Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojanerfund bei jedem Neustart? Twex.exe (https://www.trojaner-board.de/69205-trojanerfund-neustart-twex-exe.html)

Terri 27.01.2009 15:06
Trojanerfund bei jedem Neustart? Twex.exe
 
Hallo miteinander,

da ich nun (leider) ein komplett neues Problem habe, ein neuer Thread. Mit bitte um Hilfe. ;)

Seit den letzten 2 x hochfahren findet AntiVir sofort nach dem Start den Trojaner Twex.exe. Haben wir diesen Trojaner nun auf dem PC? Reicht es den Zugriff mit AntiVir zu verweigern und ist dieser Trojaner evtl. daran schuld dass unsere Firewall nicht mehr automatisch startet (manueller Start ist möglich)?

Anbei ein aktueller Scan, vielen Dank für eure Hilfe.

Viele Grüße, Terri

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:02:15, on 27.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
c:\programme\antivir personaledition classic\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gmx.net/de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.hyrican.de
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094019838343
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
O23 - Service: RvscomSv - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE
O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE

--
End of file - 7533 bytes
Edit:

hier noch die Fundmeldung von Avira AntiVir.

Code:
In der Datei 'C:\WINDOWS\system32\twex.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

nochdigger 27.01.2009 17:19
Hallo

lass bitte diese Datei (die war auch schon in den anderen Beiträgen von dir zu sehen:rolleyes:)
Code:
C:\WINDOWS\system32\twex.exe
hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung,
bitte auch wenn nichts gefunden wurde.

Ändere bitte von einem sauberen System erstmal alle Pass- und Kennwörter.

Betreibt ihr EBAY, PayPal oder Onlinebanking mit diesem Rechner?

MFG

Terri 27.01.2009 17:41
Hallo nochdigger,

danke für die schnelle Antwort :)

Ich kann die Datei zwar im System32 Ordner finden, aber sie hat 0 Byte?!
Demnach funktioniert auch das Hochladen nicht...

Ja, ich benutze Paypal, Ebay, usw.
Allerdings seit diesem Fund nicht mehr von diesem Rechner aus...

Viele Grüße
Terri

EDIT:
Jetzt hat sie zwar plötzlich einiges an byte aber VirScan sagt:
ERROR: Kann Datei nicht finden

nochdigger 27.01.2009 18:00
Hallo

Zitat:
Ich kann die Datei zwar im System32 Ordner finden, aber sie hat 0 Byte?!
Demnach funktioniert auch das Hochladen nicht...
Die Datei schützt sich selbst vor einen Zugriff.
Versuche im abgesicherten Modus (beim start F8 drücken) eine Kopie der Datei auf dem Desktop zu erstellen, welche du nach einem Neustart in den normalen Modus dann auswerten lässt.


MFG

Terri 27.01.2009 18:30
Hallo,

wieder nix...

Zitat:
twex kann nicht kopiert werden:
Die Datei wird von einer anderen Person bzw. einem anderen Programm verwendet.
Schließen Sie alle Programme und versuchen Sie es erneut
Ich hatte in dem Moment allerdings keine Programme offen...

LG
Terri

undoreal 27.01.2009 18:44
Hast du im abgesicherten modus probiert die Datei zu kopieren?

Terri 27.01.2009 18:57
Hallo undoreal,

ja, das hab ich.
Und es war definitiv der abgesicherte Modus.

Viele Grüße
Terri

undoreal 27.01.2009 19:06
Dann anders:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Files to delete:
C:\WINDOWS\system32\twex.exe
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Die Datei findest du dann unter C:\avenger\backup gezippt. Lade das Archiv bitte bei rapidshare hoch und poste nochdigger den DownloadLink per PN.

Terri 27.01.2009 19:17
Hallo undoreal,

anbei der Report vom Avenger (hat sich nach einem Neustart automatisch geöffnet):

Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\twex.exe" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
Direkt nach dem Neustart ist auch direkt wieder AntiVir aufgeploppt mit dieser Fundmeldung:

Code:
In der Datei 'C:\avenger\twex.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Dropper.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
Habe ich irgendwas falsch gemacht oder ist das normal?
Die twex.exe ist jetzt im Ordner C:\avenger und beim öffnen dieses Ordners ist auch AntiVir gleich wieder hochgeploppt.

Das Archiv lade ich gleich hoch.

Viele Grüße
Terri

undoreal 27.01.2009 20:01
Evtl. hat AntiVir verhindert das der Avenger die Datei löschen konnte. Ist sie denn noch unter C:\WINDOWS\system32\twex.exe zu finden?

Eigentlich müsste sie gelöscht worden sein.

