Trojaner-Board - @ Zeichen Eingabe --> enter the passwort fenster

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)

- - @ Zeichen Eingabe --> enter the passwort fenster (https://www.trojaner-board.de/53953-zeichen-eingabe-enter-the-passwort-fenster.html)

@ Zeichen Eingabe --> enter the passwort fenster

Habe folgendes Problem bei dem XP Rechner meiner Freundin.Jedesmal wenn ich das @ Zeichen mit Alt Gr und Q eingeben will erscheint anstatt dem Zeichen ein Fenster mit der Aufforderung ein Passwort einzugeben.Somit kann ich nirgendwo mehr @ Zeichen schreiben.Ansonten funktioniert der PC einwandfrei.Leider hab ich im Netz absolut nix zu meinem Problem gefunden daher seid ihr meine letzte Rettung.
Weiss jemand wie ich das wieder abstellen kann?Handelt es sich dabei um einen Virus oder ähnliches???

Danke schonmal vorab für eure Hilfe.

Hallo.
Also eine wirkliche Lösung für dein Problem habe ich nicht, aber eine ALternative.

Undzwar ist mir deine Tastenkombination neu gewesen, ich habe es bis jetzt immer mit Strg+ALT+Q gemacht. Man braucht zwar 3 FInger, aber es funktioniert.
Mal gucken, vielleicht werde ich mich jetzt auf deine Tastenkombination umstellen, weil ein FInger weniger benötigt wird, aber dass wird die Zukunft zeigen.

Ansonsten hoffe ich dir weitergeholfen zu haben.

Burnd

Zitat:

Zitat von rx8wanki (Beitrag 345591)

.....dem Zeichen ein Fenster mit der Aufforderung ein Passwort einzugeben.

Hallo und :hallo:

Kannst Du bitte einen Screenshot von dem Fenster machen ?

Gruß cad

Leider funktioniert die 3Finger Kombination auch nicht.Egal ob ein @ Zeichen im Word oder Internet Explorer etc. machen will kommt immer dieses doofe Fenster.Die einzige Möglichkeit die ich bisher gefunden hab ist von woanderst ein @Zeichen per Kopieren dann entsprechend einzufügen ist aber auf Dauer sehr nervig.
Meine Freundin hat in letzter Zeit auch keinerlei Programme runtergeladen und installiert etc.Hab auch schon Symantec Anti Virus (Update gestern abend) laufen lassen.Wird aber nix gefunden.

Hoffe jemand hat ne Lösung für mich :daumenhoc:daumenhoc

Hier wie gewünscht mal ein paar Screenshots:

http://img71.imageshack.us/img71/512...hot1bl1.th.jpg

Hier das Fenster nachdem ich irgend ein Passwort versuche:

http://img71.imageshack.us/img71/680...hot2ua3.th.jpg

und hier noch der Taskmanager während des Fensters:

http://img71.imageshack.us/img71/591...hot3mv1.th.jpg

Also:

Wieder dieses "Password" -Fenster aufmachen.
Task-Manager starten
Auf den Task "Password" rechtklick -> "zu Prozess wechseln"
Screenshot machen und hier posten

@-SKY-
wenn ich auf "zu Prozess wechseln" gehe zeigt er mir lediglich alle laufenden Prozesse an genau wie wenn ich im Taskmanager gleich auf Prozesse klicke.Daher hier mal 2 Bilder von allen laufenden Prozessen.Hoffe das hilft euch weiter.

http://img80.imageshack.us/img80/870...anntsi0.th.jpg

http://img80.imageshack.us/img80/590...nnt2yr0.th.jpg

Passiert das eigentlich nur wenn du den IE auf hast?

Nein das Fenster tritt überall auf auch wenn ich z.B. im Word Document ein @ Zeichen tippen will.

Mach mal mit HijackThis ein Logfile und poste das hier.

