Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hilfe bei großes Problem ( Windows bereits neu Installiert! ) (https://www.trojaner-board.de/75846-hilfe-grosses-problem-windows-bereits-neu-installiert.html)

Angelsboy 29.07.2009 00:04

Hilfe bei großes Problem ( Windows bereits neu Installiert! )
 

So hallo alle zusammen,

[Edit:
ich sehe grad das ich ausversehen im Falschen Forum geladen bin :/ Entschuldigung.
Könnte das hier bitte jmd in Plagegeister aller Art und deren Bekämpfung verschieben? Das wäre sehr nett.]

Ich bin in dieses Forum gekommen, da ich absolut am verzweifeln bin!
Eigendlich bin ich nicht derjeniege der probleme mit Viren oder dergleichen hat!
Ich benutze als Antiviren System Avira AntiVir (immer aktuellste Updates etc) und war damit auch bis jetzt sehr glücklich!
Als Firewall verwende ich die Sygate Personal Firewall.
Diese beiden Programme verwende ich seit mehreren jahren und bin bis jetzt auch sehr glücklich gewesen!
Ich überprüfe so gut wie jede Dabei mit AntiVir bevor ich sie entpacke oder ausführe. Wenn ich mir bei der Datein unsicher bin, lade ich sie meist zusätzlich bei http://www.virustotal.com/ hoch.
So nun zu meinem Problem.
Ich habe seit gestern große probleme. Vorher noch nie etwas, was diesem ähnelt. Als erstes fiel mir auf gestern auf das sich beim anmelden, das Layout geändert hatte. Es war nicht mehr der Windos p stiel, sondern der klassische Windoes Style. An dieser Stelle habe ich mir noch nichts weiter gedacht.
Dann habe ich mich mit pw usw angemeldet und dann fing es schon an. Windows meldete mir, das ein paar datein aus Sicherheitsgründen vor Viren nicht mehr ausgeführt werden. Habe ok/schließen gedrückt (weiß nicht mehr genau was da stand ) und ich kam auf meinen Desktop, wo alles noch normal schien. Dann fragte mein Pc plötzlich ob die Winlogon.exe ins internet darf. Nach sys.zief.pl [218.93.205.24].
Hier die ganze Zeile aus der Firewall Log: (ist von heute, aber identisch mit gestern! )
4647 07/28/2009 22:15:33 Blocked 10 Outgoing TCP sys.zief.pl [218.93.205.24] 00-15-0C-42-66-0C 65520 192.168.178.67 00-23-54-61-39-1B 1699 C:\WINDOWS\system32\winlogon.exe Administrator MILLER-F0E0FC93 Normal 3 07/28/2009 22:14:21 07/28/2009 22:14:30 Ask all running apps
Natürlich habe ich das gelockt weil es mir sehr suspect vorkam!
Naja nach all diesen sachen wollte ich mir Kapersky holen und damit mein System checken da ich hörte es sei sehr gut!
Als ich auf die Homepage von kapersky ging stand da jedoch (steht jetzt wieder):
Der Server unter www.kaspersky.com konnte nicht gefunden werden.
Als ob es diesen Server nicht gäbe! Allerdings kommt mein bruder zum gleichen zeitpunkt über sienen Computer auf die Homepage! Also muss irgendein Virus oder What ever die Seite geblockt haben. Dannach habe ich sämtlich andere Firewall, Antivir seiten etc durchprobiert alle geblockt! Virustotal auch. habe das einem freund geschrieben. Und er meinte nach kurzer zeit das sieht sehr nach einem Sys Fuker aus. Allerdings 10 Sec nach der nachricht mein internet komplett weg. Ich habe sämtliche lan-kabel, rooter gchecked. Mein bruder kam nioch ins internet! Als alles nichts half habe ich meinen Computer neugestartet. Dies war allerdings ein großer Fehler, was ich im nachhinein erfahren und festgestellt habe. Es kam eine meldung das irgendeine xxuser.ini aus sicherheits gründen nvor Viren nicht mehr gestartet würde. Ich klickte ok/schließen, blieb mir ja nix anderes übrig, allerdings sah ich dannach nur noch mein desktop hintergrund und sonst gar nix. In den task manager kam ich noch und da fehlten zich prozesse!
Daraufhin habe ich Meinen kompletten Computer auf eine andere festplatte ( die vorher nicht drin war! neuinstalliert ).
Der ging dann auch heute mittag wunderbar.
Ich habe Folgende Sachen heruntergeladen und auch installiert:
190.38_desktop_winxp_32bit_international_whql.exe (graka treiber von Nvidia geladen! )
avira_antivir_personal403_de.exe ( Von avia Homepage geladen! )
dotNetFx35setup.exe ( von Chip geladen! ist net Framework 3.5 )
Firefox Setup 3.5.1.exe ( ebenfalls Chip )
install_icq65.exe ( Icq Hp )
spf56.exe ( Chip, ist mein Firewall )
wlsetup-web_8064.exe ( Msn, ebenfalls Chip )
install_flash_player.exe ( von Adobe Homepage )
wrar380d.exe ( WinRar, da weiß ich grade nicht wo, glaube aber auch chip )
ccsetup221.exe ( Ccleaneer, ebenfalls Chip )
vlc-1.0.1-win32.exe ( Vlc media player, auch von Chip )
mp10setup.exe ( Windows media player 10, auch chip! )
HJTInstall202.exe ( HiJackThis auch Chip )
Teamviewer ( auch von Chip )
Virtual Desktops for Xp & Vista ( ka woher, aber hab ich auch schon sehr lange )

