Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   IEXPLORE.EXE mehrmals im Task-Manager (https://www.trojaner-board.de/80325-iexplore-exe-mehrmals-task-manager.html)

JJ-OKOCHA 12.12.2009 20:57
IEXPLORE.EXE mehrmals im Task-Manager
 
Guten Tag,

ich habe seit einiger Zeit das Problem, dass bei mir im Task-Manager mehrmals (gerade 4x) der Prozess iexplore.exe ausgeführt wird, obwohl der Internet Explorer nur 1x geöffnet ist.

Die iexplore.exe Prozesse sind auch immer die mit der meisten Speicherauslastung und mein Internet ist dadurch viel langsamer wie zuvor.

Habe auch schon ein paar Sachen, die ich hier im Forum gelesen hab, probiert. Brachte aber alles keinen Erfolg.

Habe z.B. Spybot Search & Destroy durchlaufen lassen. Hat auch eine Menge gefunden, aber das Problem mit dem iexplore.exe besteht immernoch.
Systemwiederherstellung brachte auch nichts!

Darum bitte ich jetzt hier um Hilfe!

Schon mal vielen Dank!!!

Hier mein HiJackThis-LogFile:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:38:49, on 12.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\42QNRODA\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Programme\Gemeinsame Dateien\svchost.exe,
O2 - BHO: mscorewr - {00009E9F-DDD7-AA59-AA7D-AA4B7D6BE000} - C:\WINDOWS\system32\mscorewr.dll (file missing)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Programme\MSN\Toolbar\3.0.1203.0\msneshellx.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Programme\MSN\Toolbar\3.0.1203.0\msneshellx.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Microsoft .NET Framework 3.5] C:\WINDOWS\TEMP\bvmntssipj.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [calc] rundll32.exe C:\DOKUME~1\ADMINI~1\ntuser.dll,_IWMPEvents@0
O4 - HKCU\..\Run: [Gadwin PrintScreen] C:\Programme\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - HKCU\..\Run: [AutoStartNPSAgent] C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: scandisk.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: IPv6-Hilfsdienst 6to46to46to4Alerter (6to46to46to4Alerter) - Unknown owner - C:\WINDOWS\TEMP\puytgxymni.exe (file missing)
O23 - Service: IPv6-Hilfsdienst 6to46to4Alerter (6to46to4Alerter) - Unknown owner - C:\WINDOWS\TEMP\ufintikpfv.exe (file missing)
O23 - Service: Warndienst AlerterNetTcpPortSharing (AlerterNetTcpPortSharing) - Unknown owner - C:\WINDOWS\system32\activedsmr.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: COM+-Ereignissystem EventSystemNwSapAgent (EventSystemNwSapAgent) - Unknown owner - C:\WINDOWS\system32\apiu.exe (file missing)
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Distributed Transaction Coordinator MSDTCWmi (MSDTCWmi) - Unknown owner - C:\WINDOWS\system32\ansim.exe (file missing)
O23 - Service: Wechselmedien NtmsSvcAntiVirService (NtmsSvcAntiVirService) - Unknown owner - C:\WINDOWS\system32\6to4svcl.exe (file missing)
O23 - Service: SAP-Agent NwSapAgentNtLmSsp (NwSapAgentNtLmSsp) - Unknown owner - C:\WINDOWS\system32\activedsc.exe (file missing)
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Terminaldienste TermServiceVSS (TermServiceVSS) - Unknown owner - C:\WINDOWS\system32\acleditm.exe (file missing)
O23 - Service: Windows-Verwaltungsinstrumentation winmgmtAudioSrv (winmgmtAudioSrv) - Unknown owner - C:\WINDOWS\system32\1037g.exe (file missing)

--
End of file - 8483 bytes

kira 13.12.2009 18:56
Hallo und Herzlich Willkommen! :)

Ich muss Dir ehrlich sagen, selten so einen verseuchten PC gesehen habe wie deins:o
Eine ungesunde Mischung aus Malware/Schadprogramm, wie mehrere Backdoors und vermutlich Rootkits auch noch am "Spiel"...
- Dir eine Menge Zeit und Ärger zu ersparen (nicht wochenlang herumbasteln, und dann festzustellen, dass es doch nicht geht), mache eine Datensicherung der für dich wichtigen persönlichen Daten, formatiere dein System & auch Speichermedien (falls Du während die Infektion an den PC angeschlossen hast - USB-Stick, externe Platte etc) und setze dein System neu auf.

Datensicherung:
► NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
► Bevor du mit deinem PC direkt ins Netz gehst:
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! ) oder/und sperren lassen, da ein Angreifer die Passwörter z.B. verwenden kann, um erneut in das abgesicherte System einzudringen oder mit der Identität des Nutzers Transaktionen im Internet auszuführen
Vor zurückspielen:
Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung

Tipss & Hilfe:
SETI@home-Sicherheit / Sicherheitskonzept
Anleitung: Neuaufsetzen des Systems + Absicherung
Was muss ich bei einer Neuinstallation beachten?/computerleben.net
Windows XP neu installieren/computerleben.net
Windows Vista neu installieren/computerleben.net

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Cf

JJ-OKOCHA 13.12.2009 20:54
Okay... vielen vielen Dank...!
Hört sich sehr aufwendig an und werde deshalb erst nächstes Wochenende dazukommen...!

Ich schreib, wenn ich alles gemacht hab!

Danke nochmal...!

gruß JJ

JJ-OKOCHA 14.12.2009 01:22
So... hab mir jetzt doch schon die Zeit genommen Windows neu aufzusetzen.

Was ich schonmal sagen kann, ist, dass das Problem mit dem IEXPLORE.EXE im Task-Manager nicht mehr besteht :) Internet ist auch wieder schneller :)

Dafür schonmal tausend Dank!!!!!!!!!

Hab so ziemlich alles gemacht was du mir geraten hast, nur hab ich meine externe Festplatte nicht formatiert, da dort vieles drauf ist, was mir wichtig ist und an das ich so schnell nicht mehr rankomm.
Hab 2 von dir vorgeschlagene Virenprogramme + mein AntiVir drüberlaufen lassen, bevor ich neu aufgesetzt hab und es wurde nichts gefunden, die Anwendungsdateien hab ich trotzdem alle gelöscht, bis auf die Installationsdatei von AntiVir.
Hab Antivir dann auf den PC kopiert und die externe Festplatte dann wieder entfernt, da sie mir trotz Scans nicht ganz geheuer ist :-/

Hab AntiVir sofort installiert und durchlaufen lassen. Kein Wurm, kein Virus, nur eine Warnung und sagt, das pagefile.sys nicht durchsucht werden konnte. Steht aber auch dahinter dass das normal sei, da es sich um eine Windowsdatei handelt.

Das mit den Passwörtern mach ich morgen von meiner Schwester ihrem Laptop aus.
Hab mich bis jetzt nur hier eingeloggt. Schlimm?