So hier das Hijack Ergebnis.Hab extra vor dem Scan nochmals das Password Fenster geöffnet und währenddessen offen gelassen.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:22:15, on 14.06.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Symantec AntiVirus\DefWatch.exe

C:\WINDOWS\System32\GEARSec.exe

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

C:\Programme\Symantec AntiVirus\Rtvscan.exe

C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Programme\Analog Devices\SoundMAX\Smtray.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe

C:\PROGRA~1\SYMANT~1\VPTray.exe

C:\Programme\Microsoft IntelliType Pro\itype.exe

C:\Programme\Microsoft IntelliPoint\ipoint.exe

C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Programme\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Google\Google Updater\GoogleUpdater.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe

C:\Programme\Internet Explorer\iexplore.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"

O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe

O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
 

--

End of file - 5870 bytes

Kann es an IntelliType liegen?

@sky

Eigentlich nur, wenn die Direktzugriffstasten oder die Tasten mit Alternativbefehlen neu belegt wurden. (Obwohl ich bei keiner meiner Microsoft Tastaturen die Taste Alt Gr neu belegen kann)

@rx8wanki

Vielleicht möchtest Du es ausprobieren?
Falls ja, bitte bei der Tastatur die Standardbelegung wiederherstellen.

Die Maus ebenfalls auf Standard zurück.

Änderungen?

P.S. Deine Java Version ist veraltet und Adobe könnte auch ein Update vertragen.

So nun hab ich bei meiner Maus und Tastatur überall wieder die Standardeinstellungen wiederhergestellt,leider ohne Erfolg.Es gibt auch beim Intelli Point wie von euch schon erwähnt auch keine Möglichkeit die ALT GR Taste anders zu belegen.

Hmm echt komisch das ganze,vielleicht findet jemand doch noch ne Lösung zu meinem Problem.Wäre klasse.

@Cad

Danke für die Infos bezüglich der Updates.Hab gleich mal Adobe und Java auf den neuesten Stand gebracht.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout <-- hast Du da Einträge?

hmm da steht nur (Standard) Typ:REG_SZ und (Wert nicht gesetzt)

Mir fällt auf, das auf allen Screenshots Java läuft, kannst Du es testweise mal deinstallieren (auch die jetzt neue Version) und dann das Verhalten prüfen.

Dazu noch folgendes:

Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

edit: Kannst Du bitte einen Screenshot von Deinem Desktop machen (editiere eventuelle persönliche Daten!).

So hier das Silentrunners Ergebnis

Code:

"Silent Runners.vbs", revision 58, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"
 
 

Startup items buried in registry:

---------------------------------
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]

"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"IgfxTray" = "C:\WINDOWS\System32\igfxtray.exe" ["Intel Corporation"]

"HotKeysCmds" = "C:\WINDOWS\System32\hkcmd.exe" ["Intel Corporation"]

"Smapp" = "C:\Programme\Analog Devices\SoundMAX\Smtray.exe" ["Analog Devices, Inc."]

"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]

"vptray" = "C:\PROGRA~1\SYMANT~1\VPTray.exe" ["Symantec Corporation"]

"itype" = ""C:\Programme\Microsoft IntelliType Pro\itype.exe"" [MS]

"IntelliPoint" = ""C:\Programme\Microsoft IntelliPoint\ipoint.exe"" [MS]

"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]

"DFGQ Agent" = "C:\WINDOWS\system32\28463\DFGQ.exe" [null data]

"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"" ["Sun Microsystems, Inc."]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Adobe PDF Reader"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "SSVHelper Class"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Google Toolbar Helper"

                   \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Google Toolbar Notifier BHO"

                   \InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll" ["Google Inc."]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"

  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{BDA77241-42F6-11d0-85E2-00AA001FE28C}" = "LDVP Shell Extensions"

  -> {HKLM...CLSID} = "VpshellEx Class"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]

"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"

  -> {HKLM...CLSID} = "Microsoft Office Outlook"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"

  -> {HKLM...CLSID} = "Outlook File Icon Extension"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]

"{97FA8AA2-EE77-4FF2-9449-424D8924EF21}" = "IntelliType Pro Zooming Control Panel Property Page"