Dann habe ich noch folgendes Spiel von einem Kumpel, von der original Dvd installiert:
Gta 4, dies haben wir ca 2 Stunden gespielt.
Ohne Crack oder dergleichen! Sondern mit original Serial key und Dvd.

Dann gegen heut abend ging es wieder los.
Die Winlogon.exe ( ein Prozess auch ) will nach sys.zief.pl [218.93.205.24].
Also wieder der selbe scheiß! Allerdings fand mein Antivir nun lauter W32/Virut.Gen. Das ist ein Virus der sich unglaublich schnell in exen aubreiten und Backdoors öffnet!
Ich komme auch wieder nicht auf die ganzen Homepages von Avira Kapersky etc.
Und nun bin ich hier, mit diesen dicken problemen.
Ich habe sämtliche traffics von meinemn Computer aus der Firewall eyportiert und hier der Downloadlink:
http://www.file-upload.net/download-...ewall.log.html
Die Winlogon versucht regelmäig nach sys.zief.pl [218.93.205.24] zu kommen.
Außerdem hab ich noch einen HiJackThis Scan gemacht:
Hier das ergebnis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:14:16, on 28.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Vista & XP Virtual Desktops\Virtual Desktops.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TeamViewer\Version4\TeamViewer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ping.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O1 - Hosts: 218.93.205 218.93.205
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISB83FC356B7C0441F8A4DD71E088E7974_9_09_0428.MSI" TRANSFORMS="C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISB83FC356B7C0441F8A4DD71E088E7974_9_09_0428.MST" WISE_SETUP_EXE_PATH="c:\nvidia\displaydriver\190.38\international\PhysX_9.09.0428_SystemSoftware.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Virtual Desktops.lnk = C:\Programme\Vista & XP Virtual Desktops\Virtual Desktops.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3E762EE-2D39-427A-8CC4-D37B81811E25}: NameServer = 192.168.178.1
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 4122 bytes

Außerdem habe ich mal ein wenig weiter über die Daten nachgeschaut:
sys.zief.pl [218.93.205.24]

Das ist ein Server der in China steht! ich schätze der wird als proxy benutzt.
Außerdem bin ich nicht der einziege der ein problem mit diesen Sachen hat. Wer bei googel mal ein bisschen sucht, findet ein paar beiträge in Forenmit Hacked by 218.93.205.24 und dergleichen!
Scheint also eine größere Sache zu sein.
Nun habe ich noch ein wenig weiter gegoogelt und bin auf folgende Seite gestoßen:
http://cgi.mtc.sri.com/popups/binari...4dccd1177.html

