMAX\SoundTray.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [HKLM] "C:\Program Files (x86)\Microsoft\Windows Update.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [HKCU] C:\Program Files (x86)\Microsoft\Windows Update.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Program Files (x86)\Microsoft\Windows Update.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Program Files (x86)\Microsoft\Windows Update.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files (x86)\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files (x86)\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files (x86)\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files (x86)\SUPERAntiSpyware\SASWINLO.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Unknown owner - C:\Windows\system32\AEADISRV.EXE (file missing)
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: ASP.NET-Zustandsdienst (aspnet_state) - Unknown owner - C:\Windows\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - D:\Hotspot Shield\bin\openvpnas.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - D:\Hotspot Shield\bin\HssTrayService.EXE
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files (x86)\TeamViewer\Version5\TeamViewer_Service.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9129 bytes