Du weisst garnicht glücklich ich bin wieder ein voll funktionsfähigen, nicht lahmenden PC zu haben... :)

Danke, danke, danke, danke, danke...!!!

Hast du noch Tipps wie ich mich in Zukunft vor solchen Sachen schützen kann? Reicht da AntiVir, und dass ich es täglich update und damit mein PC scan oder sollt ich noch andere Programme benutzen?

Hier noch mein aktuelles HiJackThis-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:20:57, on 14.12.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTFMON.EXE
C:\WINDOWS\system32\wpabaln.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Dokumente und Einstellungen\Jojo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\79MR5CRX\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

--
End of file - 2107 bytes



...scheint bisschen weniger wie davor zu sein... :lach:

JJ-OKOCHA 14.12.2009 20:26
Läuft alles wieder top...! Vielen Dank... echt 1A, superschnelle Hilfe!!! DANKE :)

kira 15.12.2009 10:20
hi

Freu mich für dich dass alles so gut geklappt hat:)

Lesestoff:
Zitat:
Da der Bestand der Datenbank wird täglich ergänzt und erweitert bzw werden mit der aktuellen Virendefinition die Informationen über den betroffenen Virus aufgenommen, empfehle ich dir mindestens einmal pro Woche (später genügt es sicherlich einmal im Monat) dein System Online Scannen lassen (immer mit einen anderen Scanner), um eine zweite Meinung einzuholen
(benutzen meist ActiveX und/oder Java): Kostenlose Online Scanner -
wünsch Dir alles Gute:)

JJ-OKOCHA 16.12.2009 07:52
Hab jetzt Mozilla Firefox als Standardbrowser...!

Bin aber jetzt nochmal mit dem Internet Explorer on gegangen um zu sehen ob immernoch alles okay ist! Jetzt sind auf einmal wieder 2 iexplore.exe im Task-Manager zu sehen :(

Kannst du sehen woran es liegt???

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:46:32, on 16.12.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Jojo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\79MR5CRX\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

--
End of file - 2529 bytes

kira 17.12.2009 08:32
hi

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
  • - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
    - starte gmer.exe
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - bitte nichts am Pc machen während der Scan läuft!
    - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird Gmer beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

5.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

JJ-OKOCHA 17.12.2009 11:06
Zu 1.

Hab ich gemacht.

Zu 2.

Code:
----- Root -----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 8C3F-A4BB

 Verzeichnis von C:\

17.12.2009  10:49                43 filelist.txt
17.12.2009  07:57    2.145.386.496 pagefile.sys
14.12.2009  00:00                0 CONFIG.SYS
14.12.2009  00:00                0 IO.SYS
14.12.2009  00:00                0 MSDOS.SYS
14.12.2009  00:00                0 AUTOEXEC.BAT
13.12.2009  23:52              211 boot.ini
28.02.2006  13:00          251.184 ntldr
28.02.2006  13:00            47.564 NTDETECT.COM
28.02.2006  13:00            4.952 bootfont.bin
              10 Datei(en)  2.145.690.450 Bytes
              0 Verzeichnis(se), 24.460.689.408 Bytes frei
 
----- Windows --------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 8C3F-A4BB

 Verzeichnis von C:\WINDOWS

17.12.2009  10:42              573 win.ini
17.12.2009  10:37              376 ODBC.INI
17.12.2009  08:02          867.928 WindowsUpdate.log
17.12.2009  08:00          273.033 setupapi.log
17.12.2009  07:57                0 0.log
17.12.2009  07:57              159 wiadebug.log
17.12.2009  07:57                50 wiaservc.log
17.12.2009  07:57            2.048 bootstat.dat
16.12.2009  09:07            3.982 SchedLgU.Txt
15.12.2009  21:47          149.191 comsetup.log
15.12.2009  21:47          484.920 iis6.log
15.12.2009  21:47            23.115 ocmsn.log
15.12.2009  21:47            88.595 ntdtcsetup.log
15.12.2009  21:47            21.509 tabletoc.log
15.12.2009  21:47          193.552 tsoc.log
15.12.2009  21:47            1.393 imsins.log
15.12.2009  21:47            14.825 KB970430.log
15.12.2009  21:47            73.185 netfxocm.log
15.12.2009  21:47            29.123 MedCtrOC.log
15.12.2009  21:47          204.272 ocgen.log
15.12.2009  21:47            20.956 msgsocm.log
15.12.2009  21:47          413.463 FaxSetup.log
15.12.2009  21:47          133.330 msmqinst.log
15.12.2009  21:47            49.639 updspapi.log
15.12.2009  21:47            1.393 imsins.BAK
15.12.2009  21:47            12.681 KB971737.log
15.12.2009  21:47            6.764 KB971961-IE8.log
14.12.2009  03:05              293 wmsetup.log
14.12.2009  02:26            8.524 spupdsvc.log
14.12.2009  02:04            79.216 KB951376-v2.log
14.12.2009  02:04            86.119 KB952954.log
14.12.2009  02:03            86.000 KB959426.log
14.12.2009  02:03            78.425 KB946648.log
14.12.2009  02:03            79.162 KB956803.log
14.12.2009  02:03            85.968 KB960859.log
14.12.2009  02:03            75.482 KB958869.log
14.12.2009  02:03            76.937 KB954155.log
14.12.2009  02:03            75.050 KB976098-v2.log
14.12.2009  02:03            86.184 KB974318.log
14.12.2009  02:03            83.295 KB969059.log
14.12.2009  02:03            85.533 KB961371-v2.log
14.12.2009  02:02            78.118 ie8_main.log
14.12.2009  02:02            91.638 KB976325-IE8.log
14.12.2009  02:02            82.895 KB975364-IE8.log
14.12.2009  02:02            88.988 ie8.log
14.12.2009  01:59            46.401 KB950974.log
14.12.2009  01:58            44.545 KB971657.log
14.12.2009  01:58            45.341 KB971557.log
14.12.2009  01:58            44.148 KB960225.log
14.12.2009  01:58            44.152 KB974112.log
14.12.2009  01:58            43.602 KB956572.log
14.12.2009  01:58            35.383 KB956844.log
14.12.2009  01:58            41.859 KB961501.log
14.12.2009  01:58            32.516 KB968816.log
14.12.2009  01:58            41.353 KB971633.log
14.12.2009  01:58            34.399 KB952069.log
14.12.2009  01:57            35.220 KB973869.log
14.12.2009  01:57            40.088 KB975025.log
14.12.2009  01:57            33.081 KB973540.log
14.12.2009  01:57            42.185 KB952004.log
14.12.2009  01:57            41.308 KB974571.log
14.12.2009  01:57            45.439 KB976325.log
14.12.2009  01:57            37.778 KB973507.log
14.12.2009  01:57            32.059 KB973687.log
14.12.2009  01:57            31.353 KB950762.log
14.12.2009  01:57            31.419 KB957097.log
14.12.2009  01:56            31.337 KB958687.log
14.12.2009  01:56            31.042 KB952287.log
14.12.2009  01:56            31.018 KB973354.log
14.12.2009  01:56            31.010 KB973904.log
14.12.2009  01:56            37.394 KB967715.log
14.12.2009  01:56            30.607 KB951066.log
14.12.2009  01:56            36.771 KB974392.log
14.12.2009  01:56            36.276 KB951748.log
14.12.2009  01:56            24.202 KB971961.log
14.12.2009  01:56            30.742 KB970238.log
14.12.2009  01:56            26.668 KB971486.log
14.12.2009  01:55            31.779 KB958470.log
14.12.2009  01:55            30.869 KB960803.log
14.12.2009  01:55            28.971 KB973815.log
14.12.2009  01:55            23.182 KB973525.log
14.12.2009  01:55            30.689 KB971032.log
14.12.2009  01:54            16.501 KB958644.log
14.12.2009  01:54            15.978 KB955069.log
14.12.2009  01:54            19.859 KB956802.log
14.12.2009  01:54            19.723 KB944338-v2.log
14.12.2009  01:54            16.086 KB923561.log
14.12.2009  01:54            18.526 KB975467.log
14.12.2009  01:54            19.715 KB968389.log
14.12.2009  01:54            16.781 KB969947.log
14.12.2009  01:53            27.396 svcpack.log
14.12.2009  01:35                0 nsreg.dat
14.12.2009  01:28          946.381 setuplog.txt
14.12.2009  01:24            7.517 KB893803v2.log
14.12.2009  01:23            8.204 KB898461.log
14.12.2009  00:05              829 OEWABLog.txt
14.12.2009  00:02            8.192 REGLOCS.OLD
14.12.2009  00:01          195.224 setupact.log
14.12.2009  00:00            6.552 KB911164.log
14.12.2009  00:00                0 control.ini
13.12.2009  23:59          316.640 WMSysPr9.prx
13.12.2009  23:59            4.161 ODBCINST.INI
13.12.2009  23:58              749 WindowsShell.Manifest
13.12.2009  23:57            1.023 sessmgr.setup.log
13.12.2009  23:57                36 vb.ini
13.12.2009  23:57                37 vbaddin.ini
13.12.2009  23:57              133 DtcInstall.log
13.12.2009  23:53              200 cmsetacl.log
13.12.2009  23:49            1.920 regopt.log
13.12.2009  23:32                0 Sti_Trace.log
13.12.2009  23:30              231 system.ini
13.12.2009  23:29                0 setuperr.log