Wie es scheint sind folgende Datein infiziert:
2.tmp, 3.tmp, accwiz.exe, actmovie.exe, agentsvr.exe, ahui.exe, alg.exe, arp.exe, asr_fmt.exe, asr_ldm.exe, at.exe, atmadm.exe, attrib.exe, bootcfg.exe, bootok.exe, bootvrfy.exe, cacls.exe, calc.exe, charmap.exe, chkdsk.exe, chkntfs.exe, cidaemon.exe, cipher.exe, cisvc.exe, ckcnv.exe, cleanmgr.exe, cliconfg.exe, clipbrd.exe, clipsrv.exe, cmdl32.exe, cmmon32.exe, cmstp.exe, compact.exe, comp.exe, comrepl.exe, conime.exe, control.exe, convert.exe, cscript.exe, ctfmon.exe, dcomcnfg.exe, ddeshare.exe, defrag.exe, dfrgfat.exe, dfrgntfs.exe, diantz.exe, diskpart.exe, diskperf.exe, dllhost.exe, dllhst3g.exe, dmadmin.exe, dmremote.exe, doskey.exe, dplaysvr.exe, dpnsvr.exe, dpvsetup.exe, driverquery.exe, drwtsn32.exe, dumprep.exe, dvdplay.exe, dvdupgrd.exe, dxdiag.exe, esentutl.exe, eudcedit.exe, eventcreate.exe, eventtriggers.exe, eventvwr.exe, expand.exe, extrac32.exe, fc.exe, find.exe, findstr.exe, finger.exe, fixmapi.exe, fontview.exe, forcedos.exe, freecell.exe, fsutil.exe, ftp.exe, getmac.exe, gpresult.exe, gpupdate.exe, grpconv.exe, HelpCtr.exe, help.exe, HelpHost.exe, HelpSvc.exe, hh.exe, hostname.exe, ie4uinit.exe, iexpress.exe, imapi.exe, ipconfig.exe, ipsec6.exe, ipv6.exe, ipxroute.exe, label.exe, lights.exe, lnkstub.exe, locator.exe, lodctr.exe, logagent.exe, logman.exe, logoff.exe, logon.scr, logonui.exe, lpq.exe, lpr.exe, magnify.exe, makecab.exe, migload.exe, migpwd.exe, migwiz_a.exe, migwiz.exe, mmc.exe, mnmsrvc.exe, mobsync.exe, mofcomp.exe, mountvol.exe, mplay32.exe, mpnotify.exe, mqbkup.exe, mqsvc.exe, mqtgsvc.exe, mrinfo.exe, msconfig.exe, msdtc.exe, msg.exe, mshearts.exe, mshta.exe, msiexec.exe, msoobe.exe, mspaint.exe, msswchx.exe, mstinit.exe, mstsc.exe, narrator.exe, nbtstat.exe, nddeapir.exe, net1.exe, netdde.exe, net.exe, netsetup.exe, netsh.exe, netstat.exe, NOTEPAD.EXE, notiflag.exe, nppagent.exe, nslookup.exe, ntbackup.exe, ntsd.exe, ntvdm.exe, nwscript.exe, odbcad32.exe, odbcconf.exe, oobebaln.exe, openfiles.exe, osk.exe, osuninst.exe, packager.exe, pathping.exe, pentnt.exe, perfmon.exe, ping6.exe, print.exe, progman.exe, proquota.exe, proxycfg.exe, qappsrv.exe, qprocess.exe, qwinsta.exe, rasautou.exe, rasdial.exe, rasphone.exe, rcimlby.exe, rcp.exe, rdpclip.exe, rdsaddin.exe, rdshost.exe, recover.exe, relog.exe, replace.exe, reset.exe, rexec.exe, routemon.exe, rsh.exe, rsm.exe, rsmsink.exe, rsmui.exe, rsnotify.exe, rsopprov.exe, rstrui.exe, rsvp.exe, rtcshare.exe, runas.exe, rundll32.exe, runonce.exe, rwinsta.exe, savedump.exe, scardsvr.exe, schtasks.exe, scrcons.exe, scrnsave.scr, sdbinst.exe, secedit.exe, sessmgr.exe, sethc.exe, sfc.exe, shadow.exe, shmgrate.exe, shrpubw.exe, shutdown.exe, sigverif.exe, skeys.exe, smlogsvc.exe, sndrec32.exe, sndvol32.exe, sol.exe, sort.exe, spider.exe, srdiag.exe, ss3dfo.scr, ssbezier.scr, ssflwbox.scr, ssmarque.scr, ssmypics.scr, ssmyst.scr, sspipes.scr, ssstars.scr, sstext3d.scr, stimon.exe, subst.exe, SVCHOST.EXE, syncapp.exe, syskey.exe, sysocmgr.exe, systeminfo.exe, systray.exe, taskkill.exe, tasklist.exe, taskman.exe, taskmgr.exe, tcmsetup.exe, tcpsvcs.exe, telnet.exe, tftp.exe, tlntadmn.exe, tlntsess.exe, tlntsvr.exe, tourstart.exe, tracerpt.exe, tracert6.exe, tracert.exe, tscon.exe, tscupgrd.exe, tsdiscon.exe, tskill.exe, tsshutdn.exe, twunk_32.exe, typeperf.exe, UAC8d48.tmp, UAC8db5.tmp, UAC8eee.tmp, UACd.sys, unlodctr.exe, unsecapp.exe, UploadM.exe, upnpcont.exe, ups.exe, userinit.exe, usrmlnka.exe, usrprbda.exe, usrshuta.exe, utilman.exe, verifier.exe, vssadmin.exe, vssvc.exe, w32tm.exe, wbemtest.exe, wextract.exe, wiaacmgr.exe, winhlp32.exe, winmgmt.exe, winmine.exe, winmsd.exe, winver.exe, wmiadap.exe, wmiapsrv.exe, wmic.exe, wmiprvse.exe, wmpstub.exe, wpabaln.exe, wpnpinst.exe, write.exe, wuauclt.exe, wupdmgr.exe, xcopy.exe, cmd.exe, ftpupd.exe, spoolsv.exe, UAC3238.tmp, UACe2b0.tmp, UACe2c0.tmp, uxqjudnu.exe, UAC66af.tmp, UAC66bf.tmp, UACb6b3.tmp, , 010112010146118114.dat, 0101120101464849.dat, 4.tmp, 934fdfg34fgjf23, ld12.exe, olispzj.exe, UACcb21.tmp, UACcb40.tmp, UACcd05.tmp, VRT7.tmp, UACbded.tmp, UACbe89.tmp, UACc1f4.tmp