  -> {HKLM...CLSID} = "IntelliType Pro Zooming Property Page"

                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplzm.dll"" [MS]

"{111D8120-25EB-4E1C-A4DF-C9EE5FCA35CB}" = "IntelliType Pro Scrolling Control Panel Property Page"

  -> {HKLM...CLSID} = "IntelliType Pro Scrolling Property Page"

                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplwhl.dll"" [MS]

"{ED6E87C6-8A83-43aa-8208-8DBC8247F4D2}" = "IntelliType Pro Key Settings Control Panel Property Page"

  -> {HKLM...CLSID} = "IntelliType Pro Key Settings Property Page"

                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplkey.dll"" [MS]

"{A2569D1F-4E06-43EC-9825-0088B471BE47}" = "IntelliType Pro Wireless Control Panel Property Page"

  -> {HKLM...CLSID} = "IntelliType Pro Wireless Control Panel Property Page"

                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliType Pro\itcplwir.dll"" [MS]

"{20082881-FC36-4E47-9A7A-644C95FF749F}" = "IntelliPoint Wireless Control Panel Property Page"

  -> {HKLM...CLSID} = "Schnurlose Eigenschaften"

                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplwir.dll"" [MS]

"{AF90F543-6A3A-4C1B-8B16-ECEC073E69BE}" = "IntelliPoint Wheel Control Panel Property Page"

  -> {HKLM...CLSID} = "Scrollrad-Eigenschaftenseite"

                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplwhl.dll"" [MS]

"{653DCCC2-13DB-45B2-A389-427885776CFE}" = "IntelliPoint Activities Control Panel Property Page"

  -> {HKLM...CLSID} = "Aktivitäten-Eigenschaftenseite"

                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplact.dll"" [MS]

"{124597D8-850A-41AE-849C-017A4FA99CA2}" = "IntelliPoint Buttons Control Panel Property Page"

  -> {HKLM...CLSID} = "Tasten-Eigenschaftenseite"

                   \InProcServer32\(Default) = ""C:\Programme\Microsoft IntelliPoint\ipcplbtn.dll"" [MS]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

<<!>> igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]

<<!>> NavLogon\DLLName = "C:\WINDOWS\system32\NavLogon.dll" ["Symantec Corporation"]
 

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\

<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\

{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"

  -> {HKLM...CLSID} = "PDF Shell Extension"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]
 

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\

LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}"

  -> {HKLM...CLSID} = "VpshellEx Class"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\

LDVPMenu\(Default) = "{BDA77241-42F6-11d0-85E2-00AA001FE28C}"

  -> {HKLM...CLSID} = "VpshellEx Class"

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\SSC\vpshell2.dll" ["Symantec Corporation"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
 
 

Group Policies {GPedit.msc branch and setting}:

-----------------------------------------------
 

Note: detected settings may not have any effect.
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
 

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Shutdown: Allow system to be shut down without having to log on}
 

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Devices: Allow undock without having to log on}
 
 

Active Desktop and Wallpaper:

-----------------------------
 

Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
 

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 
 

Startup items in "Administrator" & "All Users" startup folders:

---------------------------------------------------------------
 

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart

"Google Updater" -> shortcut to: "C:\Programme\Google\Google Updater\GoogleUpdater.exe -systray -startup" ["Google"]
 
 

Winsock2 Service Provider DLLs:

-------------------------------
 

Namespace Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
 

Transport Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
 
 

Toolbars, Explorer Bars, Extensions:

------------------------------------
 

Toolbars
 

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"

  -> {HKLM...CLSID} = "&Google"

                   \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\

"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)

  -> {HKLM...CLSID} = "&Google"

                   \InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]
 

Explorer Bars
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
 

HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Research"

Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]

InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]
 

Extensions (Tools menu items, main toolbar menu buttons)
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\

{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\

"MenuText" = "Sun Java Konsole"

"CLSIDExtension" = "{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBC}"

  -> {HKCU...CLSID} = "Java Plug-in 1.6.0_06"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

  -> {HKLM...CLSID} = "Java Plug-in 1.6.0_06"

                   \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_06\bin\npjpi160_06.dll" ["Sun Microsystems, Inc."]
 