            147 Datei(en)    12.131.305 Bytes
              0 Verzeichnis(se), 24.460.673.024 Bytes frei
 

 
----- System 32 (Achtung: Zeitfenster beachten!) ---
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 8C3F-A4BB

 Verzeichnis von C:\WINDOWS\system32

17.12.2009  08:09          149.280 javaws.exe
17.12.2009  08:09          145.184 javaw.exe
17.12.2009  08:09            73.728 javacpl.cpl
17.12.2009  08:09          145.184 java.exe
17.12.2009  08:09          411.368 deploytk.dll
16.12.2009  08:36              664 d3d9caps.dat
16.12.2009  07:23            48.156 perfc007.dat
16.12.2009  07:23            39.992 perfc009.dat
16.12.2009  07:23          316.594 perfh007.dat
16.12.2009  07:23          311.604 perfh009.dat
16.12.2009  07:23          723.744 PerfStringBackup.INI
15.12.2009  21:17            13.646 wpa.dbl
14.12.2009  02:25            90.296 FNTCACHE.DAT
14.12.2009  02:03            3.910 TZLog.log
14.12.2009  01:28            13.646 wpa.bak
14.12.2009  00:01              261 $winnt$.inf
14.12.2009  00:00            2.951 CONFIG.NT
13.12.2009  23:59            16.832 amcompat.tlb
13.12.2009  23:59            23.392 nscompat.tlb
13.12.2009  23:59              488 WindowsLogon.manifest
13.12.2009  23:59              488 logonui.exe.manifest
13.12.2009  23:58              749 ncpa.cpl.manifest
13.12.2009  23:58              749 sapi.cpl.manifest
13.12.2009  23:58              749 wuaucpl.cpl.manifest
13.12.2009  23:58              749 cdplayer.exe.manifest
13.12.2009  23:58              749 nwc.cpl.manifest
13.12.2009  23:57            21.740 emptyregdb.dat
13.12.2009  23:52                0 h323log.txt
01.12.2009  12:06        25.966.024 MRT.exe
29.10.2009  08:40          916.480 wininet.dll
29.10.2009  08:40        5.940.736 mshtml.dll
29.10.2009  08:40          206.848 occache.dll
29.10.2009  08:40        1.208.832 urlmon.dll
29.10.2009  08:40        1.469.440 inetcpl.cpl
29.10.2009  08:40            55.296 msfeedsbs.dll
29.10.2009  08:40          594.432 msfeeds.dll
29.10.2009  08:40            25.600 jsproxy.dll
29.10.2009  08:40        1.985.536 iertutil.dll
29.10.2009  08:40        11.069.952 ieframe.dll
29.10.2009  08:40          184.320 iepeers.dll
29.10.2009  08:40          387.584 iedkcs32.dll
29.10.2009  06:44        1.506.304 shdocvw.dll
29.10.2009  06:44            55.808 extmgr.dll
29.10.2009  06:43          152.064 cdfview.dll
29.10.2009  06:43        1.023.488 browseui.dll
28.10.2009  16:07            46.080 tzchange.exe
28.10.2009  15:40          173.056 ie4uinit.exe
28.10.2009  01:43          375.808 xpsp3res.dll
21.10.2009  07:00            25.088 httpapi.dll
21.10.2009  07:00            75.776 strmfilt.dll
13.10.2009  11:51          267.776 oakley.dll
12.10.2009  14:51            69.632 raschap.dll
12.10.2009  14:51          113.152 rastls.dll
25.09.2009  06:55          474.112 shlwapi.dll
25.09.2009  06:55        1.056.256 danim.dll
11.09.2009  15:31          133.632 msv1_0.dll
04.09.2009  21:45            58.880 msasn1.dll
01.09.2009  15:32          282.654 msaud32.acm
26.08.2009  09:14          247.326 strmdll.dll
25.08.2009  10:46          352.256 winhttp.dll
14.08.2009  16:18        1.850.240 win32k.sys
06.08.2009  19:24          327.896 wucltui.dll
06.08.2009  19:24          209.632 wuweb.dll
06.08.2009  19:24            18.144 wuaueng.dll.mui
06.08.2009  19:24            44.768 wups2.dll
06.08.2009  19:24            35.552 wups.dll
06.08.2009  19:24            15.584 wuapi.dll.mui
06.08.2009  19:24          217.816 wuaucpl.cpl
06.08.2009  19:24            53.472 wuauclt.exe
06.08.2009  19:24            15.584 wuaucpl.cpl.mui
06.08.2009  19:24            96.480 cdm.dll
06.08.2009  19:24            23.264 wucltui.dll.mui
06.08.2009  19:23          575.704 wuapi.dll
06.08.2009  19:23        1.929.952 wuaueng.dll
05.08.2009  10:05          206.336 mswebdvd.dll
04.08.2009  18:03        2.182.656 ntoskrnl.exe
04.08.2009  18:03        2.060.032 ntkrnlpa.exe
31.07.2009  05:58        1.172.480 msxml3.dll
29.07.2009  05:48          119.808 t2embed.dll
29.07.2009  05:48            82.432 fontsub.dll
17.07.2009  19:56            58.880 atl.dll
17.07.2009  17:25        1.441.792 query.dll
13.07.2009  02:18          233.472 wmpdxm.dll
13.07.2009  02:18        4.960.256 wmp.dll
25.06.2009  19:34          138.240 mqad.dll
25.06.2009  19:34            47.104 mqdscli.dll
25.06.2009  19:34          661.504 mqqm.dll
25.06.2009  19:34            16.896 mqise.dll
25.06.2009  19:34          177.152 mqrt.dll
25.06.2009  19:34          123.392 mqrtdep.dll
25.06.2009  19:34            95.744 mqsec.dll
25.06.2009  19:34          517.120 mqsnap.dll
25.06.2009  19:34          225.280 mqoa.dll
25.06.2009  19:34          533.504 mqutil.dll
25.06.2009  19:34            48.640 mqupgrd.dll
25.06.2009  19:34          186.880 mqtrig.dll
25.06.2009  09:44            59.392 wdigest.dll
25.06.2009  09:44          732.160 lsasrv.dll
25.06.2009  09:44          168.448 schannel.dll
25.06.2009  09:44            56.320 secur32.dll
25.06.2009  09:44          298.496 kerberos.dll
22.06.2009  12:49            19.968 mqbkup.exe
22.06.2009  12:49          117.248 mqtgsvc.exe
22.06.2009  12:49            4.608 mqsvc.exe
22.06.2009  07:45          726.528 jscript.dll
15.06.2009  12:32            78.848 telnet.exe
15.06.2009  12:31            82.944 tlntsess.exe
10.06.2009  15:22            85.504 avifil32.dll
10.06.2009  07:30          132.096 wkssvc.dll
05.06.2009  08:42          655.872 mstscax.dll
03.06.2009  20:26        1.296.384 quartz.dll
26.05.2009  16:51        2.174.976 WMVCore.dll
07.05.2009  16:42          346.624 localspl.dll
15.04.2009  16:11          584.192 rpcrt4.dll
03.04.2009  12:15          485.376 wmspdmod.dll
21.03.2009  15:20        1.059.840 kernel32.dll
08.03.2009  14:29        1.302.528 ieframe.dll.mui
08.03.2009  14:29            57.344 msrating.dll.mui
08.03.2009  14:28            2.560 mshta.exe.mui
08.03.2009  14:27            4.096 ie4uinit.exe.mui
08.03.2009  14:27            12.288 advpack.dll.mui
08.03.2009  14:27            81.920 iedkcs32.dll.mui
08.03.2009  04:35          385.024 html.iec
08.03.2009  04:34          236.544 webcheck.dll
08.03.2009  04:34          208.384 WinFXDocObj.exe
08.03.2009  04:34            43.008 licmgr10.dll
08.03.2009  04:34          105.984 url.dll
08.03.2009  04:34          193.536 msrating.dll
08.03.2009  04:33            18.944 corpol.dll
08.03.2009  04:33          229.376 ieaksie.dll
08.03.2009  04:33          420.352 vbscript.dll
08.03.2009  04:33          125.952 ieakeng.dll
08.03.2009  04:32            72.704 admparse.dll
08.03.2009  04:32            36.864 ieudinit.exe
08.03.2009  04:32          163.840 ieakui.dll
08.03.2009  04:32            71.680 iesetup.dll
08.03.2009  04:32            55.808 iernonce.dll
08.03.2009  04:32          128.512 advpack.dll
08.03.2009  04:32            94.720 inseng.dll
08.03.2009  04:32          611.840 mstime.dll
08.03.2009  04:31            13.312 msfeedssync.exe
08.03.2009  04:31            59.904 icardie.dll
08.03.2009  04:31          348.160 dxtmsft.dll
08.03.2009  04:31            34.816 imgutil.dll
08.03.2009  04:31          216.064 dxtrans.dll
08.03.2009  04:31            46.592 pngfilt.dll
08.03.2009  04:31            66.560 mshtmled.dll
08.03.2009  04:31            48.128 mshtmler.dll
08.03.2009  04:31            45.568 mshta.exe
08.03.2009  04:31        1.638.912 mshtml.tlb
08.03.2009  04:30            66.560 tdc.ocx
08.03.2009  04:22          164.352 ieui.dll
08.03.2009  04:22          156.160 msls31.dll
08.03.2009  04:15            57.667 ieuinit.inf
08.03.2009  04:11          445.952 ieapfltr.dll
06.03.2009  15:44          286.208 pdh.dll
12.02.2009  22:20            6.873 IE8Eula.rtf
09.02.2009  11:18          677.888 advapi32.dll
09.02.2009  11:18          399.360 rpcss.dll
09.02.2009  11:18          740.352 ntdll.dll
09.02.2009  11:04          111.104 services.exe
06.02.2009  21:07        3.698.584 ieapfltr.dat
06.02.2009  17:54            35.328 sc.exe
07.01.2009  18:21          121.856 xmllite.dll
07.01.2009  18:20            24.576 nlsdl.dll
07.01.2009  18:20            66.384 normnfkc.nls
07.01.2009  18:20            26.112 idndl.dll
07.01.2009  18:20            39.284 normnfd.nls
07.01.2009  18:20            45.794 normnfc.nls
07.01.2009  18:20            59.342 normidna.nls
07.01.2009  18:20            23.552 normaliz.dll
07.01.2009  18:20            60.294 normnfkd.nls
07.01.2009  18:20            18.464 spmsg.dll
07.01.2009  18:20            26.144 spupdsvc.exe
07.01.2009  18:20            1.988 ticrf.rat
07.01.2009  18:20            8.798 icrav03.rat
07.01.2009  18:20          265.720 msdbg2.dll


            1879 Datei(en)    357.725.244 Bytes
              0 Verzeichnis(se), 24.460.492.800 Bytes frei
 
----- Prefetch -------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 8C3F-A4BB