Und Folgende Prozesse:
3.tmp, CMD.EXE, CSRSS.EXE, DLLHOST.EXE, EXPLORER.EXE, LSASS.EXE, MSMSGS.EXE, SERVICES.EXE, SPOOLSV.EXE, SVCHOST.EXE, WINLOGON.EXE, dwwin.exe, ld12.exe, pp10.exe

Mehr habe ich bis jetzt nicht rausgefunden. Ich traue mich im Moment nicht meinen Pc neuzustarten, da ich angst habe das das nächste Windows schroot ist..
Allerdings weiß ich an dieser Stelle auch nicht was ich noch machen soll.
Ich hoffe diese Vorarbeit Hilft dabei mein problem zu lösen.

mfg
Angelsboy

PS.
Sry wegen meiner Rechtschreibung, es ist schon ziemlich spät, ich bin recht schlecht drauf und habe sehr schnell getippt!


Edit:
Was ich vergessen habe 2 Minuten nachdem ich den Log mit HiJackThis erstellt hatte kam eine meldung das die HijackThis.exe mit dem Virus W32/Virut.Gen infiziert sei. Kurz darauf habe ich den Task manager auch geöffnet und Antivir meldete er sei auch infiziert.
Wie gesagt das verbeitet sich unglaubtlich schnell oo

Larusso 29.07.2009 11:22

:hallo:

ICh brauch den ganzen Text nichtmal zu lesen.
Zitat:

Virus W32/Virut.Gen infiziert sei
Der infiziert alle .exe Dateien also nocht HJT die Schuld daran geben ;)

Schmeiss Dein BackUp aus dem Fenster und mach alles nocheinmal neu.
Hierbei ist alles zu Spät :(

Anleitung zum Neu aufsetzten
Hier steht WARUM

Angelsboy 29.07.2009 12:49

ok Vielen dank für deine Antwort.
ich habe mal unter cmd netstat -b eingegeben.
Hier das ergebnis:
http://s5.directupload.net/images/090729/ihwymx24.png

http://jl.chura.pl/
Das scheint die adresse vom Virus zu sein

Und die verbindung ist hergestelt, was denke ich nicht gut ist!
Der rest teilweise habe ich keine ahnung was das ist!
Ich denke ich werde mein System heute abend komplett neu aufsetzten, aber vorher formatiere ich sämtliche festplatten usb festplatten usb sticks usw. Alles wird platt gemacht. Sobald mein neues Windows da ist besorge ich mir kaspersky.
Und vllt noch mehr. Werde mich da mal für Sicherheit am pc noch schlauer lesen.