Terri 27.01.2009 20:04
Nein, im System32 Ordner ist die Twex.exe nichtmehr.
die ist jetzt im C:\avenger Ordner.
Warum ist mir allerdings ein Rätsel.

undoreal 27.01.2009 21:01
=) Naja, da sollte sie ja auch hin.

dborys 27.01.2009 22:07
Zitat:
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
Halte bitte in Zukunft dein System aktuell:

Download - Personal (PSI) - Vulnerability Scanning - Secunia.com


MfG dborys

nochdigger 28.01.2009 05:48
Moin

Zitat:
Nein, im System32 Ordner ist die Twex.exe nichtmehr.
die ist jetzt im C:\avenger Ordner.
Warum ist mir allerdings ein Rätsel.
mit Avenger und dem Script habt ihr sie dorthin verschoben.

Zitat:
Halte bitte in Zukunft dein System aktuell:
prinzipiell hast du recht, hier steht aber die Dateianalyse im Vordergrund und bei der Datei fürchte ich nix gutes...

MFG

Terri 28.01.2009 10:59
Zitat:
Zitat von undoreal (Beitrag 409202)
=) Naja, da sollte sie ja auch hin.
Ach dann ist ja gut.
War nur erschrocken weil AntiVir ständig am Alarm schlagen war...

"Mir schwahnt nichts gutes" hört sich nicht gut an...:teufel1:

Terri 28.01.2009 11:00
Sorry wg. Doppelpost, hat gehangen...

undoreal 28.01.2009 15:49
Warte mal auf nochdiggers Antwort aber ich würde auf einen ZBot tippen der sich bei dir breit gemacht hat.
Das würde für dich bedeuten dass du neuaufsetzen musst.

Terri 28.01.2009 15:52
Na klasse,
aber damit hatte ich ja fast schon gerechnet...

Ist weniger tragisch, der PC wird nur selten genutzt.

nochdigger 28.01.2009 18:24
Moin

Zitat:
ich würde auf einen ZBot tippen der sich bei dir breit gemacht hat
ich denke ebenfalls so und wollte mit der Auswertung eigentlich nur eine Bestätigung meines Verdachtes.

Zitat:
Na klasse,
aber damit hatte ich ja fast schon gerechnet...
Ja sorry ist bei einem solchen Befall halt das beste und sicherste Mittel den Freund auch loszuwerden.

Zitat:
Ist weniger tragisch, der PC wird nur selten genutzt.
Umso besser, aber er sollte trotzdem aktuell gehalten werden (siehe Link zu Secunia).

Ändere nach der Neuinstallation oder von einem sauberen System aus alle deine Pass- und Kennwörter.
Solltet ihr Onlinebanking, Ebay, PayPal o.ä. mit diesem System betreiben, prüft diese bitte auf Unregelmäßigkeiten.
Wenn du eine Sicherung deiner Daten durchführen möchtest,
lass die Finger von ausführbare Dateien
und Dateien aus unsicheren Quellen wie P2P.
Musik, Videos, Bilder und Officedateien können i.d.R. problemlos gesichert werden,
sollten aber vor dem wiederverwenden mit einem aktuellem Antivirenprogramm überprüft werden.

MFG

Terri 28.01.2009 19:18
Ok, danke für die Hilfe :)

muss ich vorher noch irgendetwas "entfernen" oder ist mein system sauber wenn ich mich an die "neu aufsetzen" anweisung halte?

LG Terri

undoreal 28.01.2009 19:39
Zitat:
ich denke ebenfalls so und wollte mit der Auswertung eigentlich nur eine Bestätigung meines Verdachtes.
schon klar. Hätte ich auch so gemacht. ;)

Terri 28.01.2009 19:57
aber eine Frage hab ich noch:

Hatte ich das Ding schon drauf als ich meinen ersten Thread reingesetzt hab?

undoreal 28.01.2009 20:07
:) Deshalb hast du dich doch bei uns gemeldet oder?

Terri 01.02.2009 21:13
genau gesagt...ja... :D

Also, hab den PC jetzt komplett neu aufgesetzt, damit dürfte ja jetzt nichtsmehr drauf sein ;) (hab mich immerhin mit bestem wissen und gewissen an die hier im forum gepostete anleitung gehalten)

hier nochmal ein aktueller hijack this log (in dem jetzt hoffentlich nichts mehr zu finden ist)

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:09:14, on 01.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1233508251234
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 3218 bytes
Vielen Dank für eure Hilfe! :)

undoreal 01.02.2009 22:13
Wenn du nach Anleitung nauaufgesetzt hast ist dein Rechner sauber.

Terri 04.02.2009 11:51
Gut. :)

Muss ich noch etwas beachten wegen USB-Sticks oder anderen Datenträgern?
Habe einen Teil schon mit AntiVir gecheckt, hat nichts gefunden.

undoreal 04.02.2009 11:56
Ich würde die alle formatieren. Ist sicherer...


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131