 Verzeichnis von C:\WINDOWS\Prefetch

17.12.2009  10:44            13.136 RUNDLL32.EXE-451FC2C0.pf
17.12.2009  10:43            61.208 MSIEXEC.EXE-2F8A8CAE.pf
17.12.2009  10:43            33.872 AVWSC.EXE-24612965.pf
17.12.2009  10:29            91.376 FIREFOX.EXE-28BE8AE1.pf
17.12.2009  10:19            57.668 AVSCAN.EXE-25724B6E.pf
17.12.2009  10:19            65.646 TASKMGR.EXE-20256C55.pf
17.12.2009  10:16            57.308 AVCENTER.EXE-1D2DB8A2.pf
17.12.2009  08:20            31.278 WMIPRVSE.EXE-28F301A9.pf
17.12.2009  08:02            59.706 AVNOTIFY.EXE-31D7686A.pf
17.12.2009  08:02            56.848 UPDATE.EXE-3398FCD6.pf
17.12.2009  08:01            39.122 WIFISTATION.EXE-21DDB9EB.pf
17.12.2009  08:00            13.668 REGEDIT.EXE-1B606482.pf
17.12.2009  08:00            56.112 AEGISI5.EXE-13FF4891.pf
17.12.2009  08:00            17.062 RUNONCE.EXE-2803F297.pf
17.12.2009  08:00            11.578 REGINI.EXE-2BB3D52B.pf
17.12.2009  07:59            15.656 SETUP.EXE-258C0AD1.pf
17.12.2009  07:59            16.438 DEMO32.EXE-0D453361.pf
17.12.2009  07:59            11.042 SETUP.EXE-393E66AE.pf
17.12.2009  07:58            28.708 WUAUCLT.EXE-399A8E72.pf
17.12.2009  07:58          652.202 NTOSBOOT-B00DFAAD.pf
16.12.2009  09:07            65.242 EXPLORER.EXE-082F38A9.pf
16.12.2009  09:05            15.740 CTFMON.EXE-0E17969B.pf
16.12.2009  09:05            14.696 USERINIT.EXE-30B18140.pf
16.12.2009  09:05            53.524 AVGNT.EXE-39CD89BF.pf
16.12.2009  09:05            19.802 LOGONUI.EXE-0AF22957.pf
16.12.2009  08:48            69.324 SVCHOST.EXE-3530F672.pf
16.12.2009  08:35            17.602 SNDVOL32.EXE-383480B7.pf
16.12.2009  07:54          129.228 IEXPLORE.EXE-2CA9778D.pf
16.12.2009  07:49            20.360 NOTEPAD.EXE-336351A9.pf
16.12.2009  07:49            24.826 HIJACKTHIS[1].EXE-38A8AC8E.pf
16.12.2009  07:23            32.234 WMIADAP.EXE-2DF425B2.pf
14.12.2009  03:05            29.044 UNREGMP2.EXE-07CACB61.pf
14.12.2009  02:56            60.556 AVCONFIG.EXE-18FA6095.pf
14.12.2009  02:02            22.142 REGSVR32.EXE-25EEFE2F.pf
14.12.2009  01:55            50.792 MRTSTUB.EXE-3929D2DD.pf
14.12.2009  01:55            54.274 WINDOWS-KB890830-V3.2.EXE-0012E2BB.pf
14.12.2009  01:54            64.660 UPDATE.EXE-2D569B10.pf
14.12.2009  01:54            64.400 UPDATE.EXE-10631781.pf
14.12.2009  01:54            64.202 UPDATE.EXE-02BE2836.pf
14.12.2009  01:54            64.240 UPDATE.EXE-0CD0CDA0.pf
14.12.2009  01:54            10.680 WINDOWSXP-KB923789-X86-DEU.EX-1615F8CC.pf
14.12.2009  01:54            7.062 GENINST.EXE-07DE83F8.pf
14.12.2009  01:54            16.954 INSTALL_FP6_WU_R88.EXE-23663934.pf
14.12.2009  01:54            64.190 UPDATE.EXE-363CD99A.pf
14.12.2009  01:54            11.320 RUNDLL32.EXE-4B1DB1FC.pf
14.12.2009  01:54            62.886 UPDATE.EXE-20F3CD37.pf
14.12.2009  01:54            64.038 UPDATE.EXE-07A64516.pf
14.12.2009  01:54            63.584 UPDATE.EXE-1C421789.pf
14.12.2009  01:54            63.158 UPDATE.EXE-34F85072.pf
14.12.2009  01:52            67.494 UPDATE.EXE-1F5180A0.pf
14.12.2009  01:40            74.032 UPDATE.EXE-1A5F4A11.pf
14.12.2009  01:40            57.544 UPDATE.EXE-293234C5.pf
14.12.2009  01:40            61.626 UPDATE.EXE-30AD5E62.pf
14.12.2009  01:39            63.448 UPDATE.EXE-0754F6EC.pf
14.12.2009  01:39            64.630 UPDATE.EXE-0D2B3556.pf
14.12.2009  01:39            61.980 UPDATE.EXE-26CB048A.pf
14.12.2009  01:39            57.880 UPDATE.EXE-08134335.pf
14.12.2009  01:39            65.174 UPDATE.EXE-1A0D20F6.pf
14.12.2009  01:39            72.840 UPDATE.EXE-232F8E7A.pf
14.12.2009  01:39            57.200 UPDATE.EXE-39A4DAB8.pf
14.12.2009  01:39            56.488 UPDATE.EXE-0A4EEBF9.pf
14.12.2009  01:39            78.344 UPDATE.EXE-2FFF68C4.pf
14.12.2009  01:39            63.112 UPDATE.EXE-3A57C70C.pf
14.12.2009  01:39            65.022 UPDATE.EXE-2E7C3CF5.pf
14.12.2009  01:39            87.766 UPDATE.EXE-1361C524.pf