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\

"ButtonText" = "Research"
 

{FB5F1910-F110-11D2-BB9E-00C04F795683}\

"ButtonText" = "Messenger"

"MenuText" = "Windows Messenger"

"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]
 
 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------
 

GEARSecurity, GEARSecurity, "C:\WINDOWS\System32\GEARSec.exe" ["GEAR Software"]

Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"]

SoundMAX Agent Service, SoundMAX Agent Service (default), "C:\Programme\Analog Devices\SoundMAX\SMAgent.exe" ["Analog Devices, Inc."]

Symantec AntiVirus, Symantec AntiVirus, ""C:\Programme\Symantec AntiVirus\Rtvscan.exe"" ["Symantec Corporation"]

Symantec AntiVirus Definition Watcher, DefWatch, ""C:\Programme\Symantec AntiVirus\DefWatch.exe"" ["Symantec Corporation"]

Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]

Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]

V2i Protector, V2i Protector, "C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe" ["PowerQuest Corporation"]
 
 

Print Monitors:

---------------
 

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\

Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
 
 

---------- (launch time: 2008-06-15 15:14:17)

<<!>>: Suspicious data at a malware launch point.
 

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ The search for DESKTOP.INI DLL launch points on all local fixed drives

  took 19 seconds.

---------- (total run time: 83 seconds)

Und hier noch der gewünschte Screenshot vom Desktop

http://img74.imageshack.us/img74/386...anntsv3.th.jpg

Hast Du das mit der deinstallation von Java mal versucht?
Auf Deinem Desktop fällt mir die Datei CAVQUDBZ auf. Kennst Du Diese? Wenn nicht bitte bei VirusTotal - Free Online Virus and Malware Scan prüfen lassen und das Ergebnis hier posten.

Sorry hatte ich vergessen zu erwähnen.Hab Java zuvor deinstalliert hat aber auch nix gebracht.
Die genannte Datei auf meinem Desktop ist nur ein Studium Link von meiner Freundin.

Kannst Du diese Datei finden?

Zitat:

C:\WINDOWS\system32\28463\DFGQ.exe

Wenn ja, scanne diese einmal bei virustotal.

Scanne Dein System einmal mit dem Kaspersky Online Scanner und poste das Log hier.

Den angegebenen Ordner gibts bei mir im Windows Verzeichnis gar nicht.Hab dann mal über die Suche nach der Datei geschaut und dann nur im Ordner Windows/Prefetch die folgende Datei gefunden DFGQ.EXE-3A993D32.pf .
Hab dieses dann mal mit Virus Total gescannt aber ohne Ergebnis

Code:

Datei DFGQ.EXE-3A993D32.pf empfangen 2008.06.15 17:53:10 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 
 
 

Ergebnis: 0/32 (0%)

Laden der Serverinformationen... 

Ihre Datei wartet momentan auf Position: ___.

Geschätzte Startzeit is zwischen ___ und ___ .

Dieses Fenster bis zum Abschluss des Scans nicht schließen. 

Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.

Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. 

Ihre Datei wird momentan von VirusTotal überprüft,

Ergebnisse werden sofort nach der Generierung angezeigt. 

 Filter Drucken der Ergebnisse  

Datei existiert nicht oder dessen Lebensdauer wurde überschritten 

Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
 

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. 