Mfg
Angelsboy

Mr Jingles 29.07.2009 12:59

Ähm hi ich weiß nicht wie ich dir helfen könnte da ich mich selbst nicht damit auskenne aber könntest du mir verraten wie ich hier einen Thread erstelle?...schonmal danke im Vorraus:)

sky 29.07.2009 19:39

Zitat:

Zitat von Mr Jingles (Beitrag 452145)
.... aber könntest du mir verraten wie ich hier einen Thread erstelle?

Klick einfach, im entsprechenden Forum auf http://www.trojaner-board.de/images/.../newthread.gif

...
Unbenannt

PS: Du weißt aber sicher, das "THREAD" soviel wie "Thema" bedeutet. Oder?

Angelsboy 30.07.2009 11:34

So habe alles komplett formatiert und neu aufgesetzt und sofort Service Pack 3 usw installt.
Verwende jetzt die 30 tage testversion von Gdata. Wenn ich mit ihr zufreiden bin kaufe ich die TotalCare.
Außerdem besorg ich mir heute VmWare Workstation.
Darauf werde ich dann verdächtige Datein usw herumprobieren.

Mfg
Angelsboy

Larusso 30.07.2009 11:44

Man braucht kein AVP kaufen ;)

Bitte lade dir die Freeware Version von Avira 9 herunter und installiere es auf deinem Rechner

Diese Reicht ^^
Mit etwas Hirn arbeiten und dann bist DU gut dabei.
Keine Software kann den PC vor Dir selber schützen.
Man liest sich :D

Angelsboy 30.07.2009 12:21

Ich schau mal was ich mach, aber danke.
Hab jetzt nochmal nen Scan mit Hijackthis gemacht.
Schaut ihn mal an:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:21:00, on 30.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\TotalCare\AVK\AVKService.exe
C:\Programme\G DATA\TotalCare\AVK\AVKWCtl.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
C:\Programme\G DATA\TotalCare\Firewall\GDFwSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\G DATA\TotalCare\Firewall\GDFirewallTray.exe
C:\Programme\G DATA\TotalCare\AVKTray\AVKTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\PROGRA~1\ICQ6.5\ICQ.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\G DATA\TotalCare\AVK\AVK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\TotalCare\Webfilter\AVKWebIE.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\TotalCare\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA\TotalCare\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\TotalCare\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{91A6905A-3592-479F-A301-6C49169B0DDC}: NameServer = 192.168.178.1
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - C:\Programme\G DATA\TotalCare\AVK\AVKService.exe
O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - G Data Software AG - C:\Programme\G DATA\TotalCare\AVK\AVKWCtl.exe
O23 - Service: G Data Backup Service - G Data Software AG - C:\Programme\G DATA\TotalCare\AVKBackup\AVKBackupService.exe
O23 - Service: G Data Tuner Service - G Data Software AG - C:\Programme\G DATA\TotalCare\AVKTuner\AVKTunerService.exe
O23 - Service: G Data Personal Firewall (GDFwSvc) - G Data Software AG - C:\Programme\G DATA\TotalCare\Firewall\GDFwSvc.exe
O23 - Service: G Data Scanner (GDScan) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5961 bytes

Noch was schädliches da? oo :P
Wenn bitte posten..^^

Mfg
Angelsboy

Larusso 30.07.2009 12:27

nö :)

aber eines machen wir noch.

Einträge mit HijackThis fixen

Starte HijackThis-->do a scan only-->setze ein Häckchen bei den Einträgen aus der Code-Box
Code:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

Nun auf Fix checked klicken
Rechner neu starten

Muss MSN und ICQ mitstarten?
wenn nein, dann diese ebenfalls fixen
Code:

O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background

Du bist entlassen :daumenhoc

Angelsboy 30.07.2009 12:59

Hi nochmals danke für deine Hilfe! Das Board hier ist echt gut.
Habe den ersten Punkt gemacht und Icq und Msn sollen mit Windows starten. Das ok. Ich denke jetzt bin ich glücklich! Also vielen Dank! Das Problem ist gelöst:Boogie:

fahre morgen für 14 tage weg. Melde mich dannach ncohmals ob wirklich alles weg ist!

Mfg
Angelsboy


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:46 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131