14.12.2009  01:39            76.470 UPDATE.EXE-12540247.pf
14.12.2009  01:39            68.698 UPDATE.EXE-06686935.pf
14.12.2009  01:39            74.078 UPDATE.EXE-08894AB6.pf
14.12.2009  01:38            59.404 UPDATE.EXE-2329F91D.pf
14.12.2009  01:38            59.556 UPDATE.EXE-087332BF.pf
14.12.2009  01:38            61.830 UPDATE.EXE-2B7510D6.pf
14.12.2009  01:38            62.260 UPDATE.EXE-28B39077.pf
14.12.2009  01:38            84.938 UPDATE.EXE-00AA9691.pf
14.12.2009  01:38            85.130 UPDATE.EXE-38EBE3DC.pf
14.12.2009  01:37            78.652 UPDATE.EXE-04E83CA5.pf
14.12.2009  01:37            71.862 UPDATE.EXE-2304D0D5.pf
14.12.2009  01:37            61.276 UPDATE.EXE-24CD1528.pf
14.12.2009  01:33            62.874 UPDATE.EXE-1793D33B.pf
14.12.2009  01:33            17.372 SETUP.EXE-382F8104.pf
14.12.2009  01:33            70.094 UPDATE.EXE-37469796.pf
14.12.2009  01:33            46.110 FIREFOX SETUP 3.5.5.EXE-207694C0.pf
14.12.2009  01:33            85.552 UPDATE.EXE-136E31E1.pf
14.12.2009  01:27            53.192 MSOOBE.EXE-30411B02.pf
14.12.2009  01:27            12.372 WPABALN.EXE-18F87702.pf
14.12.2009  01:23            48.028 UPDATE.EXE-1B9AA4D5.pf
14.12.2009  01:23            68.982 UPDATE.EXE-2D2F348B.pf
14.12.2009  01:23            32.684 MSMSGS.EXE-32066BA5.pf
14.12.2009  01:14            18.960 CONTROL.EXE-013DBFB5.pf
14.12.2009  01:13            52.886 RUNDLL32.EXE-1831A4F3.pf
14.12.2009  01:13            51.720 AVGUARD.EXE-16DEE89A.pf
14.12.2009  01:13            7.446 UPDFIX.EXE-15EA3630.pf
14.12.2009  01:02            37.958 WINDOWSINSTALLER-KB893803-V2--0CF39225.pf
14.12.2009  00:56            7.300 ZC.EXE-068747FF.pf
14.12.2009  00:56            11.506 REMOVE_SIGNING.EXE-0C528A00.pf
14.12.2009  00:56            14.056 RUNDLL32.EXE-13741622.pf
14.12.2009  00:56            7.390 REGWIFI.EXE-230AE79E.pf
14.12.2009  00:52            17.012 ICWCONN1.EXE-009F492A.pf
14.12.2009  00:43            35.138 SCHED.EXE-3062DD8B.pf
14.12.2009  00:43            15.728 RUNDLL32.EXE-2CBA7525.pf
14.12.2009  00:43            11.200 GRPCONV.EXE-111CD845.pf
14.12.2009  00:43            15.728 RUNDLL32.EXE-26C2C861.pf
14.12.2009  00:43            19.468 RUNDLL32.EXE-3F22660F.pf
14.12.2009  00:42            18.388 FACT.EXE-27871269.pf
14.12.2009  00:42            25.060 SETUP.EXE-14B651C6.pf
14.12.2009  00:42            12.460 PRESETUP.EXE-2887F4EA.pf
14.12.2009  00:42            48.208 VCREDIST_X86.EXE-08839F45.pf
14.12.2009  00:42            18.788 INSTALL.EXE-1C0E84AE.pf
14.12.2009  00:42            65.382 AVIRA_ANTIVIR_PERSONAL_DE.EXE-2D05E440.pf
14.12.2009  00:41            6.746 LOGON.SCR-151EFAEA.pf
14.12.2009  00:41            25.476 RUNDLL32.EXE-2576181F.pf
14.12.2009  00:15            14.568 RUNDLL32.EXE-146F7EF1.pf
14.12.2009  00:15            14.786 RUNDLL32.EXE-4C6BE8DD.pf
14.12.2009  00:14            13.246 RUNDLL32.EXE-246F8AE8.pf
14.12.2009  00:12            27.592 RUNDLL32.EXE-21D394C8.pf
14.12.2009  00:06            17.570 RUNDLL32.EXE-327ED30F.pf
14.12.2009  00:06            12.204 RUNDLL32.EXE-49F747DB.pf
14.12.2009  00:06            7.064 WSCNTFY.EXE-1B24F5EB.pf
14.12.2009  00:06            19.716 SHMGRATE.EXE-1BA69E68.pf
14.12.2009  00:06            24.176 RUNDLL32.EXE-286A7F8C.pf
14.12.2009  00:05            46.950 SETUP50.EXE-0CDEF78F.pf
14.12.2009  00:05            38.362 RUNDLL32.EXE-2AF77CC9.pf
14.12.2009  00:05            38.224 RUNDLL32.EXE-4499C56E.pf
14.12.2009  00:05            14.332 RUNDLL32.EXE-470F11BD.pf
14.12.2009  00:05            56.662 IE4UINIT.EXE-169A5A39.pf
14.12.2009  00:05            14.062 RUNDLL32.EXE-169CA248.pf
14.12.2009  00:04            4.722 AGENTSVR.EXE-002E45AB.pf
14.12.2009  00:04            12.984 LSASS.EXE-20DB6D1B.pf
14.12.2009  00:04            13.620 SPOOLSV.EXE-282F76A7.pf
14.12.2009  00:04            1.538 SERVICES.EXE-2F433351.pf
            129 Datei(en)      6.022.770 Bytes
              0 Verzeichnis(se), 24.460.574.720 Bytes frei
 