 Email:  

  
 

Antivirus Version letzte aktualisierung Ergebnis 

AhnLab-V3 2008.6.13.1 2008.06.15 - 

AntiVir 7.8.0.55 2008.06.14 - 

Authentium 5.1.0.4 2008.06.15 - 

Avast 4.8.1195.0 2008.06.15 - 

AVG 7.5.0.516 2008.06.14 - 

BitDefender 7.2 2008.06.15 - 

CAT-QuickHeal 9.50 2008.06.14 - 

ClamAV 0.92.1 2008.06.15 - 

DrWeb 4.44.0.09170 2008.06.15 - 

eSafe 7.0.15.0 2008.06.15 - 

eTrust-Vet 31.6.5873 2008.06.14 - 

Ewido 4.0 2008.06.15 - 

F-Prot 4.4.4.56 2008.06.12 - 

F-Secure 6.70.13260.0 2008.06.15 - 

Fortinet 3.14.0.0 2008.06.15 - 

GData 2.0.7306.1023 2008.06.15 - 

Ikarus T3.1.1.26.0 2008.06.15 - 

Kaspersky 7.0.0.125 2008.06.15 - 

McAfee 5317 2008.06.13 - 

Microsoft 1.3604 2008.06.15 - 

NOD32v2 3187 2008.06.15 - 

Norman 5.80.02 2008.06.13 - 

Panda 9.0.0.4 2008.06.15 - 

Prevx1 V2 2008.06.15 - 

Rising 20.48.62.00 2008.06.15 - 

Sophos 4.30.0 2008.06.15 - 

Sunbelt 3.0.1145.1 2008.06.05 - 

Symantec 10 2008.06.15 - 

TheHacker 6.2.92.350 2008.06.14 - 

VBA32 3.12.6.7 2008.06.14 - 

VirusBuster 4.3.26:9 2008.06.12 - 

Webwasher-Gateway 6.6.2 2008.06.15 - 

weitere Informationen 

File size: 17140 bytes 

MD5...: 09eb6cc088f075e694a8e2b9d2017708 

SHA1..: 111d853820d281562c1fd73c43b31315623ac85f 

SHA256: 18b4b0a8725ed0b45b92272624208291fcefc299597ad6d372d1afd37ddc0ddc 

SHA512: 37b215ebc19f6d469ef1efe28590e9595c3e145fc393171ca74c94055cd97b42

aaaa1f711d90feb1c6dfd2746e51c0d22189cc6987cb54aa847f2bcbaa6c0ac2 

PEiD..: - 

PEInfo: -

so nun hab ich auch den Kaspersky Online Scanner durchgeführt dieser ist glaub sogar fündig geworden.Nur was nun.Wie bekomme ich das Zeugs runter??

Code:



Sonntag, 15. Juni 2008 18:23:46

Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Version von Kaspersky Online Scanner: 5.0.98.1

Letztes Update der Antiviren-Datenbanken: 15/06/2008

Anzahl der Einträge in den Antiviren-Datenbanken: 867406

 

 

Scan-Einstellungen 

Folgende Antiviren-Datenbanken zur Untersuchung verwenden Erweiterte 

Archive untersuchen ja 

Mail-Datenbanken untersuchen ja 

 

Untersuchungsobjekt Kritische Objekte 

C:\WINDOWS

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\  

 

Untersuchungsergebnisse 

Untersuchte Objekte insgesamt 11660 

Viren gefunden 3 

Infizierte Objekte gefunden 3 

Verdächtige Objekte gefunden 0 

Untersuchungszeit 00:11:32 
 

Name des infizierten Objekts Virusname Letzte Aktion 

C:\WINDOWS\Debug\PASSWD.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\SchedLgU.Txt  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\SoftwareDistribution\EventCache\{6D7A5A71-79E9-4024-AD78-83A8F391C588}.bin  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

C:\WINDOWS\system32\28463\DFGQ.exe  Infizierte Objekte: Trojan-Spy.Win32.Ardamax.ce  übersprungen  

 

C:\WINDOWS\system32\CatRoot2\edb.log  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\CatRoot2\tmp.edb  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\AppEvent.Evt  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\default  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\default.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SAM  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SAM.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SecEvent.Evt  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SECURITY  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SECURITY.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\software  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\software.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\SysEvent.Evt  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\system  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\config\system.LOG  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\h323log.txt  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\LogFiles\HTTPERR\httperr1.log  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP  Das Objekt ist gesperrt  übersprungen  

 

C:\WINDOWS\WindowsUpdate.log  Das Objekt ist gesperrt  übersprungen  

 

Die Untersuchung wurde abgeschlossen.

