hallo zusammen,

ich habe zu dem problem bis jetzt einen eintag gefunden, jedoch nicht brauchbar in meinem fall. seid kurzem habe ich das problem, dass jede 3te oder 4te sekunde ein screenshot von meinem desktop erstellt wird und sofort als eine .jpg datei mit ~75KB - ~106KB erstellt wird. die datei wird mit dem angemeldeten user gekennzeichnet gefolgt von ^ dann der computername und bildnummer. in meinem fall sieht es folgend aus BISHOP^CHURCH1.jpg wobei die 1 am ende sich mit folgezahlen ändert. hatte letztens knappe 30000 (dreisigtausend = ~3,17 GB) bilder drin gehabt. diesmal sind es nur 217 MB. löschen war sehr mühsam und mit viel geduld verbunden. er macht screenshots wenn er will. dass heißt es werden nicht permanent screenshots erstellt. unvorhersehbar wann es los geht.

wo das problem zum aller ersten mal auftrat, war ich zufällig im temp drin und es fing einfach an. wunderte mich was das für files sind. beim öffnen vom ersten bild ist mir dann alles klar gewesen. hab das problem für ein paar tage ruhen gelassen und es wurden die knappe 30000 bilder in der zeit erstellt.

HJT logfile und ein screenshot vom temp ordner als anhang.

seid kurzem ist mir aufgefallen, dass die winsys.exe sich im im c:windows befindet. ist sie der übeltäter? hab schon mit HJT diese 2 einträge gefixt, aber die rekonstruiert sich immer wieder. ab und zu sehe ich sie im taskmanager. hab sie auch bei virustotal.com prüfen lassen = 0/39. denke die ist sauber.

falls jemand dieses problem kennt, wäre ich unendlich dankbar für eine lösung.


gruß,
muckido

ps.: wie kriege ich den drittletzten eintrag gefixt? die datei "ipnathlp.dll" ist schon im system32 drin. mann kann die auch nicht im laufenden betrieb austauschen, gegen die etwas größere aus dlldump.com.

Anhang 6176

Hi,

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe

• Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen

• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output

• Unter Extra Registry, wähle bitte Use SafeList

• Klicke nun auf Run Scan links oben

• Wenn der Scan beendet wurde werden 2 Logfiles erstellt

• Poste die Logfiles hier in den Thread

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.
Falls GMER nicht läuft, im abgesicherten Modus probieren...

Was für eine Sicherheitslösung setzt Du ein?

chris

hi,

danke für die schnelle hilfe und antwort. anbei die gewünschten logfiles.


gruß,
muckido

Anhang 6192

Anhang 6193

Hi,

das sieht schon mal recht ordentlich aus.

Cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris

Zitat:

Zitat von Chris4You

Hi,

das sieht schon mal recht ordentlich aus.

Cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris

hi chris,

danke nochmals für die hilfe sieht ganz vernünftig grad aus. wollte heut abend evtl. den doctorweb mal starten. bin mir aber nicht sicher. scheint ein sehr langer prozess zu werden, deswegen wollte ich den starten wenn ich grad nix am pc mach. wenns soweit ist, werde ich den log posten.

gruß,
muckido

hat sich erledigt hab mein pc wegen den bescheuerten nvidia raid treibern bereits 3 mal platt gemacht

zum verzweifeln das unternehmen!

nochmals vielen dank für alles!!!