----- Tasks ----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 8C3F-A4BB

 Verzeichnis von C:\WINDOWS\tasks

17.12.2009  07:58              256 WGASetup.job
17.12.2009  07:57                6 SA.DAT

              3 Datei(en)            327 Bytes
              0 Verzeichnis(se), 24.460.578.816 Bytes frei
 
----- Windows/Temp -----------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 8C3F-A4BB

 Verzeichnis von C:\WINDOWS\Temp

17.12.2009  08:09            16.384 Perflib_Perfdata_90c.dat
              1 Datei(en)        16.384 Bytes
              0 Verzeichnis(se), 24.460.578.816 Bytes frei
 
----- Temp -----------------------------
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: 8C3F-A4BB

 Verzeichnis von C:\DOKUME~1\Jojo\LOKALE~1\Temp

17.12.2009  10:41            3.943 Microsoft Office 2003 User Interface Pack Setup(0001).txt
17.12.2009  10:41          247.762 Microsoft Office 2003 User Interface Pack Setup(0001)_Task(0001).txt
17.12.2009  10:27            37.389 offcln11.log
17.12.2009  10:21            1.734 AdobeARM.log
17.12.2009  08:10            1.252 jusched.log
17.12.2009  08:10            2.235 java_install_reg.log
17.12.2009  08:09            27.000 java_install.log
17.12.2009  08:09            1.558 java_install_sp.log
17.12.2009  08:09        5.315.584 b3052.mst
17.12.2009  08:08              931 jinstall.cfg
17.12.2009  08:00                0 reg.ini
14.12.2009  21:12          401.720 CHY2lMKw.exe.part
14.12.2009  02:19        1.924.840 FP_PL_PFS_INSTALLER.exe
14.12.2009  00:56        3.016.192 radar.avi
14.12.2009  00:42            11.422 dd_vcredistUI0723.txt
14.12.2009  00:42          508.822 dd_vcredistMSI0723.txt
              16 Datei(en)    11.502.384 Bytes
              0 Verzeichnis(se), 24.460.574.720 Bytes frei
Zu 3.