Und hier noch der Memory Scan

Code:

Sonntag, 15. Juni 2008 18:31:09

Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Version von Kaspersky Online Scanner: 5.0.98.1

Letztes Update der Antiviren-Datenbanken: 15/06/2008

Anzahl der Einträge in den Antiviren-Datenbanken: 867406

 

 

Scan-Einstellungen 

Folgende Antiviren-Datenbanken zur Untersuchung verwenden Erweiterte 

Archive untersuchen ja 

Mail-Datenbanken untersuchen ja 

 

Untersuchungsobjekt Memory 

 

 

Untersuchungsergebnisse 

Untersuchte Objekte insgesamt 1699 

Viren gefunden 2 

Infizierte Objekte gefunden 30 

Verdächtige Objekte gefunden 0 

Untersuchungszeit 00:00:46 
 

Name des infizierten Objekts Virusname Letzte Aktion 

[0] [System Process] => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[0] [System Process] => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[1788] explorer.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[1788] explorer.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[2028] igfxtray.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[2028] igfxtray.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[204] hkcmd.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[204] hkcmd.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[256] SMTray.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[256] SMTray.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[240] ccApp.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[240] ccApp.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[2004] VPTray.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[2004] VPTray.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[248] itype.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[248] itype.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[556] ipoint.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[556] ipoint.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[1500] jusched.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[1500] jusched.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[1508] msmsgs.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[1508] msmsgs.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[1540] ctfmon.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[1540] ctfmon.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[1476] GoogleUpdater.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[1476] GoogleUpdater.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[3316] wuauclt.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[3316] wuauclt.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

[3948] iexplore.exe => C:\WINDOWS\system32\28463\DFGQ.007  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.o  übersprungen  

 

[3948] iexplore.exe => C:\WINDOWS\system32\28463\DFGQ.006  Infizierte Objekte: not-a-virus:Monitor.Win32.Ardamax.gg  übersprungen  

 

Die Untersuchung wurde abgeschlossen.

Ist zwar kein Virus, aber ein Keylogger und das könnte mit dem Passwort über einstimmen. Hast du irgendeine Idee ob du Ardamax installiert hast?

Ich weiss leider nicht was dieses Ardamax überhaupt gut sein soll.Kann mir nicht vorstellen dass meine Freundin oder Ich dieses Teil installiert haben.

Du solltest du Dateien die angemeckert werden, nochmal bei Virustotal hochladen. Wenn sich das bewahrheitet was ich sehe, dann hilft nur noch Daten sichern und neu aufsetzen!

das hört sich ja gar nicht gut an.

hmm das Problem ist nur das ich nach wie vor im System32 Verzeichnis diesen 28463 Ordner einfach nicht finde auch wenn ich die versteckten Dateien einblende.Somit kann ich die Dateien auch nicht hochladen.

so hab mich gerade mal bei google über den Ardamax Keylogger schlau gemacht.Das Ding hört sich ja wirklich sehr bösartig an und es wurde definitiv nicht von mir oder meiner Freundin auf deren Rechner installiert.
Hab die DFGQ.exe nun auch mit Antyspy.info gefunden ,bringt das was wenn ich die betroffenen Dateien in die Quarantäne schiebe oder ist es dafür schon zu spät?

Muss sich meine Freundin nun sorgen über ihre sämtlichen Passwörter etc. machen?
Wie kann man sich denn so ne Scheiße einfangen?Zumal die wirklich ihren Rechner nur fürs Studium benutzt und nicht irgendwelche Moviez oder sonstiges Zeugs runterläd.

Über das Anti-Spy.info Programm ist es mir nun doch gelungen in den 28463 Ordner zu kommen.Das Programm zeigt mir die DFGQ.exe,DFGQ.007,DFGQ006 als gefährlich an im Ordner sind aber noch andere Dateien des selben Typs.Was ist mit denen??