Code:
Adobe Flash Player 10 Plugin        Adobe Systems Incorporated        10.0.42.34
Adobe Reader 9.2 - Deutsch        Adobe Systems Incorporated        9.2.0
Avira AntiVir Personal - Free Antivirus        Avira GmbH       
CCleaner        Piriform       
Java(TM) 6 Update 17        Sun Microsystems, Inc.        6.0.170
Microsoft Office 2003 German User Interface Pack        Microsoft Corporation        11.0.7969.0
Microsoft Office Professional Edition 2003        Microsoft Corporation        11.0.7969.0
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17        Microsoft Corporation        9.0.30729
Mozilla Firefox (3.5.5)        Mozilla        3.5.5 (de)
WiFi Station        Hercules        3.0.0.0
Windows Installer 3.1 (KB893803)        Microsoft Corporation        3.1
Windows Internet Explorer 8        Microsoft Corporation        20090308.140743
Zu 4.

kommt gleich.... :)

JJ-OKOCHA 17.12.2009 13:13
FORTSETZUNG:

Zu 4.

Code:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2009-12-17 11:46:04
Windows 5.1.2600 Service Pack 2
Running: f42yopil.exe; Driver: C:\DOKUME~1\Jojo\LOKALE~1\Temp\uwecrpoc.sys


---- System - GMER 1.0.15 ----

SSDT            BAFB8DB6                  ZwCreateKey
SSDT            BAFB8DAC                  ZwCreateThread
SSDT            BAFB8DBB                  ZwDeleteKey
SSDT            BAFB8DC5                  ZwDeleteValueKey
SSDT            BAFB8DCA                  ZwLoadKey
SSDT            BAFB8D98                  ZwOpenProcess
SSDT            BAFB8D9D                  ZwOpenThread
SSDT            BAFB8DD4                  ZwReplaceKey
SSDT            BAFB8DCF                  ZwRestoreKey
SSDT            BAFB8DC0                  ZwSetValueKey
SSDT            BAFB8DA7                  ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat  fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

...hätte ich bei 2. auch schon alle Programme beenden sollen und die Internetverbindung kappen?...

sind die zwei ** nur eine Markierung zu einer Anmerkungen oder Anhänge zu den andren zwei Sternen bei 2tens ???
(ist bisschen verwirrend)


Zu 5.

Code:
Thursday, December 17, 2009
Operating system: Microsoft Windows XP Professional Service Pack 2 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Last database update: Thursday, December 17, 2009 10:38:40
Records in database: 3381761
Scan settings
scan using the following database        extended
Scan archives        yes
Scan e-mail databases        yes
Scan area        My Computer
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
Scan statistics
Objects scanned        29023
Threats found        0
Infected objects found        0
Suspicious objects found        0
Scan duration        00:33:53

No threats found. Scanned area is clean.
Selected area has been scanned.
Ich entschuldige mich für den Aufwand den ich dir bereite und ich kanns nur immer wieder sagen... DANKE :)

kira 19.12.2009 16:45
hi

- Malware-Scan mit a-squared Free
- Ohne Hintergrundwächter durchsucht a-squared den Computer auf div. schädlichen Programmen.
- Also lade a-squared Free von Emsisoft herunter
- Update das Programm und lass dein rechner komplett scannen
- Am Ende des Scans alle Funde löschen lassen und über den Button "Bericht speichern" das Log speichern und hier in den Thread posten.

dann berichte, ob dein Problem noch immer besteht

JJ-OKOCHA 19.12.2009 20:26
Code:
a-squared Free - Version 4.5
Letztes Update: 19.12.2009 18:01:19

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Speicher, Traces, Cookies, C:\, D:\
Archiv Scan: An
Heuristik: Aus
ADS Scan: An

Scan Beginn:        19.12.2009 19:33:01

C:\Dokumente und Einstellungen\Jojo\Cookies\jojo@advertising[1].txt        gefunden: Trace.TrackingCookie.advertising!A2
C:\Dokumente und Einstellungen\Jojo\Cookies\jojo@bs.serving-sys[1].txt        gefunden: Trace.TrackingCookie.bs.serving-sys!A2
C:\Dokumente und Einstellungen\Jojo\Cookies\jojo@doubleclick[1].txt        gefunden: Trace.TrackingCookie.doubleclick!A2
C:\Dokumente und Einstellungen\Jojo\Cookies\jojo@serving-sys[2].txt        gefunden: Trace.TrackingCookie.serving-sys!A2
C:\Dokumente und Einstellungen\Jojo\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\ejg7uorm.default\Cache\70097067d01/ICQ 6.5 Build #1042 Banner Remover 1.3 Setup.exe        gefunden: Trojan-Clicker.Win32.Yabector!IK
D:\Programme\ICQ6.5\icq_6.5_build_1042_13banner_remover.zip/ICQ 6.5 Build #1042 Banner Remover 1.3 Setup.exe        gefunden: Trojan-Clicker.Win32.Yabector!IK

Gescannt

Dateien:        81721
Traces:        642573
Cookies:        39
Prozesse:        23

Gefunden

Dateien:        2
Traces:        0
Cookies:        4
Prozesse:        0
Registry Keys:        0

Scan Ende:        19.12.2009 20:13:32
Scan Zeit:        0:40:31

---> Problem besteht noch immer - grad 2x iexplore.exe im Task-Manager.
Mir ist aufgefallen, dass iexplore.exe im Task-Manager klein geschrieben ist, nach dem Neuaufsetzen, war es jedoch groß geschrieben (IEXPLORE.EXE)...!
Hat das was zu sagen???

Hier nochmal ein HiJackThis LogFile:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:26:22, on 19.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\a-squared Free\a2service.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Jojo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\79MR5CRX\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\Programme\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 3602 bytes

kira 21.12.2009 07:45
hi

Lade Dir *Lop S&D* von Eric71 herunter und speichere es auf dem Desktop.
  • starte das Programm durch einen Doppelklick auf die Datei LopSD.exe
  • Gewünschte Sprache auswählen dann Enter drücken
  • Option 1 Wählen, erneut Enter drücken damit die Suche beginnen kann
  • Warte geduldig bis der Scan beendet ist - unterbreche diesen Vorgang nicht!
  • Am Ende der Prüfung ein Bericht wird unter unter C:\ erstellt: lopR.txt
  • Kopier bitte den Bericht hier rein
(Sollte dein Desktop verschwinden, drücke bitte Ctrl + Alt + Entf um den Taskmanager zu starten. Wähle unter Datei, neuen Task aus und gib dort explorer.exe ein)

JJ-OKOCHA 21.12.2009 11:00
Code:
  --------------------\\  Lop S&D 4.2.5-0  XP/Vista

  Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
  X86-based PC ( Uniprocessor Free :              Intel(R) Pentium(R) 4 CPU 3.80GHz )
  BIOS : Phoenix - AwardBIOS v6.00PG
  USER : Jojo ( Administrator )
  BOOT : Normal boot
  Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
  A:\ (USB)
  C:\ (Local Disk) - NTFS - Total:29 Go (Free:20 Go)
  D:\ (Local Disk) - NTFS - Total:47 Go (Free:45 Go)
  E:\ (CD or DVD)
  F:\ (USB)
  G:\ (USB)
  H:\ (Local Disk) - NTFS - Total:298 Go (Free:224 Go)

  "C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
  Option : [1] ( 21.12.2009|10:54 )
 
  --------------------\\  Ordner Verzeichnis unter ANWEND~1

  [17.12.2009|08:48] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
  [14.12.2009|00:43] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
  [17.12.2009|10:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
  [0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
  [5|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

  [13.12.2009|23:59] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
  [0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
  [3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

  [17.12.2009|08:47] C:\DOKUME~1\Jojo\ANWEND~1\Adobe
  [19.12.2009|19:03] C:\DOKUME~1\Jojo\ANWEND~1\ICQ
  [14.12.2009|00:05] C:\DOKUME~1\Jojo\ANWEND~1\Identities
  [17.12.2009|07:59] C:\DOKUME~1\Jojo\ANWEND~1\InstallShield
  [14.12.2009|02:19] C:\DOKUME~1\Jojo\ANWEND~1\Macromedia
  [18.12.2009|11:10] C:\DOKUME~1\Jojo\ANWEND~1\Media Player Classic
  [20.12.2009|19:39] C:\DOKUME~1\Jojo\ANWEND~1\Microsoft
  [14.12.2009|01:35] C:\DOKUME~1\Jojo\ANWEND~1\Mozilla
  [17.12.2009|08:08] C:\DOKUME~1\Jojo\ANWEND~1\Sun
  [17.12.2009|15:35] C:\DOKUME~1\Jojo\ANWEND~1\U3
  [0|Datei(en)] C:\DOKUME~1\Jojo\ANWEND~1\Bytes
  [12|Verzeichnis(se),] C:\DOKUME~1\Jojo\ANWEND~1\Bytes frei

  [14.12.2009|00:04] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
  [0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
  [3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

  [14.12.2009|00:02] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
  [0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
  [3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei
 
  --------------------\\  Geplante Aufgaben unter C:\WINDOWS\Tasks

  [21.12.2009 09:26][--ah-----] C:\WINDOWS\tasks\SA.DAT
  [28.02.2006 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

  --------------------\\  Ordner Verzeichnis unter C:\Programme

  [14.12.2009|00:43] C:\Programme\Avira
  [13.12.2009|23:57] C:\Programme\ComPlus Applications
  [17.12.2009|10:30] C:\Programme\Gemeinsame Dateien
  [19.12.2009|19:02] C:\Programme\InstallShield Installation Information
  [18.12.2009|10:14] C:\Programme\Internet Explorer
  [17.12.2009|08:09] C:\Programme\Java
  [18.12.2009|10:19] C:\Programme\Messenger
  [17.12.2009|10:35] C:\Programme\Microsoft ActiveSync
  [14.12.2009|00:00] C:\Programme\microsoft frontpage
  [17.12.2009|10:31] C:\Programme\Microsoft Office
  [17.12.2009|10:36] C:\Programme\Microsoft.NET
  [18.12.2009|10:14] C:\Programme\Movie Maker
  [13.12.2009|23:56] C:\Programme\MSN
  [13.12.2009|23:56] C:\Programme\MSN Gaming Zone
  [18.12.2009|10:12] C:\Programme\NetMeeting
  [13.12.2009|23:57] C:\Programme\Online Services
  [13.12.2009|23:58] C:\Programme\Online-Dienste
  [18.12.2009|10:40] C:\Programme\Outlook Express
  [14.12.2009|00:05] C:\Programme\Uninstall Information
  [18.12.2009|10:50] C:\Programme\Windows Media Player
  [18.12.2009|10:12] C:\Programme\Windows NT
  [13.12.2009|23:58] C:\Programme\WindowsUpdate
  [14.12.2009|00:00] C:\Programme\xerox
  [0|Datei(en)] C:\Programme\Bytes
  [25|Verzeichnis(se),] C:\Programme\Bytes frei

  --------------------\\  Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

  [17.12.2009|08:21] C:\Programme\Gemeinsame Dateien\Adobe
  [17.12.2009|10:30] C:\Programme\Gemeinsame Dateien\DESIGNER
  [13.12.2009|23:58] C:\Programme\Gemeinsame Dateien\Dienste
  [17.12.2009|10:42] C:\Programme\Gemeinsame Dateien\Microsoft Shared
  [13.12.2009|23:58] C:\Programme\Gemeinsame Dateien\MSSoap
  [13.12.2009|23:30] C:\Programme\Gemeinsame Dateien\ODBC
  [13.12.2009|23:30] C:\Programme\Gemeinsame Dateien\SpeechEngines
  [18.12.2009|10:11] C:\Programme\Gemeinsame Dateien\System
  [0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
  [10|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

  --------------------\\  Process

  ( 26 Processes )

  ... OK !

  --------------------\\  Ueberpruefung mit S_Lop

  Kein Lop Ordner gefunden !
 
  --------------------\\  Suche nach Lop Dateien - Ordnern

  Kein Lop Ordner gefunden !
 
  --------------------\\  Suche innerhalb der Registry
 
  ..... OK !

  --------------------\\  Ueberpruefung der Hosts Datei

  Hosts Datei SAUBER


  --------------------\\  Suche nach verborgenen Dateien mit Catchme
 
  catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
  Rootkit scan 2009-12-21 10:55:42
  Windows 5.1.2600 Service Pack 3 NTFS
  scanning hidden processes ...
  scanning hidden files ...
  scan completed successfully
  hidden processes: 0
  hidden files: 0
 
  --------------------\\  Suche nach anderen Infektionen


  Kein anderen Infektionen gefunden !

  [F:1933][D:28]-> C:\DOKUME~1\Jojo\LOKALE~1\Temp
  [F:29][D:0]-> C:\DOKUME~1\Jojo\Cookies
  [F:1577][D:5]-> C:\DOKUME~1\Jojo\LOKALE~1\TEMPOR~1\content.IE5

  1 - "C:\Lop SD\LopR_1.txt" - 21.12.2009|10:56 - Option : [1]

  --------------------\\  Scan beendet um 10:56:13

kira 24.12.2009 08:10
hi

1.
HJT nicht richtig installiert:
Code:
C:\Dokumente und Einstellungen\Jojo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\79MR5CRX\HiJackThis[1].exe
Das Programm HijackThis muss in einem eigenen Ordner laufen, um Backups erstellen zu können.
(Wie man einen neuen Ordner anlegen kann, kannst du diesem Windows Tutorial entnehmen.)
also lösche HijackThis und lade Dir erneut von hier - Punkt 6 herunter,poste das Logfile
nach installation so soll aussehen: C:\Programme\Trend Micro\HijackThis\HijackThis.exe

2.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben

3.
Danach Panda ActiveScan durchlaufen lassen
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
Achtung!: Avira muss hier deaktiviert sein, sonst erkennt Panda als Virus und meckert ständig
- In der Taskleiste ist der kleine Kontrollschirm von Antivir. Den mit der rechten Maustaste anklicken und Antivir aktivieren Häkchen weg
dananch bitte nicht vergessen wieder aktivieren!!

Frohe Weihnachten und ein glückliches Neues Jahr!


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:02 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131