Hier mal ein Screenshot

http://img161.imageshack.us/img161/3104/sypzi1.th.jpg

Wenn ich die DFGQ.exe mit Virustotal Scanne zeigt er mir auch diesen Ardamax an.

Zitat:

Zitat von rx8wanki (Beitrag 346054)

Muss sich meine Freundin nun sorgen über ihre sämtlichen Passwörter etc. machen?

ja. alle sind bekannt.
entferne den keylogger und ändere alle pw. :)

So nun hab ich alles entfernt.Kaspersky nochmals laufen lassen,der Online Scan findet nix mehr und das @ Zeichen funktioniert auch wieder.Passwörter wurden auch alle geändert.

Vielen Dank für eure Bemühungen und Tips.

Was empfehlt ihr dann für ein gutes Spyware Programm dass ich ab sofort immer im Hintergrund zur Überwachung laufen lassen kann?

Zitat:

Zitat von rx8wanki (Beitrag 346054)

so hab mich gerade mal bei google über den Ardamax Keylogger schlau gemacht.Das Ding hört sich ja wirklich sehr bösartig an und es wurde definitiv nicht von mir oder meiner Freundin auf deren Rechner installiert.
Hab die DFGQ.exe nun auch mit Antyspy.info gefunden ,bringt das was wenn ich die betroffenen Dateien in die Quarantäne schiebe oder ist es dafür schon zu spät?

Muss sich meine Freundin nun sorgen über ihre sämtlichen Passwörter etc. machen?
Wie kann man sich denn so ne Scheiße einfangen?Zumal die wirklich ihren Rechner nur fürs Studium benutzt und nicht irgendwelche Moviez oder sonstiges Zeugs runterläd.

Über das Anti-Spy.info Programm ist es mir nun doch gelungen in den 28463 Ordner zu kommen.Das Programm zeigt mir die DFGQ.exe,DFGQ.007,DFGQ006 als gefährlich an im Ordner sind aber noch andere Dateien des selben Typs.Was ist mit denen??

Hier mal ein Screenshot

http://img161.imageshack.us/img161/3104/sypzi1.th.jpg

Wenn ich die DFGQ.exe mit Virustotal Scanne zeigt er mir auch diesen Ardamax an.

Das liegt sehr wahrscheinlich am veralteten IE den würd ich auch mal updaten!

Halli hallo.

Ich hoffe du hast niemals eins deiner richtigen Passwörter dort eingegeben??

Wenn doch dann lasse alle Accounts auf denen du dieses Passwort verwendest noch heute sperren!

Die wollen nur an deine Passwörter ran.

-Als du den HJT scan gemacht hast war das Passwort Fenster aktiv? Also geöffnet?

-Hast du Hijackthis installiert? Deinstalliere es bitte wieder.
Erstelle danach bitte ein frisches log nach folgender Anleitung:

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Speichere es in einem eigenen Ordner! (z.B.: c:\Hijackthis\)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Danach wollen wir mal gucken was sich da so alles auf deinem PC eingenistet hat:

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten..

4) Lasse Silentrunners laufen und poste das logFile

5) Folge dieser Anleitung. (Suchen und Bereinigen lassen!)

6) Run Combofix. Poste den erscheinenden Text.

7) Überprüfe dein System mit SASW.

8) Mache einen letzten Maleware-Check mit Malewarebytes.

9) Checke dein System mit dem ESET Online Scanner. (Klicke nach dem Scan auf "Print this Page" oben rechts in der Ecke und kopiere das nachfolgende Fenster in deinen Post.)

10) Räume mit cCleaner auf. (Punkt 1 und 2)

11) Führe einen escan durch und poste das mit Hilfe der find.bat ausgewertete log.

12) Poste ein frisches Hijackthis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).
Hinweis zum iClean Bericht: Kürze im log bitte die 032 und 033 redirected Einträge. (Diese wurden von Spybot erstellt.)